Kako pregledati tvrtku?

Ransomware napadi naša su realnost. Kada uključite računalo i vidite da su svi podaci tvrtke zaključani, padate u paniku.

Napadači traže 50.000 eura u kriptovalutama, a vi nemate funkcionalan backup. Zvuči kao noćna mora? Tisuće malih poduzeća diljem Europe doživjelo je ovakav šok zadnjih godina.

Prema podacima CERT-a, broj prijavljenih sigurnosnih incidenata u Hrvatskoj kontinuirano raste.

Europska agencija za mrežnu i informacijsku sigurnost (ENISA) navodi da su mala i srednja poduzeća meta čak 43 posto svih cyber napada.

Radi se da male firme obično imaju slabiju zaštitu, a napadači to dobro znaju.

Područje koje danas stručnjaci sve češće nazivaju cyber HR, povezuje ljudske resurse, organizacijske procese i informacijsku sigurnost, i postaje važno za svaku tvrtku bez obzira na veličinu.

Dobra vijest jest da ne trebate biti sigurnosni stručnjak s desetljećem iskustva niti izdvajati tisuće eura za skup profesionalni angažman da biste značajno podigli razinu IT sigurnosti svoje tvrtke.

Treba vam sustavni pristup koji daje sigurnosni audit!

Saznajte kako možete napraviti provjeru. Korak po korak, od pripreme i inventara imovine do analize ranjivosti i izrade akcijskog plana. Na kraju ćete imati jasnu sliku stanja sigurnosti vaše tvrtke i konkretan plan za poboljšanje.

Cjelokupan proces za tvrtku s 10 do 30 zaposlenika traje otprilike dva do četiri tjedna, ovisno o kompleksnosti vaše IT infrastrukture i vremenu koje možete posvetiti auditu.

Nije potrebno zaustaviti poslovne procese jer se većina aktivnosti može provoditi paralelno s redovnim radom.

Ne čekajte problem

Definicija sigurnosnog audita

Sigurnosni audit IT sustava predstavlja sustavnu procjenu sigurnosti cjelokupne informacijske infrastrukture vaše tvrtke.

To uključuje pregled hardvera, softvera, mrežne arhitekture, korisničkih pristupa, politika i procedura te fizičke sigurnosti. Cilj audita jest identificirati ranjivosti, procijeniti rizike i definirati korake za unapređenje zaštite.

Jednostavnije rečeno, sigurnosni audit poput je sistematskog zdravstvenog pregleda za IT sustav vaše firme. Kao što liječnik provjerava krvnu sliku, krvni tlak i ostale parametre, tako audit provjerava sve aspekte vaše digitalne sigurnosti.

U kontekstu cybersecurity HR pristupa, audit ne gleda samo tehničke sustave već uzima u obzir i ljudski faktor, organizacijske procese te način na koji zaposlenici svakodnevno koriste tehnologiju.

Zato je važna poveznica između HR odjela i kibernetičke sigurnosti. Razlikuje površan pregled od audita koji zaista donosi rezultate.

Razlika audita i penetracijskog testiranja

Važno je razlikovati sigurnosni audit od penetracijskog testiranja.

Penetracijsko testiranje simulira stvarni napad na vaš sustav kako bi se pronašle specifične tehničke ranjivosti. Ova specijalizirana aktivnost zahtijeva naprednu ekspertizu i obično se naručuje od vanjskih stručnjaka.

Sigurnosni audit puno je širi pojam. Obuhvaća ne samo tehničke aspekte već i organizacijske mjere, politike, edukaciju zaposlenika i fizičku sigurnost. Za malu tvrtku koja tek kreće s unapređenjem sigurnosti, audit je logičan i daleko praktičniji prvi korak.

Specifični rizici za mala poduzeća

Manje tvrtke nemaju dediciranog IT sigurnosnog stručnjaka. Budžet za sigurnost je ograničen. Vidimo da zaposlenici koriste osobne uređaje za poslovne potrebe.

Pristup podacima nerijetko je nekontroliran, a sigurnosne politike ili ne postoje ili postoje samo na papiru.

