Bezpečnosť firemného prostredia sa často spája hlavne s technológiami. S infraštruktúrou, nástrojmi na monitorovanie, prístupmi, certifikáciami alebo pravidlami. V praxi však veľká časť rizík nevzniká tam, kde zlyhá technológia, ale tam, kde zlyhá ľudská pozornosť, úsudok alebo zvyk. Práve preto je ľudský faktor jedným z najcitlivejších miest každého bezpečnostného rámca.
Výstižne to vyjadril aj David Snášel, CIO spoločnosti GRiT: „Bezpečnosť firemného prostredia nestojí len na technológiách a systémoch. Je postavená na troch pilieroch – na technológiách, procesoch a ľuďoch.“
Najslabšie miesto často nevzniká v systéme, ale v prevádzke
Práve tretí pilier býva v každodennom prevádzke najmenej predvídateľný. Kým technológiu možno nastaviť, proces opísať a auditovať, človek pracuje pod tlakom, v zhone, s množstvom podnetov naraz. A práve v takejto prevádzke vzniká priestor pre chybu. Typickým príkladom je phishing.
Dnešné útoky už dávno nie sú primitívne e-maily s podozrivou češtinou. Sú cielené, presnejšie a vďaka umelej inteligencii aj oveľa vierohodnejšie. Útočníci vedia vyhľadať úlohu konkrétneho človeka vo firme, jeho zodpovednosť aj kontext, v ktorom sa pohybuje. „Významná časť bezpečnostných incidentov nevzniká kvôli zlyhaniu technológií, ale kvôli nepozornosti, podceneniu situácie alebo nedostatku povedomia,“ opisuje David Snášel. Stačí chvíľka nepozornosti a problém nemá len technický rozmer, ale aj priamy dopad na reputáciu, prevádzku a financie.
Školenie musí zodpovedať realite firmy
Z toho vyplýva podstatná vec: funkčnú bezpečnosť nemožno postaviť ako formálnu povinnosť. Nestačí raz ročne absolvovať školenie a tým túto tému uzavrieť. Vo firme, kde s informáciami pracujú desiatky alebo stovky ľudí naprieč rôznymi úlohami, musí bezpečnosť zodpovedať reálnemu prevádzkovému prostrediu. Týka sa recepcie, administratívy, manažmentu aj technických tímov. Týka sa práce s e-mailmi, prílohami, dokumentmi, internými systémami aj rozhodnutí, ktoré ľudia robia každý deň pod časovým tlakom.
Preto má podľa Davida zmysel budovať školenia inak – nie ako jednorazovú akciu, ale ako priebežný proces. Stráviteľné, zrozumiteľné a nadväzujúce na to, čo sa skutočne mení v pracovnom prostredí. Zamestnanci nepotrebujú len poznať pravidlá. Potrebujú rozumieť súvislostiam a včas rozpoznať situáciu, ktorá sa odchyľuje od bežného prevádzky. V GRiTu to nevnímame ako jednorazovú administratívnu povinnosť, ale ako súčasť aktívneho riadenia bezpečnosti. Bezpečnosť má svoje zodpovedné úlohy, jasne stanovené kompetencie a neustálu pozornosť vedenia, pretože bez tejto opory sa pravidlá v každodennom prevádzke rýchlo rozpadajú.
AI mení rýchlosť práce aj hranice zodpovednosti
Dobre je to vidieť na nástupe nástrojov umelej inteligencie. Tie priniesli novú vrstvu rozhodovania, ktorá sa nezaobíde bez bezpečnostného úsudku. Nestačí vedieť nástroj používať. Je potrebné vedieť, aký typ informácií do neho vôbec patrí, čo už je za hranicou a prečo. Interné informácie, zmluvy, personálne údaje alebo interne vytvorený kód nemožno bez rozmyslu vkladať do externých systémov len preto, že to urýchli prácu.
Práve tu sa ukazuje, že bezpečnosť nemožno oddeliť od zodpovednosti za nové nástroje a nové spôsoby práce. V spoločnosti GRiT preto patrí umelá inteligencia do riadeného rámca. Spoločnosť má nielen pravidlá pre prácu s AI a klasifikáciu informácií, ale aj konkrétnu zodpovednosť za bezpečnosť v tejto oblasti. Okrem všeobecných bezpečnostných rolí existuje aj rola, ktorá sa venuje bezpečnosti v kontexte AI, teda tomu, ako sa nové nástroje používajú, vyhodnocujú a integrujú do firemného prostredia. „Ak človek nemá dostatočné školenie a nevytvorí si potrebný vnútorný poplach, môže svojím konaním spôsobiť reputačné aj finančné škody,“ upozorňuje David Snášel. Aj preto dnes bezpečnosť zahŕňa jasné pravidlá pre používanie umelej inteligencie, schvaľovanie nástrojov a priebežné hodnotenie rizík, ktoré s nimi súvisia.
