V dnešní době už nejde jen o ochranu před fyzickým násilím. Velkým rizikem jsou i kybernetické hrozby a firmy musejí zajistit, aby vstupní bod vyššího managementu k vnitropodnikovým datům a síti nebyl zároveň snadno prolomitelnými dveřmi pro zločince.
Bezpečnostní ředitelé a IT bezpečnostní ředitelé by měli ochranu nejvyššího managementu stavět na vysokou příčku svých zájmů. Přinášíme pět základních pravidel, kterými by se bezpečnostní manažeři měli řídit.
1. Analýza rizika
Prvním krokem pro bezpečnostní ředitele je komplexní analýza rizik. To zahrnuje například identifikace vnitropodnikových jedinců nenahraditelných na své pozici, kteří by se mohli stát terčem, a zhodnocení dopadů pro firmu, pokud by se cílem útoku stali.
A na co se ptát během analýzy? Tak třeba: Byly už nějaké útoky či výhrůžky na vytipované manažery? Cestují často do nebezpečných míst? Vůči jakým útokům jsou nejzranitelnější?
Jakmile zjistíte, kteří jednotlivci potřebují chránit, zjistěte si jejich osobní a veřejný životní styl – tedy do určité hranice, kdy je to smysluplné a může to pomoci snížit rizika.
Tento krok vyžaduje plnou spolupráci manažera, protože budete potřebovat vědět vše o jeho profesním a soukromém životě. Zjistěte, jak snadno se někdo cizí může dostat k informacím o tomto řídicím pracovníkovi a jeho rodině.
Na základě zjištěných informací získáte jasnější obrázek o tom, jakému druhu rizik čelíte a jaká bezpečnostní opatření budete muset zajistit.
Je důležité si také uvědomit, že rizika se nepřestávají měnit, nutné je tedy zajistit základní úroveň zabezpečení, která se může podle potřeby zvyšovat.
„Analýza rizik by měla začít s jejich domácím životem, kde bydlí, jak vysoká je kriminalita v oblasti, zda mají, nebo nemají domácí bezpečnostní systém,“ doporučuje Robert Siciliano, bezpečnostní konzultant a odborník na krádež identity. „Velkým faktorem je určení důležitosti jednotlivce a zda jsou považovaní za prioritní cíl.“
2. Silné zabezpečení i přes odpor vedení
Mnozí nejvyšší manažeři budou téměř jistě nepříliš spokojení s dohledem nad svým osobním a profesním životem, ale to už je cena za úspěch v podnikání a vysokou zodpovědnost.
Aby byla bezpečnostní opatření pro všechny příjemnější, bezpečnostní manažeři musejí vedoucím pracovníkům demonstrovat, proč je bezpečnost tak důležitá. Jednou z cest, jak toho dosáhnout, je přinutit manažery k prostému vygooglení svých vlastních jmen.
„Pravidelné vyhledávání vlastní osoby ukazuje, že jsou cílem,“ zdůrazňuje Jason Taule, bezpečnostní ředitel FEI System, poskytovatele zdravotnických technologií. Jakmile tak učiní, zjistí, jak snadno se může hacker dostat k mnoha různým klíčovým informacím o řediteli a pomocí získaných znalostí spustit útok.
Další ověřený způsob je přesvědčit manažera ke kontrole spamového filtru svého e-mailu. Uvidí, kolik phishing e-mailů mu už přišlo, vysvětluje Taule. Naštěstí tyto e-maily neprošly přes zabezpečení a nedostaly se přímo do hlavní schránky, ale už jen množství těchto pokusů by mělo ukázat důležitost vhodného zabezpečení.