Sve to čini mala poduzeća posebno ranjivima na phishing napade, ransomware, krađu podataka i neovlašteni pristup sustavima.

Uloga HR-a u kibernetičkoj sigurnosti sve važnija jer HR odjel ima direktan utjecaj na zapošljavanje, edukaciju i svakodnevne navike zaposlenika koje čine prvu liniju obrane.

Isplativost sigurnosnog audita

Prosječan trošak oporavka od cyber napada za malo poduzeće kreće se između 25.000 i 200.000 eura.

Na tu cifru još dodajemo izgubljeni prihod, troškove oporavka, pravne troškove i štetu ugledu. Temeljit sigurnosni audit, čak i kada ga provodite sami, može spriječiti ili značajno umanjiti posljedice takvog incidenta.

Koliko često treba provoditi audit

Preporuka je provoditi cjeloviti sigurnosni audit najmanje jednom godišnje. Međutim, parcijalne provjere pojedinih segmenata trebaju se provoditi kvartalno.

Također, audit je obavezan nakon svake veće promjene u IT infrastrukturi, poput prelaska na novi sustav, uvođenja rada na daljinu ili značajnog povećanja broja zaposlenika.

Priprema za sigurnosni audit

Prije nego što krenete s prvim korakom audita, potrebna je temeljita priprema. Kvalitetna priprema može napraviti razliku između površnog pregleda i audita koji zaista donosi rezultate.

Određivanje odgovorne osobe

U maloj tvrtki koja broji 5 do 15 zaposlenika vjerojatno nemate luksuz formiranja cijelog tima.

U tom slučaju odredite jednu osobu koja će biti glavni nositelj procesa. Grupu mogu sačinjavati vaš IT administrator, tehnički najkompetentniji zaposlenik ili vi sami kao vlasnik poslovanja.

Ako imate više od 15 zaposlenika, formirajte mali tim od dvije do tri osobe. Idealan tim uključuje osobu s tehničkim znanjem, osobu koja poznaje poslovne procese i nekoga iz upravljačke strukture koji može donositi odluke o budžetu i prioritetima.

Ovdje dolazi do izražaja cybersecurity for HR professionals pristup jer uključivanje osobe iz HR-a ili upravljanja ljudskim resursima u tim za audit osigurava da se ljudski faktor ne zanemari.

Ključno je da odgovorna osoba ili tim imaju potpunu podršku uprave. Bez toga audit gubi smisao jer se preporuke neće moći implementirati.

Potrebni resursi i alati

Za provođenje osnovnog sigurnosnog audita trebat će vam računalo s administratorskim pristupom mreži, pristup svim sustavima i uslugama koje koristite, besplatni alati za skeniranje koje ćemo detaljno navesti u svakom koraku, dokumentacija o vašoj IT infrastrukturi koliko god je imate te tablice ili predlošci za bilježenje nalaza.

Većina alata koje preporučujem u ovom vodiču potpuno je besplatna ili ima besplatnu verziju dovoljnu za potrebe male tvrtke.

Definiranje opsega audita

Prije početka jasno definirajte što audit obuhvaća. Za malu firmu preporučujem da opseg uključi sve IT resurse, ali ovo ipak zapišite kako ne biste nešto preskočili.

Opseg bi trebao obuhvatiti svu mrežnu infrastrukturu uključujući routere, switcheve i pristupne točke, sva računala i servere, mobilne uređaje koji pristupaju poslovnim podacima.

Zatim, cloud usluge i aplikacije, korisničke račune i pristupna prava, sigurnosne politike i procedure, fizičku sigurnost IT opreme te sigurnosne kopije i planove oporavka.

Prikupljanje postojeće dokumentacije

Prije početka audita prikupite svu dokumentaciju koju imate. Prikupite mrežne dijagrame. Uzmite čak i ručno nacrtane skice, popis hardvera i softvera ako postoji.

Dodajte ugovore s pružateljima IT usluga, eventualne postojeće sigurnosne politike, prethodne izvještaje o incidentima te pristupne podatke za administratorske konzole.

Ne brinite ako nemate sve od navedenog. Dio audita upravo je i stvaranje dokumentacije koja dosad nije postojala.

