⚡ LIMITED TIME • Get our FREE €500+ Compliance Starter Kit •

HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV

Compliance ISO 27001 NIS2 DORA

Kako izgraditi program otpornosti na phishing koji zaista djeluje

Igor Petreski

August 23, 2025

14 min read

#ISO 27001:2022 #Upravljanje rizicima #Odgovor na incidente #Zaštita podataka #Usklađenost

Vaše tehničke kontrole mogu biti snažne, ali vaši zaposlenici i dalje ostaju primarna meta phishing napada. Ovaj vodič daje strukturiran put, usklađen s ISO 27001, za izgradnju programa otpornosti na phishing koji vaš tim pretvara iz ranjivosti u najjaču liniju obrane, smanjuje ljudsku pogrešku i ispunjava regulatorne zahtjeve propisa kao što su NIS2 i DORA.

Što je u pitanju

Tehničke obrane, kao što su filtri e-pošte i zaštita krajnjih uređaja, nužne su, ali nisu nepogrešive. Napadači znaju da je najlakši ulaz u sigurnu mrežu često osoba. Jedan klik na zlonamjernu poveznicu može zaobići sigurnosnu tehnologiju vrijednu milijune funti. Korisnički računi najčešće su ciljane ulazne točke za kibernetičke napade, a uspješna phishing kampanja može dovesti do krađe vjerodajnica, zaraze zlonamjernim softverom i neovlaštenog pristupa. Posljedice nisu samo tehničke; one su izrazito poslovne. Kompromitirani račun može rezultirati prijevarnim bankovnim transferima, izlaganjem osjetljivih podataka klijenata i značajnim operativnim zastojima dok se sustavi čiste i obnavljaju.

Regulatorno okruženje također je strogo. Okviri kao što su GDPR, NIS2 i DORA izričito zahtijevaju da organizacije uvedu sigurnosne mjere koje uključuju kontinuirano osposobljavanje osoblja i podizanje svijesti. Article 21 Direktive NIS2, primjerice, zahtijeva od ključnih i važnih subjekata da osiguraju osposobljavanje iz kibernetičke sigurnosti i promiču osnovne prakse kibernetičke higijene. Slično tome, Article 13 DORA-e zahtijeva od financijskih subjekata uspostavu sveobuhvatnih programa osposobljavanja. Nemogućnost dokazivanja snažnog programa podizanja svijesti može dovesti do ozbiljnih kazni, reputacijske štete i gubitka povjerenja klijenata. Rizik nije apstraktan; on je izravna prijetnja vašoj financijskoj stabilnosti i pravnom položaju. Ljudska pogreška ključan je izvor rizika, a regulatori očekuju da je tretirate jednako ozbiljno kao bilo koju tehničku ranjivost.

Zamislite srednje veliko logističko društvo. Zaposlenik u financijskom odjelu prima uvjerljivu e-poruku, navodno od poznatog dobavljača, kojom se traži hitna uplata na novi bankovni račun. Potpis e-poruke izgleda ispravno, a ton je poznat. Pod pritiskom brze obrade računa zaposlenik izvršava transfer bez usmene provjere. Nekoliko dana poslije stvarni dobavljač zove zbog dospjelog, a neplaćenog računa. Društvo je izgubilo £50,000, a naknadna istraga uzrokuje značajan poremećaj. Taj se incident mogao u cijelosti spriječiti snažnim programom otpornosti na phishing koji osoblje osposobljava za prepoznavanje upozoravajućih znakova i provjeru neuobičajenih zahtjeva zasebnim komunikacijskim kanalom.

Kako izgleda dobra praksa

Uspješan program otpornosti na phishing premješta organizaciju iz reaktivnog u proaktivan sigurnosni profil. On potiče kulturu sigurnosne osviještenosti u kojoj zaposlenici nisu samo pasivni primatelji obuke, nego aktivni sudionici u obrani društva. Takvo stanje obilježavaju mjerljiva poboljšanja ponašanja i stvarno smanjenje rizika povezanog s ljudskim čimbenikom. Program izravno adresira zahtjeve ISO/IEC 27001:2022, osobito točku 7.3 o svijesti te kontrolu A.6.3 iz Priloga A o podizanju svijesti, edukaciji i osposobljavanju u području informacijske sigurnosti. Dobra praksa znači radnu snagu koja razumije svoje sigurnosne odgovornosti i ima kompetencije za njihovo ispunjavanje.

