O nás     Inzerce     KontaktVěrohodné informace z byznysu již od roku 2013
Hledat
Nepřehlédněte: Slovník ekonomických pojmů
Plánovací kalendář 2025Zkušenosti podnikatelů v ČR
Nejlepší IT: Pozoruhodné IT produkty pro rok 2024 podruhé
Hlavní rubriky: Ekonomika, Podnikání, Investice, Reality, Lidé, Peníze, Technologie, Zkušenosti, Speciály
Slovník ekonomických pojmů
Praktické informace pro firmy

Evidujte své informační technologie a školte uživatele

Rychlý vývoj komunikačních možností výpočetní techniky přináší ve společnostech mnoho pozitivního, ale také značná bezpečnostní rizika. V současné době je zaznamenáno stále více kybernetických útoků na firemní i soukromé počítače. Zvyšování bezpečnosti IT je dnes prvořadým úkolem, avšak toto si řada společností uvědomuje až problém nastane.

(Partnerský příspěvek)


Základním krokem v této situaci je použít některý ze SW nástrojů SAM (vytvořit si základní evidenci počítačů a zjistit jaký SW se na něm nachází. Nejedná se zde jen o SW licenční, ale o veškerý SW, který se na počítačích nachází. Každý neznámý program může být potencionálním rizikem.

V dalším kroku pak zjišťujeme u uživatelů, zda daný program při své práci skutečně užívají. Nepotřebný, neznámý SW se z počítačů odborně odinstaluje. Na základě skutečně užívaného SW provedeme dohledání nabývacích dokladů k nalezenému SW. Ne vždy se podaří nabývací doklady k SW nalézt v plném rozsahu. Pak máme dvě možnosti, buď daný SW nakoupíme jako dodatečné licence (a to bude velmi drahé), nebo část SW ( kde to půjde) nahradíme levnějším SW, nebo SW, který je možno bezplatně užívat ke komerčnímu využití. Musíme však v této chvíli zvážit i další aspekty na to navazující. Zaškolování uživatelů, tvorba nových šablon a postupů, časové nároky na přeinstalaci SW.

Kdo je vlastně ve firmě za SW odpovědný? Ze zákona vždy fyzická osoba – tedy majitel, jednatel, či ředitel organizace. Ten by měl formou organizačního řádu, popisu práce tuto odpovědnost přenést na správce PC, který by ji zase měl nějakou formou (např. předávací protokol) předat na koncového uživatele.

Kdy mohou nastat problémy? Ve většině případů problémy nastávají, když policie ČR provede kontrolu SW ve vaší organizaci na základě příkazu státního zástupce. Důvodem kontroly bývá často „anonymní“ udání bývalého zaměstnance, nebo konkurenční firmy. Pokud nemáte vše v oblasti SW v pořádku starosti nastávají. Další problémy vznikají porušením bezpečnostních pravidel, kdy uživatel spuštěním nelegálního, infikovaného, či jinak závadného SW ohrozí funkčnost počítače, počítačové sítě, či ohrozí bezpečnost dat.

Co nám tedy hrozí? Užíváním nelegálního SW poškozujete dle autorského zákona výrobce SW (nositele a vykonavatele autorských práv), kteří mohou po vás vyžadovat nakoupení nelegálně užívaných programů. Současně mohou také žádat i o náhradu škody po celé období, kdy jste SW nelegálně užívali. Vzniklá škoda je pak řešena orgány činnými v trestním řízení. U škody značné nad 500 tis. Kč trestní zákoník stanovuje trestní sazbu až na 5 měsíců nepodmíněně. Z praktických zkušeností víme, že tato částka se na cca 100 PC překročí snadno. Nejedná se tak o zneužívaný SW, ale zejména o SW zapomenutý a neužívaný.

Další problémy mohou nastat například s finančními úřady. V okamžiku, kdy na svém počítači vytváříte na nelegálním SW nějaké hodnoty – zisk (např. projekty v CAD systémech), pak vytvořené hodnoty jsou neoprávněným majetkovým prospěchem a propadají státu. Navíc dle posouzení finančního úřadu je možno vypsat penále až do výše 100 % neoprávněného prospěchu. A to jsou již částky, které mohou organizaci značně zkomplikovat život. Bohužel, řada vedoucích pracovníků si tuto skutečnost vůbec neuvědomuje.

Je nutno si říci, že zakoupením SW nevlastníte SW jako takový, ale pouze právo k jeho užívání a to dle specifických podmínek, kterým se říká licenční ujednání. Jakékoliv nedodržení těchto podmínek ze strany uživatele, může být důvodem k zrušení práva k užívání tohoto SW. Pokud nějaká organizace nedoloží kolik SW ve skutečnosti používá (např. licence typu Select), pak může výrobce právo užívání SW s okamžitou platností zrušit. Toto může mít velký vliv na samotný provoz organizace.

Zavedení komplexní správy HW a SW musí vždy chtít a odsouhlasit vedení organizace. Evidence výpočetní techniky je jen prvním krokem, na který musí navazovat organizační a metodická opatření. Pokud bude tato problematika vedením podceňována a ignorována, dojde k časovým prodlením, které v budoucnu povedou k značným finančním ztrátám.

Základní školení v oblasti Kybernetické bezpečnosti

Jak snížit bezpečnostní rizika ve společnosti a dosáhnout tak dalšího snížení nákladů, které vznikají porušováním bezpečnostních zásad a pokynů? Řešením mohou být školení řadových pracovníků.

Oblasti školení:

  • Sociální inženýrství – účel, cíle, sociálního inženýrství, vzorové příklady podvrhů a útoků;
  • Legislativa - nový zákon o kybernetické bezpečnosti; vysvětlení základních pojmů; povinnosti;
  • Aktiva v Informační bezpečnosti; Ohodnocování aktiv;
  • Informační bezpečnost – Dostupnost, Důvěrnost, Integrita DAT – Informačních Aktiv;
  • Používání hesel - pravidla pro tvorbu a používání hesel; rizika slabých hesel, příklady;
  • Kryptování a zabezpečení dat - Digitální podpis, Certifikát, Certifikační autorita; Časové razítko; Datová schránka;
  • Používání e-mailu - pravidla pro bezpečnou emailovou komunikaci, SPAM, příklady phishingových emailů;
  • Zákon na ochranu osobnosti – Osobní data, nevyžádaná obchodní sdělení;
  • Používání webu - pravidla pro bezpečné užívání internetu; rizika; příklady podvržených webových stránek;
  • Používání notebooků, tabletů, smartphonů - pravidla pro používání soukromých a firemních zařízení;
  • Bezpečné používání Wi-Fi; princip wifi, zabezpečení, používání, rizika
  • Ochrana proti malware - anti X, pravidla pro bezpečné používání PC, emailu, webu, sociálních sítí apod.;
  • Fyzická bezpečnost – karty, klíče, návštěvy, krádeže koncových zařízení, auta;
  • Bezpečnostní incidenty - příklady, detekce, hlášení, odezva;
  • Sociální sítě - používání a rizika sociálních sítí;
  • Bezpečné Zálohování a Obnova dat;
  • Formáty pro dlouhodobé ukládání dat; kvalita nosičů; zásady
  • Právně platná konverze dat, do a z digitálních formátů;
  • Autorská práva a IT – Instalace SW, aktualizace, update SW, Eula, Licenční smlouvy,
  • Rizika, spojená s nedodržením zásad prázdného stolu, obrazovky a tiskárny;
  • Odpovědnost za informační bezpečnost; Shoda se zákonem o Kybernetické Bezpečnosti, ISO/IEC 27001:2013;
  • Audit; principy a cíle;
  • Ergonomie práce v IT – sezení, přestávky, zatížení vliv na zdraví.
  • Osobní údaje, – kategorie, zásady zpracování z pohledu zaměstnavatele a zaměstnance.
  • Test znalostí a prezenční listina – záznam o proškolení uživatelů;

Rozsah a cena školení:

Délka školení 4 hodiny, počet účastníků max. 30 osob, cena 25 400,- Kč + DPH.

Proč realizovat školení Informační bezpečnosti pro běžné uživatele

  • Objem škodlivého SW a množství podvodných technik v digitální podobě je rostoucí, rafinovaný a „důvěryhodnější“.
  • Uživatel je nejslabší článek. Školení je třeba zaměřit na běžné uživatele a zvýšit povědomí o Informační bezpečnosti právě u těchto, neboť jsou nejslabším článkem v případě kybernetický útoků, a podvodných a manipulativních emailů a informací. Neznalý důvěřivý a zvědavý uživatel je živná půda pro veškeré bezpečnostní útoky.
  • Lepší prosazování IT a bezpečnostních směrnic. Po proškolení běžných uživatelů, má vedení společnosti a vedení IT daleko jednodušší pozici v zavádění a prosazování bezpečnostních směrnic a postupů v oblasti IT.
  • Nízké náklady do prevence oproti možným finančním ztrátám. Náklady na proškolení uživatele jsou zanedbatelné oproti ztrátám způsobeným zavirováním, zcizením dat, ztrátou jména nebo značky mohou jít od desítek tisíc až do milionů korun!
  • Externím odborníkům uživatelé více věří. Proškolení externími odborníky v oblasti informační bezpečnosti má pro uživatele větší Informační váhu než interní odborníci svázáni interními zvyklostmi a vazbami s uživateli.
  • Fyzické školení je pro uživatele informačně kvalitnější, příjemnější a stravitelnější. Pro uživatele je lepší fyzická forma se školiteli, kde se mohou na spoustu postupů zeptat a konzultovat napřímo se školiteli a odborníky na informační bezpečnost. Školení E-Learning formou je často „proklikáváno“ a nemá takovou účinnost jako fyzické školení. Kde je interaktivně reagováno na reálné problémy spojené s prostředím, kde uživatelé jsou zaměstnáni.
  • Školení na místě u zákazníka. Školení je prováděno (3-4) hodinových bězích v místě zákazníka pro cca 30-50 uživatelů dle kapacit a možností provozu zákazníka nebo pružně dle dohody.
  • O školení je veliký zájem. Školení je ze strany běžných uživatelů pracovníků a manažerů přijímáno velmi kladně a na školení se těší, neboť informace pravidla a postupy uplatní nejen ve společnosti, ve které pracují, ale chrání je i ve svém osobním životě při komunikaci v digitálním světě.
  • V souladu se zákonem o kybernetické bezpečnosti. Školení svým rozsahem a obsahem odpovídá požadavkům kybernetického zákona na proškolení koncových uživatelů.
  • Školení je vhodné pro získání dotace EU na zvýšení kvalifikace zaměstnanců Zadavatele.

Ing. Rudolf Weissbrod, SW Auditor, Free RW-Soft, v.o.s.

(Partnerský příspěvek)


(2. 3. 2015 | redakce2)

Tento článek je součástí speciálu:
Správa IT: Aby technologie dobře sloužily

Pojem "správa informačních technologií" zahrnuje širokou škálu činností a - to si přiznejme - jeho detailní rozklíčování mnohdy zástupci ostatních...

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2013-2024 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(1722)