Kde vzniká největší riziko pro bezpečnost firemních dat?

Bezpečnost firemního prostředí se často spojuje hlavně s technologiemi. S infrastrukturou, dohledovými nástroji, přístupy, certifikacemi nebo pravidly. V praxi ale velká část rizik nevzniká tam, kde technologie selže, ale tam, kde selže lidská pozornost, úsudek nebo návyk. Právě proto je lidský faktor jedním z nejcitlivějších míst každého bezpečnostního rámce.

Výstižně to pojmenovává i David Snášel, CIO společnosti GRiT: „Bezpečnost firemního prostředí nestojí jen na technologiích a systémech. Je postavená na třech pilířích – na technologiích, procesech a lidech.“

Nejslabší místo často nevzniká v systému, ale v provozu

Právě třetí pilíř bývá v každodenním provozu nejméně předvídatelný. Zatímco technologie se dá nastavit, proces popsat a auditovat, člověk pracuje pod tlakem, ve spěchu, s řadou podnětů najednou. A právě v takovém provozu vzniká prostor pro chybu. Typickým příkladem je phishing.  

Dnešní útoky už dávno nejsou primitivní e-maily s podezřelou češtinou. Jsou cílenější, přesnější a díky AI i mnohem věrohodnější. Útočníci si umějí dohledat roli konkrétního člověka ve firmě, jeho odpovědnost i kontext, ve kterém se pohybuje. „Významná část bezpečnostních incidentů nevzniká kvůli selhání technologií, ale kvůli nepozornosti, podcenění situace nebo nedostatku povědomí,“ popisuje David Snášel. Pak stačí chvíle nepozornosti a problém nemá jen technický rozměr, ale i přímý dopad na reputaci, provoz a finance.

Školení má odpovídat realitě firmy

Z toho plyne podstatná věc: funkční bezpečnost nelze postavit jako formální povinnost. Nestačí jednou ročně splnit školení a tím téma uzavřít. Ve firmě, kde s informacemi pracují desítky nebo stovky lidí napříč rolemi, musí bezpečnost odpovídat reálnému provozu. Týká se recepce, administrativy, managementu i technických týmů. Týká se práce s e-maily, přílohami, dokumenty, interními systémy i rozhodnutí, která lidé dělají každý den pod časovým tlakem.

Proto má podle Davida smysl stavět školení jinak – ne jako jednorázový akt, ale jako průběžný proces. Stravitelný, srozumitelný a navázaný na to, co se skutečně mění v pracovním prostředí. Zaměstnanci nepotřebují jen znát pravidla. Potřebují rozumět souvislostem a včas rozeznat situaci, která se od běžného provozu odchyluje. V GRiTu se na to nedíváme jako na jednorázovou administrativní povinnost, ale jako na součást aktivního řízení bezpečnosti. Bezpečnost má své odpovědné role, jasně určené kompetence a průběžnou pozornost vedení, protože bez této opory se pravidla v každodenním provozu rychle rozpadají.

AI mění rychlost práce i hranice odpovědnosti

Dobře je to vidět na nástupu AI nástrojů. Ty přinesly novou vrstvu rozhodování, která se bez bezpečnostního úsudku neobejde. Nestačí umět nástroj použít. Je potřeba vědět, jaký typ informací do něj vůbec patří, co už je za hranou a proč. Interní informace, smlouvy, personální data nebo interně vytvořený kód nelze bez rozmyslu vkládat do externích systémů jen proto, že to zrychlí práci.

Právě tady se ukazuje, že bezpečnost nelze oddělit od odpovědnosti za nové nástroje a nové způsoby práce. V GRiTu proto patří AI do řízeného rámce. Firma má nejen pravidla pro práci s AI a klasifikaci informací, ale i konkrétní odpovědnost za bezpečnost této oblasti. Vedle obecných bezpečnostních rolí existuje také role, která se věnuje bezpečnosti v kontextu AI, tedy tomu, jak se nové nástroje používají, vyhodnocují a začleňují do firemního prostředí. „Pokud člověk nemá dostatečné školení a nevytvoří si potřebný vnitřní alarm, může svým jednáním způsobit reputační i finanční škody,“ upozorňuje David Snášel. I proto dnes bezpečnost zahrnuje jasná pravidla pro používání AI, schvalování nástrojů a průběžné vyhodnocování rizik, která s nimi přicházejí.