U takvom ciljanom stanju zaposlenici mogu pouzdano prepoznati i prijaviti sumnjive e-poruke, umjesto da ih ignoriraju ili, još gore, kliknu na njih. Postupak prijavljivanja jednostavan je, dobro poznat i uklopljen u svakodnevni radni tijek. Kada se provodi simulirana phishing kampanja, stopa klikanja niska je i kontinuirano se smanjuje, dok je stopa prijavljivanja visoka i raste. Ti podaci pružaju jasne dokaze revizorima, upravi i regulatorima da je program učinkovit. Još važnije, pokazuju da su vaši zaposlenici postali ljudski vatrozid, sposoban otkriti prijetnje koje automatizirani sustavi mogu propustiti. Takva kultura budnosti temeljna je sastavnica kibernetičke higijene, načela koje je središnje u suvremenim propisima kao što je NIS2.

Zamislite malo ili srednje poduzeće za razvoj softvera u kojem razvojni inženjer prima sofisticiranu spear phishing e-poruku. E-poruka izgleda kao da dolazi od voditelja projekta i sadrži poveznicu na dokument opisan kao “hitne izmjene projektne specifikacije”. Razvojni inženjer, osposobljen da bude oprezan prema neočekivanim hitnim zahtjevima, primjećuje da je adresa e-pošte pošiljatelja suptilno pogrešna. Umjesto klika koristi namjenski gumb “prijavi phishing” u klijentu e-pošte. Sigurnosni tim odmah prima upozorenje, analizira prijetnju i blokira zlonamjernu domenu u cijeloj organizaciji, čime sprječava potencijalnu povredu. Tako izgleda dobra praksa: osposobljen i osviješten zaposlenik djeluje kao ključan senzor u vašem sigurnosnom sustavu.

Praktičan put

Izgradnja održivog programa otpornosti na phishing sustavan je proces, a ne jednokratni događaj. Zahtijeva strukturiran pristup koji kombinira procjenu, osposobljavanje i kontinuirano učvršćivanje ponašanja. Podjelom provedbe u upravljive faze možete brzo izgraditi zamah i pokazati vrijednost. Ovaj put osigurava da vaš program ne bude samo formalno ispunjavanje zahtjeva za usklađenost, nego stvarno poboljšanje vašeg sigurnosnog profila. Naš vodič za implementaciju, Zenith Blueprint, pruža krovni okvir za integraciju ove vrste inicijative podizanja svijesti u vaš sustav upravljanja informacijskom sigurnošću (ISMS).¹

Faza 1: Uspostava temelja i procjena polaznog stanja

Prije izgradnje otpornosti morate razumjeti početnu točku. Prva faza odnosi se na uspostavu polaznog stanja trenutačne razine svijesti vašeg tima i utvrđivanje specifičnih kompetencija potrebnih za različite uloge. To znači više od pretpostavke da svima treba ista generička obuka. Vaš financijski tim suočava se s drukčijim prijetnjama od razvojnih inženjera. Temeljita procjena pomaže prilagoditi program za najveći učinak, osiguravajući da je sadržaj relevantan i zanimljiv ciljanoj publici. To je usklađeno s točkom 7.2 ISO 27001, koja zahtijeva da organizacije osiguraju kompetentnost osoba na temelju odgovarajućeg obrazovanja i osposobljavanja.

Utvrđivanje potrebnih kompetencija: Mapirajte specifična sigurnosna znanja potrebna za različite uloge. Primjerice, osoblje ljudskih resursa mora razumjeti kako sigurno postupati s osobnim podacima, dok IT administratori moraju imati dubinsko znanje o sigurnoj konfiguraciji.
Procjena trenutačne razine svijesti: Provedite početnu, nenajavljenu simulaciju phishinga radi uspostave polazne stope klikanja. Time dobivate konkretnu metriku za mjerenje budućeg poboljšanja.
Definiranje ciljeva programa: Postavite jasne, mjerljive ciljeve. Primjerice, “smanjiti stopu klikanja u simulacijama phishinga za 50% u roku od šest mjeseci” ili “povećati stopu prijavljivanja phishinga na 75% u roku od jedne godine”.
Odabir alata: Odaberite platformu za provedbu osposobljavanja i simulacija. Osigurajte da može pružiti detaljnu analitiku o uspješnosti korisnika i prijavljivanju.

Faza 2: Razvoj sadržaja i početno osposobljavanje

Nakon uspostave jasnog polaznog stanja i definiranih ciljeva, sljedeći je korak razviti i provesti temeljni sadržaj osposobljavanja. U ovoj fazi počinjete zatvarati nedostatke u znanju utvrđene u Fazi 1. Ključno je da osposobljavanje bude praktično, relevantno i kontinuirano. Jedno godišnje osposobljavanje nije dovoljno. Učinkoviti programi ugrađuju sigurnosnu svijest u cijeli životni ciklus zaposlenja, od prvog dana. Cilj je svaku osobu opremiti sposobnošću prepoznavanja i izbjegavanja uobičajenih prijetnji kao što su phishing i zlonamjerni softver.

Razvoj modula osposobljavanja temeljenih na ulogama: Izradite specifičan sadržaj za odjele visokog rizika. Financijski timovi trebaju dobiti osposobljavanje o kompromitaciji poslovne e-pošte i prijevarama s računima, dok razvojni inženjeri trebaju osposobljavanje o praksama sigurnog kodiranja.
Pokretanje osnovnog osposobljavanja: Provedite obvezni modul osposobljavanja o sigurnosnoj svijesti za sve zaposlenike. Treba obuhvatiti osnove phishinga, higijene lozinki, socijalnog inženjeringa i načina prijavljivanja sigurnosnog incidenta.
Integracija u uvođenje u posao: Osigurajte da svi novi zaposlenici završe osposobljavanje o sigurnosnoj svijesti kao dio procesa uvođenja u posao. Time se od prvog dana postavljaju jasna očekivanja. Iskoristite ovu priliku da zaposlenici potvrde upoznatost s ključnim politikama.

Faza 3: Simulacije, prijavljivanje i povratne informacije

Sama obuka nije dovoljna; ponašanje se mora testirati i učvršćivati. Ova faza usmjerena je na redovito provođenje kontroliranih simulacija phishinga kako bi zaposlenici imali sigurno okruženje za vježbanje svojih vještina. Jednako je važno uspostaviti postupak bez prepreka za prijavljivanje sumnjivih poruka. Kada zaposlenik prijavi potencijalnu prijetnju, pruža vrijedne obavještajne podatke o prijetnjama u stvarnom vremenu. Vaš odgovor na te prijave presudan je za izgradnju povjerenja i poticanje budućeg prijavljivanja. Ovdje je nužan jasan i praktičan plan odgovora na incidente.

Zakazivanje redovitih simulacija phishinga: Prijeđite s polaznog testa na redovit ritam simulacija, primjerice mjesečno ili tromjesečno. Varirajte težinu i teme predložaka kako bi zaposlenici ostali budni.
Uspostava jednostavnog mehanizma prijavljivanja: Uvedite gumb “prijavi phishing” u klijentu e-pošte. Time korisnicima omogućujete prijavu sumnjivih e-poruka jednim klikom, bez nejasnoća ili dodatnih koraka.
Pružanje neposrednih povratnih informacija: Kada korisnik klikne na poveznicu u simulaciji, pružite trenutačne, edukativne i nekažnjavajuće povratne informacije koje objašnjavaju upozoravajuće znakove koje je propustio. Ako korisnik prijavi simulaciju, pošaljite automatiziranu zahvalu radi učvršćivanja pozitivnog ponašanja.
Analiza i dijeljenje rezultata: Pratite metrike kao što su stope klikanja, stope prijavljivanja i vrijeme do prijave. Dijelite anonimizirane rezultate na visokoj razini s upravom i širim timom kako biste pokazali napredak i održali angažman.

Politike koje osiguravaju trajnost programa

Uspješan program otpornosti na phishing ne može postojati izolirano. Mora biti podržan jasnim i provedivim okvirom politika koji formalizira očekivanja, definira odgovornosti i ugrađuje sigurnosnu svijest u način rada organizacije. Politike pretvaraju strateške ciljeve u operativna pravila koja usmjeravaju ponašanje zaposlenika i pružaju osnovu za odgovornost. Bez takvog dokumentiranog temelja obuka može djelovati neobvezno, a njezin učinak s vremenom slabi. Središnji dokument za to je Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti.² Ova politika uspostavlja mandat za cijeli program, od uvođenja u posao do kontinuirane edukacije.

Ova temeljna politika ne smije stajati sama. Mora biti povezana s drugim ključnim dokumentima upravljanja kako bi se stvorila kohezivna sigurnosna kultura. Primjerice, vaša Politika prihvatljive uporabe³ postavlja osnovna pravila za način na koji zaposlenici koriste tehnologiju društva, što je prirodno mjesto za upućivanje na njihovu odgovornost za oprez prema phishingu. Kada se sigurnosni događaj dogodi, Politika odgovora na incidente⁴ mora jasno definirati korake koje zaposlenik treba poduzeti za prijavu, osiguravajući da se obavještajni podaci prikupljeni iz prijavljenog pokušaja phishinga obrade brzo i učinkovito. Zajedno, te politike stvaraju sustav međusobno povezanih kontrola koje učvršćuju sigurna ponašanja.

Primjerice, tijekom tromjesečnog sastanka za pregled ISMS-a, CISO predstavlja najnovije rezultate simulacija phishinga. Rezultati pokazuju blagi porast klikova na predloške prijevara s računima. Tim odlučuje ažurirati Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti kako bi se prije sljedećeg tromjesečja propisalo specifično, ciljano osposobljavanje za financijski odjel. Odluka se dokumentira, a ažurirana politika komunicira se relevantnom osoblju, čime se osigurava da se program prilagođava novim rizicima na strukturiran i revizijski dokaziv način.

Kontrolni popisi

Kako bi program bio sveobuhvatan i učinkovit, korisno je posao podijeliti u zasebne faze: izgradnju temelja, svakodnevnu provedbu i provjeru učinka. Ovi kontrolni popisi pružaju praktičan vodič za svaku fazu, pomažu vam ostati na pravom putu i osiguravaju ispunjavanje očekivanja revizora i regulatora. Dobro dokumentiran program znatno je lakše obraniti tijekom revizije.

Izgradnja: izgradnja programa otpornosti na phishing

Snažan temelj ključan je za dugoročni uspjeh. Ova početna faza uključuje strateško planiranje, osiguravanje resursa i oblikovanje ključnih sastavnica programa. Žurba u ovoj fazi često dovodi do generičke i neučinkovite obuke koja ne angažira zaposlenike niti adresira vaš specifični profil rizika. Vrijeme uloženo u pravilnu izgradnju višestruko se vraća kroz poboljšani sigurnosni profil i otporniju radnu snagu.

Definirajte jasne ciljeve i ključne pokazatelje uspješnosti (KPI) programa.
Osigurajte potporu uprave i odgovarajući proračun za alate i resurse.
Provedite polaznu simulaciju phishinga radi mjerenja početne ranjivosti.
Utvrdite korisničke skupine visokog rizika i specifične prijetnje s kojima se suočavaju.
Razvijte ili nabavite temeljni sadržaj osposobljavanja i sadržaj prilagođen ulogama.
Integrirajte osposobljavanje o sigurnosnoj svijesti u proces uvođenja novih zaposlenika.
Uspostavite jednostavan postupak jednim klikom za prijavu sumnjivih e-poruka.

Provedba: održavanje zamaha programa

Nakon pokretanja, program otpornosti na phishing zahtijeva kontinuiran rad kako bi ostao učinkovit. Ova operativna faza odnosi se na održavanje redovitog ritma aktivnosti koje svim zaposlenicima drže sigurnost u fokusu. Uključuje provedbu simulacija, komunikaciju rezultata i prilagodbu programa na temelju podataka o uspješnosti i promjenjivog okruženja prijetnji. Ovdje jednokratni projekt postaje održiv poslovni proces.

Zakazujte i provodite redovite simulacije phishinga s različitim predlošcima i razinama težine.
Pružajte neposredne, edukativne povratne informacije korisnicima koji kliknu na poveznice u simulacijama.
Potvrdite primitak prijave i zahvalite korisnicima koji ispravno prijave simulirane i stvarne phishing e-poruke.
Redovito objavljujte anonimizirana izvješća o uspješnosti programa dionicima.
Kontinuirano isporučujte sadržaj za podizanje svijesti putem biltena, savjeta ili internih komunikacija.
Ažurirajte module osposobljavanja jednom godišnje ili kada se pojave značajne nove prijetnje.

Provjera: revizija učinkovitosti programa

Provjera znači dokazati da program djeluje. To uključuje prikupljanje i predstavljanje dokaza revizorima, regulatorima i višem rukovodstvu. Učinkovit program temelji se na podacima, a trebali biste moći pokazati jasan povrat ulaganja kroz smanjeni rizik. Revizori će tražiti objektivne dokaze, a ne samo tvrdnje. Korištenje strukturirane biblioteke ciljeva kontrola kao što su Zenith Controls može pomoći osigurati da su vaši dokazi usklađeni sa standardima kao što je ISO 27001.⁵

Vodite detaljne zapise o svim aktivnostima osposobljavanja, uključujući rasporede i evidencije prisutnosti.
Čuvajte kopije svih materijala za osposobljavanje i korištenih predložaka simulacija phishinga.
Tijekom vremena pratite i dokumentirajte stope klikanja i stope prijavljivanja u simulacijama phishinga.
Prikupljajte dokaze o pregledima nakon incidenta u kojima je phishing bio temeljni uzrok.
Provodite periodične procjene, kao što su intervjui ili kvizovi, radi procjene zadržavanja znanja.
Budite spremni revizorima pokazati kako je program mjerljivo smanjio rizik povezan s ljudskim čimbenikom.

Česte pogreške

Čak i uz najbolje namjere, programi otpornosti na phishing mogu ne ostvariti očekivane rezultate. Izbjegavanje ovih čestih pogrešaka jednako je važno kao i primjena najboljih praksi. Svijest o tim zamkama pomaže vam oblikovati program koji je angažirajući, učinkovit i održiv.

Tretiranje obuke kao jednokratnog događaja. Sigurnosna svijest nije zadatak koji se jednom odradi i završi. Zahtijeva kontinuirano učvršćivanje. Godišnja obuka brzo se zaboravlja i malo doprinosi izgradnji trajne sigurnosne kulture.
Stvaranje kulture okrivljavanja. Kažnjavanje korisnika koji ne prođu simulacije phishinga kontraproduktivno je. Ono obeshrabruje prijavljivanje i stvara strah, zbog čega sigurnosni problemi ostaju skriveni. Cilj je edukacija, a ne discipliniranje.
Korištenje nerealističnih ili generičkih simulacija. Ako su predlošci phishinga očito lažni ili nerelevantni za vaš poslovni kontekst, zaposlenici će brzo naučiti prepoznati simulacije, ali ne i stvarne napade.
Zanemarivanje najvišeg rukovodstva. Napadači često ciljaju više rukovodstvo izrazito personaliziranim spear phishing napadima. Izvršni rukovoditelji i njihovi asistenti moraju biti uključeni u osposobljavanje i simulacije.
Otežavanje prijavljivanja. Ako zaposlenik mora tražiti upute kako prijaviti sumnjivu e-poruku, manja je vjerojatnost da će to učiniti. Jednostavan gumb za prijavu jednim klikom obvezan je element programa.
Nepostupanje po prijavljenim incidentima. Kada korisnici prijave stvarne phishing e-poruke, pružaju ključne obavještajne podatke o prijetnjama. Ako sigurnosni tim ne potvrdi primitak ili ne postupi po tim prijavama, korisnici će prestati ulagati trud.

Sljedeći koraci

Izgradnja otpornog ljudskog vatrozida nužan je dio svake moderne sigurnosne strategije. Uvođenjem strukturiranog i kontinuiranog programa podizanja svijesti o phishingu možete znatno smanjiti rizik od povrede i dokazati usklađenost s ključnim propisima.

Reference

Clarysec. (2025). Zenith ISMS Implementation Blueprint. ↩︎
Clarysec. (2025). P8S Information Security Awareness and Training Policy. ↩︎
Clarysec. (2025). P3S Acceptable Use Policy. ↩︎
Clarysec. (2025). P30S Incident Response Policy. ↩︎
Clarysec. (2025). Zenith Controls Library for ISO 27001:2022. ↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Izgradnja programa otpornosti na phishing: vodič za ISO 27001

Saznajte kako izgraditi mjerljiv program otpornosti na phishing primjenom kontrola ISO 27001:2022 A.6.3 i A.6.4 radi smanjenja rizika povezanog s ljudskim čimbenikom i dokazivanja usklađenosti.

Aug 11, 2025

Zašto sigurnost mreže ne trpi kompromis u usklađenosti s ISO 27001 i NIS2

Sigurnost mreže ključna je za usklađenost s ISO 27001 i NIS2 te podupire upravljanje rizicima, otpornost i dokazivanje regulatorne usklađenosti u suvremenim organizacijama.

Aug 22, 2025

Više od rukovanja: upravljanje sigurnošću dobavljača uz ISO 27001 i GDPR

Saznajte kako upravljati sigurnosnim rizicima dobavljača primjenom kontrola ISO 27001:2022 A.5.19 i A.5.20 te osigurati da vaši ugovori o obradi podataka (DPA) i ugovori ispunjavaju stroge zahtjeve GDPR-a.

Aug 16, 2025