Nejdůležitější tipy pro prevenci porušení bezpečnosti dat

12.10.2022


Rostoucí výskyt kybernetických incidentů a zvyšující se povědomí veřejnosti o nich zaměřuje pozornost na úniky dat a na to, jak se s takovým útokem organizace vypořádávají. Přijetí opatření k prevenci a řešení porušení zabezpečení dat může snížit nepříznivý dopad úniku dat a zmírnit potenciální ztrátu reputace, kterou může takový incident způsobit..

Zde je tedy pár tipů, které je vhodné vzít v úvahu při snaze minimalizovat rizika porušení zabezpečení dat a dopadů incidentů.

1. Zavedení kultury respektování soukromí a kybernetické odolnosti

Ochrana organizace před riziky úniku dat se zlepší, pokud společnost zavede kulturu respektu k soukromí a kybernetické odolnosti. S tím by se mělo začít na úrovni představenstva, kde dodržování povinností členů představenstva zahrnuje převzetí dohledu nad kybernetickou bezpečností právě samotnými členy představenstva. To by mělo zahrnovat schválení plánů reakce organizace na porušení zabezpečení osobních údajů a strategií kybernetické bezpečnosti představenstvem.

2. Příprava a realizace plánů reakce na porušení zabezpečení osobních údajů a strategií kybernetické bezpečnosti.

Plán reakce na porušení zabezpečení osobních údajů by měl popsat, jak organizace zareaguje na takové porušení bezpečnosti a postup jak se s ním vypořádá. Mít jasný plán reakce na porušení zabezpečení dat, který vysvětluje a popisuje, jak by měli zaměstnanci reagovat v případě zjištění porušení zabezpečení, pomůže organizaci v několika prvních rozhodujících hodinách po porušení bezpečnosti.

3. Školení zaměstnanců

Lidské chyby zůstávají významným zdrojem narušení bezpečnosti údajů. K častému porušení zabezpečení osobních údajů často dochází situací, kdy je e-mail obsahující osobní údaje odeslán nesprávnému příjemci. Případně může zaměstnanec ztratit zařízení obsahující osobní údaje. Školení zaměstnanců o minimalizaci rizika neúmyslného odeslání e-mailu nesprávnému příjemci bezpochyby pomůže, nicméně školení by se mělo týkat také toho, co se stane, pokud už k chybě dojde, včetně interního eskalačního postupu. Stejně tak by měli být zaměstnanci proškoleni o zacházení s elektronickými zařízeními, včetně struktury hlášení v případě, že zaměstnanec zařízení ztratí (nebo je zařízení odcizeno).

Zaměstnanci se často stávají terčem škodlivých e-mailů, které na oko pocházejí od legitimních kontaktů a které požadují citlivé a/nebo důvěrné informace nebo vystavují IT prostředí společnosti možné instalaci škodlivého malwaru tím, že si zaměstnanec neúmyslně stáhne podvržený software a ten napadne IT prostředí. Školení zaměstnanců by mělo obsahovat informace i o tom, jak rozpoznat tyto podvodné e-maily. Toto pomůže organizaci ochránit osobní údaje, kterými disponuje. Noví zaměstnanci by měli být seznámeni s postupy a procesy používanými k ochraně integrity IT prostředí organizace.

4. Technologie

Technologická opatření by sice nikdy neměla být považována za všemocné a konečné řešení kybernetické bezpečnosti, nicméně silné a robustní technologické prostředí jistě pomůže. Pokud například zaměstnanec ztratí zařízení, které obsahuje osobní údaje, měla by být organizace schopna zařízení na dálku vymazat. Zapojení vícefaktorového ověřování minimalizuje riziko, že neoprávněná osoba získá přístup k důležitým IT prostředím organizace.

Pokud společnost pracuje s citlivými informacemi, ke kterým by měl být přístup omezen, měla by být přijata opatření, která zajistí omezení přístupu pouze na zaměstnance s potřebným oprávněním k přístupu k citlivým informacím.

Zajištění ochrany IT prostředí společnosti proti zranitelnostem je zásadní pro maximalizaci kybernetické odolnosti. To zahrnuje zajištění aktualizace IT prostředí pomocí příslušných záplat zranitelností.

5. Kriticky zhodnoťte kybernetickou bezpečnost svých dodavatelů a odběratelů

Pokud mají vaši dodavatelé a prodejci přístup k vašim datům nebo jsou zapojeni do hostování či zpracování vašich dat, nebojte se klást náročné otázky ohledně jejich kybernetické odolnosti a poté se ujistěte, že smlouva o dodávce ukládá dodavateli povinnosti v oblasti bezpečnosti informací. V našem nástroji na správu ISMS nebo Nástroji pro pověřence přesně takové hodnocení máme implementované. Hodnocení z pohledu kybernetické bezpečnosti by mělo být součástí hodnocení případného dodavatele již při uzavírání prvního kontraktu.

Společnosti čelí stále sofistikovanějšímu rizikovému prostředí a kybernetická bezpečnost a odolnost vyžaduje stále sofistikovanější a komplexní přístup k řízení rizik a procesů.