Bezpečnost se pozná i v každodenních návycích

Podceňovanou oblastí zůstává i fyzická bezpečnost. Přitom právě ta rozhoduje o tom, zda jsou pravidla skutečně součástí každodenního fungování. Zamčená obrazovka při odchodu od počítače, čistý stůl bez volně položených dokumentů, správná skartace nebo nenechávání papírů na tiskárně.To jsou základní návyky, které ukazují, zda firma chápe bezpečnost jako součást provozní disciplíny.

Stejně důležité ale je, aby firma po lidech nechtěla něco, co v praxi nejde dodržet. Bezpečnostní pravidla musí být použitelná. Nestačí zakazovat rizikové chování. Je potřeba nabídnout i bezpečnou a praktickou alternativu. Když má člověk k dispozici vhodné nástroje a rozumí tomu, proč je používá, výrazně roste šance, že se pravidla stanou běžnou součástí práce, ne překážkou.

Bezpečnostní kultura vzniká průběžně

Právě v tom je rozdíl mezi formální bezpečností a bezpečnostní kulturou. Bezpečnostní kultura nevzniká tím, že zaměstnanci podepíšou směrnici. Vzniká tím, že si všímají neobvyklých situací, umějí je pojmenovat a mají prostor je hlásit i tehdy, když si nejsou jistí, zda jde o incident. Často jsou to právě drobné signály, které včas odhalí problém, jenž by jinak zůstal skrytý.

Když jsou lidé vedení průběžně a bezpečnost se ve firmě drží jako živé téma, mění se i jejich uvažování v běžném provozu. „Bezpečnostní kultura se neposiluje jen pravidly, ale i tím, že lidé mají odvahu věci říkat nahlas a nenechávají si pochybnosti pro sebe,“ shrnuje David Snášel. Právě tato ochota upozornit na podezřelou situaci nebo si včas říct o kontrolu bývá v praxi stejně důležitá jako technické zabezpečení.

Odpovědnost leží na zaměstnancích i vedení

Bezpečnost ve firmě proto nestojí jen na osobní odpovědnosti jednotlivce. Ta je důležitá, ale sama o sobě nestačí. Zaměstnanec musí vědět, jak nakládat s informacemi a jaké povinnosti pro něj plynou z pravidel firmy. Zároveň ale vedení musí vytvořit rámec, ve kterém lze tato pravidla reálně dodržovat. To znamená nastavit role, odpovědnosti, rozpočty, procesy i průběžné vzdělávání. Bez této opory se bezpečnost snadno zredukuje na soubor formálních požadavků bez skutečného dopadu.

V GRiTu je proto bezpečnost řízená aktivně. Nestojí jen na obecném povědomí, ale na konkrétně určených odpovědnostech, které drží téma v každodenním provozu i v rozhodování o nových nástrojích a postupech. Právě tato systematičnost pomáhá držet bezpečnost jako součást fungování firmy.

Připravenost začíná už při nástupu

Důležitou roli v tom hraje i onboarding. Ne každý nový člověk přichází z prostředí, kde je bezpečnost řízená systematicky. O to důležitější je předat základní orientaci hned na začátku a dát novým kolegům jasný rámec, ve kterém se mohou bezpečně pohybovat.

V prostředí, kde firmy pracují s citlivými daty a nesou odpovědnost za stabilitu služeb, patří lidský faktor k bezpečnosti stejně samozřejmě jako technologie a procesy. Tuto oblast je potřeba soustavně řídit, rozvíjet a ukotvit v každodenním fungování firmy. Bezpečnost totiž nevzniká jedním opatřením. Vzniká prostředím, ve kterém lidé vědí, co chrání, proč to chrání a jak se mají rozhodovat ve chvíli, kdy na pravidla nezbývá čas přemýšlet.