Kako provesti sigurnosni audit

Sada prelazimo na srž ovog vodiča: deset konkretnih koraka koji čine temeljit sigurnosni audit IT sustava male firme.

Korak 1: Inventar IT imovine

Ne možete zaštititi ono za što ne znate da postoji. Stoga je inventar IT imovine apsolutno prvi korak svakog sigurnosnog audita.

Prođite kroz sve prostorije vaše tvrtke i zabilježite svaki uređaj koji je povezan na mrežu ili pohranjuje poslovne podatke.

Ubrojite stolna računala i laptope, servere uključujući one manje skrivene ispod stola, routere, switcheve i pristupne točke za bežičnu mrežu, printere i skenere s mrežnom vezom, mobilne uređaje poput pametnih telefona i tableta, IoT uređaje kao što su sigurnosne kamere i pametni termostati te vanjske diskove i USB memorije.

Za svaki uređaj zapišite naziv, model, serijski broj, lokaciju, korisnika i operativni sustav.

Na svakom računalu provjerite koji su programi instalirani.

Posebno obratite pozornost na operativne sustave i njihove verzije, poslovne aplikacije poput računovodstvenih programa, CRM-a i ERP-a, komunikacijske alate, cloud usluge kojima pristupate putem preglednika te nelicencirani ili neovlašteni softver.

Označite resurse koji su najvažniji za vaše poslovanje. Postavite si pitanje koji sustav bi, ako bi prestao raditi, zaustavio vaše poslovanje?

Obično prestanu server s bazom podataka klijenata, računovodstveni sustav, email server ili usluga te web trgovina ili glavna poslovna aplikacija.

Preporučeni besplatni alati za inventar su Spiceworks Inventory koji nudi besplatno skeniranje mreže i automatsko otkrivanje uređaja te OCS Inventory kao alat otvorenog koda za katalogizaciju hardvera i softvera.

Korak 2: Procjena sigurnosti mreže

Mreža je kralježnica vašeg IT sustava i najčešća ulazna točka za napadače. Ovaj korak zahtijeva malo više tehničkog znanja, ali je apsolutno ključan.

Nacrtajte dijagram svoje mreže. Manja tvrtka ima internet vezu od pružatelja usluga, router ili firewall uređaj, switch ili više switcheva, bežične pristupne točke te krajnje uređaje poput računala, printera i servera.

Ako nemate mrežni dijagram, sada je pravo vrijeme da ga napravite.

Prijavite se na svoj router ili firewall uređaj i provjerite jesu li zadane tvorničke lozinke promijenjene, koji su portovi otvoreni prema internetu, postoje li pravila koja ograničavaju dolazni i odlazni promet, je li firmware ažuriran na najnoviju verziju te je li omogućeno logiranje mrežnog prometa.

Većina malih i manjih tvrtki koristi poslovne routere koji imaju ugrađeni firewall. Ako koristite obični kućni router, to je već sam po sebi nalaz audita koji zahtijeva hitnu promjenu.

Za bežičnu mrežu provjerite koristi li vaša mreža WPA3 ili barem WPA2 enkripciju jer su WEP i WPA neprihvatljivi, postoji li odvojena mreža za goste izolirana od poslovne mreže, je li WiFi lozinka dovoljno jaka s minimalno 12 znakova te tko sve zna WiFi lozinku i kada je zadnji put promijenjena.

Čak i u maloj tvrtki pametna je praksa razdvojiti mrežu na segmente tako da računala zaposlenika budu na jednom segmentu, serveri na drugom, IoT uređaji na trećem, a gostujuća mreža potpuno izolirana.

Segmentacija znači da ako napadač kompromitira jedan uređaj, neće automatski imati pristup svemu ostalom.

Preporučeni besplatni alati su Nmap za skeniranje mreže i otkrivanje otvorenih portova, Wireshark za analizu mrežnog prometa te Fing kao jednostavan alat za otkrivanje uređaja na mreži dostupan i kao mobilna aplikacija.