Bezpečnosť sa prejavuje aj v každodenných návykoch
Podceňovanou oblasťou zostáva aj fyzická bezpečnosť. Práve tá však rozhoduje o tom, či sú pravidlá skutočne súčasťou každodenného fungovania. Zamknutá obrazovka pri odchode od počítača, čistý stôl bez voľne položených dokumentov, správne skartovanie alebo nenechávanie papierov na tlačiarni. To sú základné návyky, ktoré ukazujú, či firma chápe bezpečnosť ako súčasť prevádzkovej disciplíny.
Rovnako dôležité je však, aby firma od ľudí nežiadala niečo, čo sa v praxi nedá dodržiavať. Bezpečnostné pravidlá musia byť použiteľné. Nestačí zakázať rizikové správanie. Je potrebné ponúknuť aj bezpečnú a praktickú alternatívu. Keď má človek k dispozícii vhodné nástroje a rozumie tomu, prečo ich používa, výrazne stúpa šanca, že sa pravidlá stanú bežnou súčasťou práce, nie prekážkou.
Bezpečnostná kultúra vzniká postupne
Práve v tom spočíva rozdiel medzi formálnou bezpečnosťou a bezpečnostnou kultúrou. Bezpečnostná kultúra nevzniká tým, že zamestnanci podpíšu smernicu. Vzniká tým, že si všímajú nezvyčajných situácií, vedia ich pomenovať a majú priestor ich hlásiť aj vtedy, keď si nie sú istí, či ide o incident. Často sú to práve drobné signály, ktoré včas odhalia problém, ktorý by inak zostal skrytý.
Keď sú ľudia priebežne vedený a bezpečnosť je vo firme živou témou, mení sa aj ich uvažovanie v bežnej prevádzke. „Bezpečnostná kultúra sa posilňuje nielen pravidlami, ale aj tým, že ľudia majú odvahu hovoriť veci nahlas a nenechávajú si pochybnosti pre seba,“ zhrňuje David Snášel. Práve táto ochota upozorniť na podozrivú situáciu alebo včas požiadať o kontrolu je v praxi rovnako dôležitá ako technické zabezpečenie.
Zodpovednosť leží na zamestnancoch aj na vedení
Bezpečnosť vo firme preto nestojí len na osobnej zodpovednosti jednotlivca. Tá je dôležitá, ale sama o sebe nestačí. Zamestnanec musí vedieť, ako narábať s informáciami a aké povinnosti pre neho vyplývajú z pravidiel firmy. Zároveň však vedenie musí vytvoriť rámec, v ktorom je možné tieto pravidlá reálne dodržiavať. To znamená nastaviť úlohy, zodpovednosti, rozpočty, procesy aj priebežné vzdelávanie. Bez tejto opory sa bezpečnosť ľahko zredukuje na súbor formálnych požiadaviek bez skutočného dopadu.
V spoločnosti GRiTu je preto bezpečnosť riadená aktívne. Nestojí len na všeobecnom povedomí, ale na konkrétne určených zodpovednostiach, ktoré udržujú túto tému v každodennom chode aj pri rozhodovaní o nových nástrojoch a postupoch. Práve táto systematickosť pomáha udržať bezpečnosť ako súčasť fungovania firmy.
Pripravenosť začína už pri nástupe
Dôležitú úlohu v tom zohráva aj onboarding. Nie každý nový zamestnanec prichádza z prostredia, kde je bezpečnosť riadená systematicky. O to dôležitejšie je poskytnúť základnú orientáciu hneď na začiatku a dať novým kolegom jasný rámec, v ktorom sa môžu bezpečne pohybovať.
V prostredí, kde firmy pracujú s citlivými údajmi a nesú zodpovednosť za stabilitu služieb, patrí ľudský faktor k bezpečnosti rovnako prirodzene ako technológie a procesy. Túto oblasť je potrebné systematicky riadiť, rozvíjať a zakotviť v každodennom fungovaní firmy. Bezpečnosť totiž nevzniká jedným opatrením. Vzniká prostredím, v ktorom ľudia vedia, čo chránia, prečo to chránia a ako sa majú rozhodovať v momente, keď nie je čas premýšľať o pravidlách.
Riešite schvaľovanie faktúr?
30 minút, žiadny záväzok. Ukážeme vám, ako iNVOiCE FLOW zapadne do vášho ERP.
