Máte v organizaci zpracovaná bezpečnostní pravidla? A můžeme je vidět?

2. 6. 2025

Redakce digivia

Žena píše na klávesnici počítače

Ilustrační fotka ▪ Zdroj: Canva Teams

Z našeho průzkumu digitalizace českého neziskového sektoru, který jsme v digivia (dříve Sdružení VIA) realizovali v roce 2023, vyšlo najevo, že pouze malá část neziskových organizací má zpracovaná bezpečnostní pravidla. Ta jsou přitom základem pro to, aby byla v živelném prostředí neziskovek chráněna organizační data i zdroje.

Nejrůznější kombinace plných i zkrácených pracovních úvazků, dobrovolníků*ic, spolupracujících freelancerů*ek nebo studentů*ek na praxi se v neziskových organizacích vyskytují ve větší míře než u firem. Spolu s nižším rozpočtem, se kterým organizace zpravidla pracují, se tato živelnost mnohdy promítá do toho, že část členů týmu pro práci využívá svá vlastní zařízení nebo software. To ovšem znemožňuje centrální správu, která dokáže zajistit například lhůtu pro povinnou výměnu hesla nebo vynutit aktualizace. O to více je potřeba spoléhat na osobní odpovědnost členů*ek týmu, a podpořit je v dodržování alespoň základních bezpečnostních doporučení.

Jak vyzrát na kybernetickou anarchii?

Když nejsou jednotně nastavená bezpečnostní doporučení, máme tendenci využívat to, co se nám dříve osvědčilo. A přesně tak vznikají situace, kdy členové týmu sdílí citlivé informace prostřednictvím nevhodného úložiště, nebo když několik lidí z týmu používá společné přihlašovací údaje. Kybernetická anarchie, která je společným jmenovatelem těchto situací, je problematická také z hlediska nových členů*ek týmu, které ostatní ochotně zaučí v nesprávných návycích. Co s tím?

Začněte auditem a zapojte celý tým

Dříve než začnete vytvářet vlastní bezpečnostní pravidla, udělejte si jednoduchý interní audit kyberbezpečnosti. Ačkoli to může znít složitě, v praxi může jít o příjemné a užitečné odpoledne, při kterém se celý tým snaží odpovědět na základní otázku:

„Jak to u nás chodí?“

Pokud se na setkání zapojí opravdu všichni, získáte cenný a komplexní přehled o aktuálním stavu bezpečnosti ve vaší neziskové organizaci nebo firmě. Důležité je od začátku setkání vytvořit atmosféru důvary a otevřenosti. Každý problém nebo slabé místo v zabezpečení se dá řešit – ale jen tehdy, když o něm víte. Pokud členové*ky týmu budou mít strach o problémech mluvit, budou se dál dít bez vědomí vedení, což může zvýšit riziko kybernetických incidentů.

Co při auditu bezpečnosti řešit?

Inspirujte se těmito otázkami:

  • Jaký hardware a operační systém/y využíváte? Kdo je jejich vlastníkem?
  • Jaký software využíváte? Má organizace licence k programům? V jakém množství? Mají licenci ti, kteří ji k práci skutečně potřebují?
  • S jakými daty pracujete a jakým způsobem? Máte společné (cloudové) úložiště? Existují pravidla pro přístup a používání úložiště? Jak jsou důležitá data zálohována?
  • Jakým způsobem a pomocí jakých nástrojů komunikujete s klienty*kami, partnery nebo kolegy*němi?
  • Jak pečují členové*ky týmu o svá hesla? Používají některé další metody zabezpečení? Jak svá hesla spravují?
  • Setkali se už členové*ky týmu se situací, kterou neuměli řešit? Ví, na koho se v takovém případě obrátit?

Čím více takových otázek zmapujete, tím lépe se vám budou sestavovat bezpečnostní pravidla. Nenechte se odradit tím, že členové*ky týmu zpočátku tápou. Vysvětlujte, dávejte příklady a motivujte. Získané informace mohou posloužit také k optimalizaci pracovních procesů. Pravidelný interní audit kyberbezpečnosti pomáhá organizaci nejen lépe chránit svá data, ale také posiluje povědomí zaměstnanců o rizicích a vytváří zdravé bezpečnostní návyky.

Pokud chcete k auditu přistoupit komplexněji, mohl by vás oslovit náš digitální audit nebo digitální konzultace.

Co by nemělo chybět v bezpečnostních pravidlech

S informacemi, které si z auditu odnesete, můžete začít pracovat v těchto oblastech. Ty by měly být součástí každého bezpečnostního doporučení.

1. Ochrana zařízení a sítí před neoprávněným přístupem

V tomto okruhu se můžete zaměřit hned na dvě roviny. První z nich je fyzické zamezení v přístupu do zařízení (a sítí). Pravidla mohou vypadat třeba takto:

  • Zabezpečte své zařízení proti neoprávněnému přístupu nastavením hesla, PIN nebo biometrické metody.
  • Odhlaste se ze svého zařízení pokaždé, když se od něj vzdálíte.

Druhou rovinu představuje zamezení v neoprávněném virtuálním přístupu. Tím může být třeba nainstalování škodlivého programu. Uvažovat můžete např. o těchto pravidlech:

  • Využívejte pouze organizací nainstalované / doporučené programy.
  • Nezasahujte do nastavení firewallu.
  • Využívejte organizací nainstalovaný / doporučený antivirový program.
  • Provádějte pravidelné aktualizace operačního systému, programů a aplikací na všech zařízeních.

2. Zabezpečení účtů

Jakmile identifikujete všechny informační a komunikační systémy a služby, které využíváte, nastavte si pravidla, kdo a s jakými oprávněními bude mít k těmto účtům přístup.

Doporučujeme rozlišit alespoň mezi privilegovanými administrátorskými a běžnými uživatelskými účty. V pravidlech se můžete soustředit na toto:

  • Používejte své unikátní přihlašovací údaje.
  • Pro privilegované (administrátorské) účty platí tyto požadavky na hesla: minimální délka hesla je 17 znaků, heslo musí obsahovat tyto prvky velká a malá písmena, číslice a speciální znaky. Maximální doba platnosti hesla je 12 měsíců.
  • Pro běžné (uživatelské) účty platí tyto požadavky na hesla: minimální délka hesla je 12 znaků, heslo musí obsahovat velká a malá písmena, číslice a speciální znaky. Maximální doba platnosti hesla je 18 měsíců.
  • Zaveďte dvoufaktorové autentizace u všech privilegovaných účtů a doporučte jejich využití u všech běžných účtů.
  • Využívejte organizací stanovenou aplikaci pro dvoufaktorovou autentizaci.
  • Pečujte o svá hesla, zejména je s nikým nesdílejte, a chraňte je před neoprávněným přístupem.
  • Využívejte organizací stanovený software pro správu hesel.

3. Ochrana dat

Smyslem této části je ochrana dat proti neoprávněné změně, odstranění nebo neoprávněnému zpřístupnění. Je důležité motivovat lidi v týmu, aby používali organizací stanovené úložiště, na kterém probíhá pravidelná záloha dat. Pravidla mohou vypadat třeba takto:

  • Pro účely ukládání dat využívejte organizací stanovené úložiště.
  • V případě, že není možnost sdílet data prostřednictvím tohoto úložiště, využívejte organizací doporučenou službu.
  • Nesdílejte citlivá data prostřednictvím otevřených komunikačních nástrojů typu WhatsApp, Skype, Messenger.
  • Doporučte v rámci organizace zamezit využívání USB disků. Pokud je nutné data touto cestou sdílet, je potřeba je dále zabezpečit (např. opatřit dokument s daty heslem nebo opatřit přístupovým heslem USB disk).

4. Nestandardní situace a jak na ně reagovat

Zatímco preventivním opatřením se řada organizací věnuje pečlivě, příprava na nestandardní situace, a doporučené chování, v případě, že nastanou, bývá upozaďována. Částečně to může být příčinou statistiky, která říká, že více jak 40 % zaměstnanců*kyň způsobený bezpečnostní incident nehlásí. Pojďme to napravit. Posloužit mohou tato pravidla:

  • Podezřelou zprávu neodkladně oznamte (jméno a kontakt zodpovědné osoby / oznamovací e-mail). Podezřelou zprávu dále nešiřte, a nereagujte na ni.
  • V případě podezření na škodlivý software ve svém zařízení, to neodkladně oznámte (jméno a kontakt zodpovědné osoby / oznamovací e-mail). Zodpovědná osoba poskytne další informace.
  • V případě podezření na neoprávněný přístup do svého účtu, to neodkladně oznamte (jméno a kontakt zodpovědné osoby / oznamovací e-mail). Zodpovědná osoba poskytne další informace.

A co dál?

Cílem tohoto článku není nabídnout vyčerpávající seznam všech možných bezpečnostních pravidel, ale především ukázat, jak s kyberbezpečností můžete začít. První kroky směrem k vytvoření interních bezpečnostních zásad jsou klíčové – nejen pro ochranu před kybernetickými hrozbami, ale i pro celkové zefektivnění fungování organizace.

Sestavení základních bezpečnostních pravidel pomáhá:

  • posílit odolnost vůči kyberútokům,
  • zvýšit profesionalitu týmu,
  • zlepšit interní procesy,
  • a budovat důvěru u klientů, klientek i partnerských organizací.

Zavedením jednoduchých, srozumitelných pravidel posilujete digitální bezpečnost vaší organizace a vytváříte pevný základ pro další rozvoj v oblasti IT bezpečnosti.

🟪