Korak 3: Revizija korisničkih pristupa

Upravljanje korisničkim pristupima jedna je od najvažnijih, a često i najzanemarenijih sastavnica IT sigurnosti malih tvrtki.

pwc

Sada dolazi do izražaja poveznica između HR-a i kibernetičke sigurnosti jer HR odjel upravlja životnim ciklusom zaposlenika, od zapošljavanja do odlaska, a svaka od tih faza ima izravne sigurnosne implikacije.

Napravite popis svih korisničkih računa na svim sustavima, uključujući lokalne korisničke račune na računalima, račune na serverima i poslovnim aplikacijama, administratorske račune te račune za cloud usluge poput Microsoft 365 ili Google Workspace.

Za svaki račun utvrdite ima li korisnik odgovarajuću razinu pristupa za svoju ulogu. Zaposlenici s vremenom akumuliraju pristupna prava koja im više nisu potrebna, primjerice nakon promjene radnog mjesta unutar firme.

Provjerite kakve su lozinke u upotrebi. Minimalna preporučena duljina jest 12 znakova, a lozinke moraju sadržavati kombinaciju velikih i malih slova, brojki i specijalnih znakova.

Ne smiju se koristiti iste lozinke za različite sustave, a preporučena je promjena svakih 90 dana za kritične sustave.

Ako zaposlenici koriste jednostavne lozinke poput firma2024 ili password123, vrlo brzo nastane ozbiljan sigurnosni problem koji zahtijeva hitnu intervenciju.

Višefaktorska autentifikacija mora biti aktivna minimalno na email računima, pristupu poslovnim aplikacijama iz oblaka, VPN pristupu, administratorskim konzolama te bankovnim i financijskim sustavima.

MFA je jedna od najučinkovitijih sigurnosnih mjera uopće jer čak i ako napadač dođe do lozinke zaposlenika, bez drugog faktora autentifikacije neće moći pristupiti sustavu.

Posebno obratite pozornost na račune bivših zaposlenika. Jesu li svi računi deaktivirani nakon odlaska zaposlenika? Postoji li proces za pravovremeno ukidanje pristupa?

Neaktivni računi s važećim pristupom predstavljaju ozbiljan sigurnosni rizik. Ovo je klasično područje gdje cyber HR consulting pristup ima smisla jer integracija HR procesa s IT sigurnosnim procedurama osigurava da se pristup automatski revidira pri svakoj kadrovskoj promjeni.

Ključni princip koji treba poštovati jest princip najmanje privilegije. Svaki korisnik treba imati samo onaj pristup koji mu je nužan za obavljanje posla.

Korak 4: Sigurnosti endpoint uređaja

Svako računalo, laptop i mobilni uređaj koji se spaja na vašu mrežu potencijalna je ulazna točka za napadača.

Na svakom uređaju provjerite je li instaliran antivirusni program, jesu li definicije virusa ažurne, je li omogućeno automatsko skeniranje u stvarnom vremenu te postoji li raspored redovitog potpunog skeniranja sustava.

Ako koristite Windows 10 ili 11, Microsoft Defender ugrađen je u sustav i za male tvrtke i može biti sasvim dovoljan pod uvjetom da je ispravno konfiguriran i ažuran.

Neažurirani operativni sustavi jedni su od najčešćih uzroka sigurnosnih proboja.

Provjerite jesu li sva računala na najnovijoj podržanoj verziji operativnog sustava, jesu li instalirana sva sigurnosna ažuriranja, je li omogućeno automatsko ažuriranje te koristi li netko još uvijek nepodržane verzije poput Windowsa 7.

Provjerite je li na prijenosnim računalima i mobilnim uređajima omogućena enkripcija diska. Na Windows sustavima to je BitLocker, na macOS sustavima FileVault.

Enkripcija je kritična jer ako netko ukrade laptop zaposlenika, bez enkripcije napadač može pristupiti svim podacima na disku.

Ako zaposlenici koriste pametne telefone ili tablete za pristup poslovnim podacima, provjerite jesu li uređaji zaštićeni PIN-om, otiskom prsta ili prepoznavanjem lica, je li omogućena enkripcija uređaja, postoji li mogućnost udaljenog brisanja podataka u slučaju gubitka ili krađe te jesu li poslovni i osobni podaci odvojeni na uređaju.

Ovdje vrijedi spomenuti i aplikacije poput Google Safety Hub-a koje pomažu korisnicima u upravljanju sigurnošću vlastitih mobilnih uređaja, što može biti korisna preporuka za zaposlenike u sklopu BYOD politike.

Preporučeni besplatni alati su Microsoft Defender za osnovnu antivirusnu zaštitu na Windows sustavima, Malwarebytes Free za dodatno skeniranje i uklanjanje malwarea te Patch My PC za provjeru ažuriranosti softvera.

Korak 5: Sigurnosne kopije i oporavak

Sigurnosne kopije vaša su posljednja linija obrane. Ako sve ostalo zakaže, kvalitetan backup omogućuje vam oporavak bez plaćanja otkupnine napadačima i bez gubitka podataka.

Zlatni standard za sigurnosne kopije jest pravilo 3-2-1 koje nalaže da imate najmanje tri kopije podataka, da su pohranjene na dva različita medija primjerice lokalni disk i cloud te da je jedna kopija pohranjena na udaljenoj lokaciji.

Najvažniji korak koji gotovo svi preskaču jest testiranje procesa oporavka.

Izvedite probni oporavak nasumično odabranih datoteka. Izmjerite koliko vremena treba za potpuni oporavak kritičnih sustava.

Provjerite integritet obnovljenih podataka, odnosno jesu li ispravni i potpuni. Backup koji se ne može obnoviti zapravo nije backup već samo lažan osjećaj sigurnosti.

Korak 6: Politike i edukacija zaposlenika

Tehnologija može učiniti mnogo, ali zaposlenici su i dalje najslabija karika u lancu sigurnosti.

Provjerite imate li dokumentirane politike za prihvatljivo korištenje IT resursa, politiku lozinki, korištenje osobnih uređaja na poslu odnosno BYOD politiku, postupanje s osjetljivim podacima, rad na daljinu te postupak prijave sigurnosnih incidenata.

Ako te politike ne postoje, njihova izrada trebala bi biti visoki prioritet u vašem akcijskom planu.

Politike ne moraju biti dugačke i komplicirane jer je jednostavan jasan dokument od nekoliko stranica bolji od opširnog priručnika koji nitko neće pročitati.

Provedite kratku anketu ili intervjue sa zaposlenicima kako biste utvrdili njihovu razinu svjesnosti o cyber prijetnjama.

Pitanja mogu uključivati što bi napravili kada bi primili sumnjiv email, znaju li kome prijaviti sigurnosni incident, koriste li iste lozinke za privatne i poslovne račune te jesu li svjesni rizika korištenja javnih WiFi mreža za poslovne aktivnosti.

Jednostavan test koji možete provesti sami jest slanje simuliranog phishing emaila zaposlenicima.

Postoje besplatni alati poput GoPhish platforme koji omogućuju kreiranje simuliranih phishing kampanja. Rezultati će vam jasno pokazati koliko su vaši zaposlenici otporni na ovu vrstu napada.

Također, hrvatska policija ima aplikaciju za e-dojave sumnjivih događaja koja može biti korisna zaposlenicima za prijavu incidenata izvan radnog vremena.

Korak 7: Sigurnost aplikacija i podataka

Podaci su najvrjednija digitalna imovina vaše tvrtke.

Ovaj korak fokusira se na to kako su ti podaci zaštićeni i tko im može pristupiti.

Identificirajte gdje se pohranjuju osjetljivi podaci uključujući osobne podatke klijenata, financijske podatke, poslovne tajne i ugovore.

Zatim provjerite tko ima pristup tim podacima, je li taj pristup ograničen na potreban minimum te postoji li logiranje pristupa kako biste znali tko je kada pristupio kojim podacima.

Provjerite imate li evidenciju aktivnosti obrade osobnih podataka, znate li pravnu osnovu za svaku vrstu obrade, imate li definirane rokove čuvanja podataka, jeste li imenovali službenika za zaštitu podataka ako je potrebno.

Za email sustav provjerite je li omogućen spam filter, koristi li se enkripcija za osjetljive poruke te postoji li SPF, DKIM i DMARC konfiguracija za vašu domenu jer ovo sprječava da netko šalje lažne emailove u vaše ime

Korak 8: Analiza ranjivosti

Sada prelazimo na aktivno traženje tehničkih ranjivosti u vašem sustavu.

Ovaj korak tehnički je najzahtjevniji, ali besplatni alati čine ga pristupačnim i za osobe bez naprednog tehničkog znanja.

Za skeniranje ranjivosti koje je automatizirani proces provjere sustava na poznate sigurnosne propuste preporučujem sljedeće besplatne alate.

OpenVAS, odnosno, Greenbone Vulnerability Management najsveobuhvatniji je besplatni skener ranjivosti otvorenog koda koji zahtijeva nešto više tehničkog znanja za postavljanje ali pruža izvrsne rezultate.

Nessus Essentials besplatna je verzija jednog od najpopularnijih komercijalnih skenera ranjivosti ograničena na 16 IP adresa, što je za većinu malih firmi sasvim dovoljno. Microsoft Baseline Security Analyzer specifično je namijenjen za procjenu sigurnosti Windows okruženja.

Provjerite koriste li se na vašim sustavima aplikacije koje više nemaju podršku proizvođača, jesu li sve aplikacije ažurirane na najnovije verzije, postoji li softver koji se više ne koristi a još je instaliran te koriste li se nelicencirane verzije softvera.

Rezultati skeniranja obično kategoriziraju ranjivosti prema ozbiljnosti.

Kritične ranjivosti zahtijevaju hitnu intervenciju jer omogućuju potpuno preuzimanje sustava. Visoke ranjivosti ozbiljne su i trebaju se riješiti u roku od nekoliko dana.

Srednje ranjivosti trebaju se planirati za rješavanje unutar mjesec dana.

Niske ranjivosti predstavljaju manji rizik ali ih svejedno treba dokumentirati i planirati popravak.

Fokusirajte se prvo na kritične i visoke ranjivosti i nemojte se obeshrabriti ako skener pronađe velik broj nalaza jer je to potpuno normalno pogotovo ako se audit provodi prvi put.

Korak 9: Testiranje incidentnog odgovora

Pitanje nije hoće li se sigurnosni incident dogoditi nego kada.

Pripravnost za odgovor na incident može napraviti ogromnu razliku u opsegu štete.

Provjerite postoji li dokumentirani plan koji definira što je sigurnosni incident i kako ga prepoznati, tko je odgovoran za koordinaciju odgovora, koji su koraci za zaustavljanje napada i ograničavanje štete.

Također, kako se provodi oporavak sustava, koga treba obavijestiti uključujući upravu, klijente, regulatore i policiju te kako se dokumentira incident i provode korektivne mjere.

Ako plan ne postoji, izrada osnovnog plana za odgovor na incidente trebala bi biti visok prioritet.

Provedite jednostavnu simulaciju sigurnosnog incidenta. Pretpostavite scenarij u kojem je ransomware enkriptirao datoteke na serveru, prođite kroz cijeli postupak odgovora i zabilježite gdje se pojavljuju problemi, nepoznanice ili kašnjenja.

Ova vježba izuzetno je vrijedna jer otkriva slabosti u vašoj pripravnosti koje se ne mogu uočiti na papiru.

Korak 10: Fizička sigurnost

Cyber sigurnost ne počinje i ne završava na zaslonu računala.

Cyber sigurnost

Fizički pristup vašim uređajima i prostorima jednako je važan aspekt sigurnosti.

Provjerite je li server ili prostorija u kojoj se nalazi mrežna oprema zaključan, tko ima ključ ili pristupnu karticu, postoji li evidencija pristupa te jesu li uvjeti u prostoriji odgovarajući što uključuje temperaturu, vlagu i zaštitu od požara.

Obratite pozornost nostavljaju li zaposlenici računala otključana kada napuštaju radni prostor, jesu li osjetljivi dokumenti vidljivi na stolovima, tko ima pristup uredskim prostorima izvan radnog vremena te postoje li sigurnosne kamere ili alarm sustav.

