Procesy na riešenie incidentov v Chrum&Chrum sme nastavili. Ale úple najlepšie je incidentom predchádzať.
Školenia, ktoré dávajú zmysel
Školenie nemá byť povinná jazda na intranete a preto sme ho postavili na reálnych príkladoch. Komunikujeme bez žargónu, s príbehom, v krátkych 20-minútových dávkach a s presahom do osobného života.
Ukázali sme si, ako vyzerá podvodný e-mail, čo robiť pri podozrení na incident, ako nešíriť paniku a ako nenaletieť.
A aby si to ľudia naozaj zapamätali, urobili sme aj simulovaný phishingový test. Výsledky? Prvé prekvapenia, ale aj zvedavosť a dobré otázky.
A čo je tu najdôležitejšie
Školenie nie je jednorazová aktivita. Vytvárame si kultúru, kde sa o kybernetickej bezpečnosti hovorí prirodzene, nie formálne. Pridali sme pravidelné pripomienky, nástenky a kvízy – nie ako povinnosť, ale ako pripomienku, že každý môže byť prvou aj poslednou líniou obrany.
S našimi IT špecialistami vedieme workshopy na témy bezpečnej správy IT infraštruktúry, s vývojármi diskutujeme pravidlá bezpečného vývoja a v celej firme sa venujeme pravidlám používania umelej inteligencie s dôrazom na bezpečnosť.
Dodávateľ nie je cudzí. Je to naša rozšírená firma
Preto venujeme pozornosť našim externým partnerom. Kybernetický incident u dodávateľa môže mať dosah aj na nás.
Začali sme od základnej vety: Náš dodávateľ je naša zodpovednosť.
Nastavili sme hlavné princípy riadenia dodávateľov:
- Vyberáme ich aj na základe analýzy rizík.
- Overujeme ich bezpečnostnú úroveň (certifikácie, testy, skúsenosti).
- Zaväzujeme ich zmluvne k ochrane údajov, mlčanlivosti a k spolupráci pri incidentoch.
- Trváme na možnosti kontrolovať a auditovať ich úroveň bezpečnostných opatrení a to aj u ich subdodávateľov.
Zmluvy nie sú len kus papier
Zmluvy sú bezpečnostným nástrojom. A keď sa niečo pokazí, je dobré mať v nich jasne napísané, čo od koho očakávame.
Prešli sme všetky aktívne zmluvy, určili zoznam povolených osôb a vyžiadali si kontaktné osoby pre riešenie incidentov. Tak sme nastavili a podpísali bezpečnostné doložky,
Dodávateľov sme zároveň informovali o našich očakávaniach a bezpečnostných štandardoch. Nechceme ich kontrolovať, ale spolupracovať s nimi ako s partnermi, ktorí chápu, že ak sa niečo stane, ideme v tom spolu.
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený manažér kybernetickej bezpečnosti. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov
Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium