Hlavní strana -> Zprávy
Aktuality -> Analýzy - 30. 7. 2024 - Petr Zahálka

Odchod nebo přechod zaměstnance na jinou pozici je třeba ošetřit z hlediska kybernetické bezpečnosti

Máte ve firmě dostatečně ošetřeny situace kdy zaměstnanci mění pozice či pracovní zařazení? Nezůstávají při takové změně zaměstnanci přístupy a práva k systémům či dokumentům, ke kterým by již přístup mít neměl? Či ještě hůře, máte dobře zvládnutý „offboarding“, tedy ukončení pracovního (či jiného) poměru?



Změny na pozicích či odchod bez provedení změn v přístupech či plného odebrání přístupů je zásadní bezpečnostní riziko. A to jak z pohledu vnitřní hrozby, tedy toho, že zaměstnanec má přístup kam nemá a může ho cíleně zneužít či omylem použít, tak z pohledu možného útoku zvenčí. Útočník se pak může dostat k informacím, které by cíl jeho útoku vlastně neměl mít vůbec přístupné.

Zachované přístupy, jak je možné nejlépe toto riziko označovat, jsou přitom na odpovědnosti nejenom ICT či bezpečnostních odděleni, ale i dalších entit ve firmě - HR, finanční, obchodní oddělení, logistika či provoz. A také primárním úkolem pro nadřízené každého zaměstnance. Právě ti jsou zpravidla nositeli procesu změny pozice zaměstnance (přechod od jednoho nadřízeného k novému) či odchodu.

Na celofiremní úrovni je to však především IT manažer (CIO) nebo přímo manažer informační bezpečnosti (CISO), kdo musí zajistit, aby se při změně pozice nebo zaměstnání změnil i požadovaný přístup k citlivým údajům a/nebo infrastruktuře. Klíčovou roli zde hraje technologie řízení přístupových práv (Identity and Access Management, IAM), která zahrnuje procesy a technologie používané k řízení a kontrole přístupu uživatelů k informačním systémům, datům a zdrojům. IAM zajišťuje, že správné osoby mají správný přístup k informacím ve správný čas a z správných důvodů.

Netýká se to ale zdaleka jen zaměstnanců, stejná rizika jsou spojena i s dodavateli a partnery.

Moje data, vezmu si je s sebou

Odchod zaměstnanců je často spojený se snahou si odnést data a informace, jako jsou intelektuální vlastnictví, databáze či kontakty. Samotný „offboarding“ by tak měl začínat mnohem dříve, než v „den ukončení“.

V minulosti podobné „odnášení si“ bylo spojené s potřebou využití USB klíčenek, CD/DVD či externích disků. Něčím, co se firmy naučily efektivně hlídat a omezovat. Nástup cloudů a rychlého internetu ale přináší nové, snazší a efektivnější cesty jak data přenést. A také nutnost nových metod pokročilé ochrany.

Minimální přístup

S ohledem na výše popsané je dobré připomenout koncept nejméně privilegovaného přístupu. Lidé by neměli dostávat práva a přístupy, která nepotřebují ke své práci. Je důležité jim dát jen taková práva, která jim umožní efektivně fungovat.

Týká se to jak počítačových, síťových či databázových přístupů, tak fyzického světa. Tedy přístupu do firemních prostor a k firemním prostředkům. Včetně ekvivalentu přihlašovacích údajů v podobě přístupové karty. Paradoxně je běžné, že i na ty se při odchodu či změně pozice zapomíná.

Petr Zahálka Petr Zahálka
Autor je obchodním ředitelem Thein Security.

 
  

- PR -

Čeští zaměstnanci už AI běžně používají,

ne vždy však bezpečným způsobem


Umělá inteligence se stává běžnou součástí pracovních procesů. Dokazují to lednová čísla ČSÚ, podle kterých 18 % českých podniků s více než 10 zaměstnanci používá AI. Nejčastěji ji využívají velké firmy, a to dokonce více než polovina z nich. Spolu s popularitou umělé inteligence však přichází i negativní fenomén tzv. shadow AI. Jedná se o firmou neschválené využívání AI nástrojů, které může vyústit až v únik firemních dat.

  

- PR -

AI v ERP systému

Co v praxi funguje, jak to navrhnout a proč začít po krocích


Umělá inteligence je součástí každodenního života – od chytrých vyhledávačů přes automatické překlady až po plánování tras nebo generování obrázků. Ale co ERP systémy? Je správný čas zapojit AI právě sem? Určitě ano, ale smysluplně. Tak, aby zkrátilo cestu od otázky k odpovědi, od záměru k akci, a přitom udrželo to nejdůležitější: kontrolu, bezpečnost a auditovatelnost.