Politika čistog stola i zaključanog zaslona jednostavne su mjere koje značajno podižu razinu sigurnosti, a njihova implementacija ne košta ništa.

Izrada akcijskog plana nakon audita

Nakon što ste prošli svih deset koraka, pred vama je popis nalaza koji mogu djelovati zastrašujuće. Ključ je u prioritizaciji.

Svaki nalaz kategorizirajte prema razini rizika. Kritični nalazi zahtijevaju hitnu reakciju unutar 24 do 48 sati, a to su primjerice sustavi bez ikakve zaštite izloženi internetu, aktivni računi bivših zaposlenika s administratorskim pravima ili nepostojanje bilo kakvog backupa. V

isokorizični nalazi trebaju se riješiti unutar jednog do dva tjedna, poput nedostatka višefaktorske autentifikacije na kritičnim sustavima, neažuriranih operativnih sustava ili slabih administratorskih lozinki.

Srednjerizični nalazi planiraju se za rješavanje unutar jednog do tri mjeseca, a uključuju nedostatak sigurnosnih politika, nepostojanje mrežne segmentacije ili nedovoljnu edukaciju zaposlenika.

Niskorizični nalazi rješavaju se unutar tri do šest mjeseci, a odnose se na optimizaciju postojećih kontrola, poboljšanje dokumentacije ili uvođenje naprednih sigurnosnih mjera.

Za svaki nalaz definirajte konkretnu akciju, odgovornu osobu, rok za implementaciju i potrebne resurse. Ovaj akcijski plan postaje vaš putokaz za unapređenje sigurnosti u narednim mjesecima.

Povežite HR i kibernetičku sigurnost

Iskustvo pokazuje da najuspješniji sigurnosni programi u malim firmama nastaju kada HR odjel i IT aktivno surađuju. Evo konkretnih područja u kojima ta suradnja donosi najveću vrijednost.

Proces zapošljavanja i odlaska zaposlenika mora uključivati sigurnosne provjere.

ZaposliSe.hr

Pri zapošljavanju to znači kreiranje korisničkih računa s minimalnim potrebnim pristupom, potpisivanje politike prihvatljivog korištenja IT resursa te obveznu sigurnosnu edukaciju prije prvog radnog dana.

Pri odlasku zaposlenika to podrazumijeva trenutačnu deaktivaciju svih korisničkih računa, povrat sve IT opreme, promjenu dijeljenih lozinki kojima je zaposlenik imao pristup te reviziju pristupnih prava zaposlenika koji preuzimaju zadatke osobe koja odlazi.

Redovita sigurnosna edukacija treba postati dio godišnjeg plana razvoja zaposlenika, jednako kao i ostali treninzi. Kvartalne radionice o prepoznavanju phishinga, sigurnom radu na daljinu i zaštiti podataka ne zahtijevaju velik budžet, a donose značajne rezultate.

HR odjel također ima ključnu ulogu u stvaranju kulture sigurnosti. To znači jasno komuniciranje da je kibernetička sigurnost odgovornost svakog zaposlenika, uključivanje sigurnosnih praksi u ocjene radnog učinka te stvaranje okruženja u kojem zaposlenici bez straha prijavljuju sigurnosne incidente i pogreške.

Zaključak

Sigurnosni audit IT sustava vaše male firme nije jednokratni projekt nego kontinuirani proces.

Ovaj vodič dao vam je strukturirani okvir za provođenje temeljitog audita koji pokriva sve ključne aspekte, od tehničke infrastrukture do ljudskog faktora.

Najvažnije je krenuti. Nemojte čekati savršen trenutak ili savršene uvjete.

Čak i djelomično provedeni audit bolji je od potpunog ignoriranja sigurnosnih rizika. Svaki korak koji napravite, svaka ranjivost koju otkrijete i svaka mjera koju implementirate značajno smanjuje vjerojatnost da ćete jednog ponedjeljka ujutro dočekati zaključani zaslon s porukom o otkupnini.

Započnite s prvim korakom danas. Napravite inventar svoje IT imovine. Odatle će svaki sljedeći korak biti lakši jer ćete imati jasnu sliku onoga što štitite i zašto je to važno.