Nejlepší a nejefektivnější cestou je výzva, věří Siciliano. „Většina lidí si myslí, že ‚jim se to stát nemůže‘. Jde o společenskou normu vzniklou na mýtu, že takové věci se vždy stávají jen jiným lidem na jiných místech,“ popisuje. „Vyzvat vybraného jedince, aby se sám zaměřil na své zranitelnosti v reálném i virtuálním prostředí, dokáže upoutat pozornost.“
3. Zajistěte vysokou míru zabezpečení osobních a pracovních zařízení vyššího managementu
Mnoho podnikových operací a interakcí se dnes uskutečňuje skrze mobilní zařízení a mnoho ředitelů pravděpodobně bude ta samá zařízení využívat pro pracovní i osobní účely zároveň.
Je ideální, pokud používají např. odlišné chytré telefony pro práci a pro osobní život, ale často tomu tak nebude, popisuje Taule. Bezpečnostní ředitelé by podle něj měli zvážit zavedení vnitropodnikových pravidel, které by určovaly množství a typ zařízení, které mohou manažeři používat pro práci a také jakým způsobem.
V každém případě je důležité, aby zařízení využívaná manažery pro podnikovou činnost byla vysoce zabezpečená s nejnovější ochranou. Všechna citlivá data by se měla šifrovat a zařízení chránit skrze platformu EMM.
Součástí zajištění bezpečnosti mobilních zařízení je zhodnocení nejen zařízení používaných řediteli firmy, ale i jejich nejbližšími členy rodiny v domácnosti, dodává Siciliano. To znamená určit, zda je každé zařízení chráněné heslem, aktualizovaným operačním systémem, antivirovým softwarem a podobně.
„Je důležité vnímat, jaká zařízení se v rodině sdílejí, tj. zda dítě používá stejné zařízení jako firemní manažer a do jakého druhu problému tak může tohoto člověka dostat,“ vysvětluje Siciliano.
4. Poučení vedení firmy o sociálním inženýrství a phishingu
Ředitelé a nejvyšší management firem jsou jedním ze základních cílů pro phishing, whaling a další typy útoků, především kvůli jejich vysoké úrovni přístupu k důležitým informacím firmy. Je klíčové, aby manažeři indikátory podobných útoků včas rozpoznali.
„Začíná se školením rozpoznání hrozeb a simulací phishingového útoku,“ radí Siciliano. „Jakékoli aplikace třetí strany týkající se šifrování a izolace e-mailové komunikace jsou nutností.“
Dalším způsobem eliminace těchto hrozeb je vyhledávání e-mailových hrozeb asistenty, což snižuje míru nátlaku na samotné ředitele, dodává Taule.
V zásadě je velmi dobré, když je vyšší management opatrný ve způsobu, jakým nakládá s e-maily. „Populární je teď ‚CEO phishing‘, kdy útočník rozešle e-mail předstírajíc, že je generálním ředitelem tajného projektu, s nímž potřebuje pomoci,“ popisuje Andrew Ellis, bezpečnostní ředitel firmy Akamai Technologies.
„Čím více vypadá váš normální e-mail jako tento, tím je pro útočníky snazší vaši společnost kompromitovat,“ pokračuje Ellis. „Moderní e-mailoví klienti často způsobí, že je těžké odlišit zprávu vnitropodnikovou od externí, ale nedělají to všichni. Zvažte doporučení označit nebo změnit barvu všech externích e-mailů.“
5. Vytvořte pravidla pro cestování a lpěte na nich
Mnoho ředitelů a manažerů bývá často na cestách, například na konferencích, návštěvách klientů apod. To zvyšuje bezpečnostní rizika, obzvláště pokud jsou jejich cestovní plány známé dlouho dopředu.
Je důležité mít stanovena pravidla, co je a co není povoleno během cestování. To může zahrnovat například odmítnutí společného cestování klíčových představitelů firmy ve stejný čas a stejným prostředkem, doporučuje Taule.
Cestovní nařízení by také měla zahrnovat využívání mobilních zařízení během cesty. Manažeři by například neměli mít možnost brát si svůj hlavní pracovní laptop, místo toho by měli využívat vypůjčené zařízení, na němž nejsou uložena žádná citlivá data.
Tento příspěvek vyšel v Securityworldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU