⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
Compliance

Izgradnja programa otpornosti na phishing: vodič za ISO 27001

Igor Petreski
13 min read
#ISO 27001:2022 #Upravljanje rizicima #Odgovor na incidente #Zaštita podataka #Usklađenost

Phishing ostaje jedna od glavnih ulaznih točaka za napadače jer iskorištava ljudsku pogrešku kako bi zaobišao tehničke zaštitne mjere. Generička godišnja edukacija nije dovoljna. Ovaj vodič prikazuje kako izgraditi robustan i mjerljiv program otpornosti na phishing primjenom kontrola ISO 27001:2022 A.6.3 i A.6.4, s ciljem razvoja kulture sigurnosne osviještenosti i dokazivog smanjenja rizika.

Što je u pitanju

Jedan klik na zlonamjernu poveznicu može narušiti cjelokupni sigurnosni profil organizacije. Phishing nije samo IT neugodnost; riječ je o kritičnom poslovnom riziku s lančanim posljedicama koje mogu ugroziti operativnu stabilnost, financijsko stanje i povjerenje klijenata. Neposredni učinak često je financijski, od prijevarnih bankovnih transfera do visokih troškova oporavka od ransomwarea. No šteta je znatno dublja. Uspješan phishing napad koji dovede do povrede podataka pokreće utrku s vremenom radi ispunjavanja regulatornih obveza, primjerice roka od 72 sata za prijavu prema GDPR-u, izlažući organizaciju značajnim novčanim kaznama i pravnim postupcima.

Osim izravnih financijskih i pravnih sankcija, operativni poremećaj može biti katastrofalan. Sustavi postaju nedostupni, kritični poslovni procesi se zaustavljaju, a produktivnost naglo pada jer se timovi preusmjeravaju na ograničavanje i oporavak. Taj unutarnji kaos prati vanjska reputacijska šteta. Klijenti gube povjerenje u organizaciju koja ne može zaštititi njihove podatke, partneri postaju oprezniji prema međusobno povezanim sustavima, a vrijednost brenda erodira. Okviri poput ISO 27005 prepoznaju ljudski čimbenik kao primarni izvor rizika, dok propisi poput NIS2 i DORA sada izričito zahtijevaju snažno sigurnosno osposobljavanje radi izgradnje otpornosti. Neuspjeh u izgradnji snažnog ljudskog sloja obrane više nije samo sigurnosni nedostatak; to je temeljni propust u upravljanju i upravljanju rizicima.

Primjerice, zaposlenik malog računovodstvenog ureda klikne phishing poveznicu prikrivenu kao račun klijenta. Time se instalira ransomware koji šifrira sve datoteke klijenata tjedan dana prije poreznih rokova. Ured se suočava s neposrednim financijskim gubitkom zbog zahtjeva za otkupninom, regulatornim kaznama zbog povrede osobnih podataka te gubi nekoliko dugoročnih klijenata koji mu više ne mogu povjeriti osjetljive financijske informacije.

Kako izgleda dobro uspostavljen program

Uspješan program otpornosti na phishing pretvara sigurnost iz tehničkog silosa u zajedničku odgovornost cijele organizacije. Razvija kulturu u kojoj zaposlenici nisu najslabija karika, nego prva linija obrane. Takvo stanje obilježava proaktivna budnost, a ne reaktivni strah. Uspjeh se ne mjeri samo niskom stopom klikanja u simuliranim phishing e-porukama, nego visokom i brzom stopom prijavljivanja. Kada zaposlenici uoče nešto sumnjivo, njihova neposredna i usvojena reakcija jest prijaviti to putem jasnog i jednostavnog kanala, uz uvjerenje da se njihovo postupanje cijeni. Ta promjena ponašanja krajnji je cilj.

Takvo idealno stanje počiva na sustavnoj primjeni kontrola ISO 27001:2022. Kontrola A.6.3, koja obuhvaća podizanje svijesti, edukaciju i osposobljavanje o informacijskoj sigurnosti, daje okvir za kontinuirani ciklus učenja. To nije jednokratan događaj, nego stalni program zanimljive, relevantne i ulogama prilagođene edukacije. Nadopunjuje ga kontrola A.6.4, disciplinski postupak, koji osigurava formalnu, pravednu i dosljednu strukturu za postupanje u slučaju ponovljenog nemarnog ponašanja. Ključno je da sve to pokreće predanost vodstva, kako zahtijeva točka 5.1. Kada izvršno rukovodstvo zagovara program i vidljivo sudjeluje u njemu, cijeloj organizaciji šalje jasnu poruku o njegovoj važnosti.

Zamislite marketinšku agenciju koja provodi tromjesečne simulacije phishinga. Nakon što mlađi dizajner prijavi osobito sofisticiranu testnu e-poruku koja oponaša zahtjev novog klijenta, sigurnosni tim mu ne zahvaljuje samo privatno, nego i javno pohvaljuje njegovu pažljivost u internom biltenu. Taj jednostavan čin učvršćuje pozitivno ponašanje, potiče druge na jednaku budnost i pretvara rutinsku vježbu osposobljavanja u snažnu kulturnu potvrdu sigurnosnog programa.

Praktičan put

Izgradnja učinkovitog programa otpornosti na phishing put je kontinuiranog poboljšanja, a ne jednokratni projekt s jasnom završnom točkom. Zahtijeva strukturiran, fazni pristup koji kreće od temeljnog planiranja prema stalnoj optimizaciji. Razlaganjem procesa na faze možete izgraditi zamah, pokazati rane rezultate i duboko ugraditi sigurnosna ponašanja u kulturu organizacije. Takav pristup osigurava da program ne bude samo formalna kućica za provjeru usklađenosti, nego dinamičan obrambeni mehanizam koji se prilagođava promjenjivim prijetnjama. Svaka faza nadovezuje se na prethodnu te stvara zrelu, mjerljivu i održivu sigurnosnu sposobnost.

Faza 1: Postavljanje temelja (1.–4. tjedan)

Prvi mjesec posvećen je strategiji i planiranju. Prije slanja ijedne simulirane phishing poruke morate definirati kako izgleda uspjeh i osigurati potrebnu podršku za njegovo postizanje. Ova temeljna faza ključna je za usklađivanje programa s poslovnim ciljevima i širim sustavom upravljanja informacijskom sigurnošću (ISMS). Obuhvaća osiguravanje podrške izvršnog rukovodstva, definiranje jasnih i mjerljivih ciljeva te razumijevanje trenutačne razine ranjivosti. Bez takve strateške pripreme svi kasniji napori neće imati dovoljan smjer ni autoritet, zbog čega će biti teško postići stvarnu promjenu ili dugoročno dokazati vrijednost programa. Naš vodič za implementaciju može pomoći strukturirati početno usklađivanje s vašim ISMS-om. Zenith Blueprint1

  • Osigurajte izvršno pokroviteljstvo: Osigurajte predanost najvišeg rukovodstva kako zahtijeva ISO 27001 točka 5.1. Predstavite poslovni argument isticanjem rizika phishinga i konkretnih koristi otpornije radne snage.
  • Definirajte ciljeve i KPI-jeve: Uspostavite jasne i mjerljive ciljeve u skladu s točkom 9.1. Ključni pokazatelji uspješnosti (KPI-jevi) ne smiju uključivati samo stopu klikanja, nego i stopu prijavljivanja, prosječno vrijeme do prijave te broj ponovljenih klikova po pojedinom korisniku.
  • Uspostavite početno stanje: Provedite početnu, nenajavljenu simulaciju phishinga prije bilo kakve edukacije. Time dobivate jasno početno mjerenje trenutačne izloženosti organizacije i temelj za dokazivanje poboljšanja tijekom vremena.
  • Odaberite alate: Odaberite platformu za simulacije phishinga i edukaciju o sigurnosnoj svijesti koja odgovara veličini, kulturi i tehničkom okruženju vaše organizacije. Osigurajte da pruža kvalitetnu analitiku i raznolik edukacijski sadržaj.

Faza 2: Pokretanje i edukacija (5.–12. tjedan)

Nakon što je plan uspostavljen, sljedeća dva mjeseca usmjerena su na provedbu i edukaciju. U ovoj fazi program se uvodi zaposlenicima i prelazi iz teorije u praksu. Ključ ove faze jest komunikacija. Program morate predstaviti kao poticajnu edukacijsku inicijativu osmišljenu za osnaživanje zaposlenika, a ne kao kaznenu mjeru za njihovo „hvatanje na pogrešci”. Cilj je izgraditi povjerenje i potaknuti sudjelovanje. Faza obuhvaća početni val edukacije, pokretanje redovitih simulacija te pružanje neposrednih i konstruktivnih povratnih informacija kako bi zaposlenici mogli učiti iz pogrešaka u sigurnom okruženju.

  • Komunicirajte program: Najavite inicijativu svim zaposlenicima. Objasnite svrhu programa, što mogu očekivati i kako će pomoći zaštititi i njih i organizaciju. Naglasite da je cilj učenje, a ne kažnjavanje.
  • Provedite temeljnu edukaciju: Dodijelite početne edukacijske module koji pokrivaju osnove phishinga. Objasnite što je phishing, prikažite uobičajene primjere zlonamjernih e-poruka i dajte jasne upute o službenom postupku prijavljivanja sumnjivih poruka.
  • Pokrenite redovite simulacije: Počnite slati planirane simulacije phishinga. Krenite s predlošcima koje je relativno lako prepoznati, a zatim postupno povećavajte težinu i sofisticiranost.
  • Osigurajte edukaciju u trenutku pogreške: Zaposlenicima koji kliknu simuliranu phishing poveznicu ili unesu vjerodajnice automatski dodijelite kratak, ciljani edukacijski modul koji objašnjava konkretne znakove upozorenja koje su propustili. Takva neposredna povratna informacija vrlo je učinkovita za učenje. Naše detaljne smjernice za implementaciju A.6.3 mogu pomoći strukturirati ovaj ciklus edukacije. Zenith Controls2

Faza 3: Mjerenje, prilagodba i sazrijevanje (kontinuirano)

Nakon što je program operativan, fokus se premješta na kontinuirano poboljšanje. Program otpornosti na phishing živi je sustav koji se mora prilagođavati promjenjivom profilu rizika organizacije i evoluciji taktika napadača. Ovu kontinuiranu fazu pokreću podaci. Dosljednim praćenjem KPI-jeva možete prepoznati trendove, utvrditi područja slabosti i donositi informirane odluke o tome kamo usmjeriti napore osposobljavanja. Sazrijevanje programa znači prelazak s univerzalne edukacije na pristup temeljen na riziku, integraciju s drugim sigurnosnim procesima i održavanje odgovornosti.

  • Analizirajte KPI-jeve i izvješćujte o njima: Redovito pregledavajte ključne metrike. Pratite trendove u stopama klikanja, stopama prijavljivanja i vremenima prijavljivanja. Anonimizirane rezultate dijelite s vodstvom i širom organizacijom radi održavanja vidljivosti i zamaha.
  • Segmentirajte i ciljajte korisnike visokog rizika: Prepoznajte pojedince ili odjele koji u simulacijama dosljedno ostvaruju slabije rezultate. Omogućite im intenzivniju, individualnu ili specijaliziranu edukaciju radi zatvaranja konkretnih praznina u znanju.
  • Integrirajte s odgovorom na incidente: Osigurajte robustan postupak za obradu prijavljenih phishing e-poruka. Kada zaposlenik prijavi moguću prijetnju, to mora pokrenuti definirani tijek rada odgovora na incidente za analizu i otklanjanje posljedica. Time se zatvara povratna petlja i učvršćuje vrijednost prijavljivanja.
  • Primijenite disciplinski postupak: Za mali broj korisnika koji unatoč ciljanoj edukaciji opetovano i nemarno neuspješno prolaze simulacije, primijenite formalni disciplinski postupak kako je opisano u kontroli ISO 27001 A.6.4. Time se osigurava odgovornost i dokazuje predanost organizacije sigurnosti.

Politike koje osiguravaju trajnost programa

Uspješan program otpornosti na phishing ne može postojati izolirano. Mora biti formaliziran i ugrađen u vaš ISMS kroz jasne i mjerodavne politike. Politike daju mandat programu, definiraju njegov opseg i postavljaju jasna očekivanja za svakog člana organizacije. Aktivnosti podizanja svijesti pretvaraju iz diskrecijske aktivnosti koju je „dobro imati” u obveznu, revizijski provjerljivu sastavnicu sigurnosnog profila. Bez takve formalne podloge program nema autoritet potreban za dosljednu primjenu i dugoročnu održivost.

Temeljni dokument je Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti.3 Ova politika mora izričito navesti predanost organizacije stalnoj sigurnosnoj edukaciji. Mora definirati ciljeve programa simulacije phishinga, odrediti učestalost edukacije i testiranja te dodijeliti odgovornosti za njegovo upravljanje i nadzor. Služi kao primarni izvor istine za revizore, regulatorna tijela i zaposlenike, pokazujući sustavan i planiran pristup upravljanju rizikom povezanim s ljudskim čimbenikom. Nadalje, Politika prihvatljive uporabe ima važnu potpornu ulogu jer uspostavlja temeljnu obvezu svakog korisnika da štiti imovinu organizacije i bez odgode prijavi svaku sumnjivu aktivnost, čime budnost postaje uvjet korištenja resursa organizacije.

Primjerice, tijekom vanjske revizije ISO 27001 revizor pita kako organizacija osigurava da svi novi zaposlenici prođu obuku o sigurnosnoj svijesti. CISO predočuje Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, koja jasno nalaže da HR mora osigurati dovršetak temeljnog sigurnosnog modula u prvom tjednu zaposlenja. Taj dokumentirani, nedvosmisleni zahtjev pruža konkretne dokaze da je kontrola učinkovito i dosljedno implementirana.

Kontrolne liste

Kako biste osigurali da je program sveobuhvatan i učinkovit, korisno je primijeniti strukturiran pristup koji pokriva njegov cijeli životni ciklus. Od početnog dizajna i uvođenja do svakodnevnog rada i periodične provjere, kontrolne liste osiguravaju da se ne propusti nijedan kritičan korak. Takav sustavni pristup pomaže održati dosljednost, pojednostavnjuje delegiranje i pruža jasan revizijski trag aktivnosti. Sljedeće kontrolne liste raščlanjuju proces u tri ključne faze: izgradnju programa, svakodnevno upravljanje programom i provjeru njegove trajne učinkovitosti.

Izgradite program otpornosti na phishing

Prije nego što program možete operativno provoditi, morate ga izgraditi na čvrstim temeljima. Ova početna faza uključuje strateško planiranje, osiguravanje resursa i uspostavu okvira upravljanja koji će usmjeravati sve buduće aktivnosti. Dobro isplanirana faza izgradnje osigurava usklađenost programa s poslovnim ciljevima, jasne ciljeve te odgovarajuće alate i politike od prvog dana.

  • Osigurajte izvršno pokroviteljstvo i odobrenje proračuna.
  • Definirajte jasne ciljeve programa i mjerljive ključne pokazatelje uspješnosti (KPI-jeve).
  • Odaberite i nabavite odgovarajuću platformu za simulacije phishinga i edukaciju.
  • Izradite ili ažurirajte Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti kako bi program postao obvezan.
  • Izradite detaljan komunikacijski plan za predstavljanje programa svim zaposlenicima.
  • Provedite početnu, nenajavljenu kampanju simulacije radi utvrđivanja početnog stanja.
  • Definirajte postupak za obradu prijavljenih phishing e-poruka i integrirajte ga sa sustavom korisničke podrške ili timom za odgovor na incidente.

Operativno provodite program

Nakon uspostave temelja fokus se premješta na dosljednu provedbu. Operativna faza odnosi se na održavanje ritma i zamaha programa kroz redovite i angažirajuće aktivnosti. To znači kontinuirano testiranje zaposlenika, pružanje pravodobnih povratnih informacija i održavanje sigurnosti u stalnom fokusu organizacije. Učinkovita provedba pretvara program iz jednokratnog projekta u ugrađeni redovni poslovni proces.

  • Planirajte i provodite simulacijske kampanje redovito (npr. mjesečno ili tromjesečno).
  • Kontinuirano mijenjajte predloške, teme i razine težine phishing poruka kako biste izbjegli predvidljivost.
  • Korisnicima koji neuspješno prođu simulaciju automatski dodijelite neposrednu korektivnu edukaciju u trenutku pogreške.
  • Uspostavite sustav pozitivnog poticanja i priznavanja zaposlenika koji dosljedno prijavljuju simulacije.
  • Objavljujte anonimizirane metrike uspješnosti i trendove organizaciji radi poticanja osjećaja zajedničkog napretka.
  • Održavajte edukacijski sadržaj svježim i relevantnim uključivanjem informacija o novim i nadolazećim trendovima prijetnji.

Provjeravajte i poboljšavajte

Sigurnosni program koji se ne razvija s vremenom će prestati biti učinkovit. Faza provjere služi za odmak, analizu uspješnosti, procjenu učinkovitosti i prilagodbe temeljene na podacima. Ovaj ciklus kontinuiranog poboljšanja osigurava da program ostane učinkovit protiv promjenjivih prijetnji i donosi stvaran povrat ulaganja. Uključuje analizu kvantitativnih podataka i kvalitativnih povratnih informacija kako bi se dobio cjelovit pogled na sigurnosnu kulturu.

  • Provodite tromjesečne preglede trendova KPI-jeva s upravljačkim timom radi prikaza napretka i utvrđivanja područja za poboljšanje.
  • Periodično intervjuirajte reprezentativni presjek zaposlenika kako biste procijenili njihovo kvalitativno razumijevanje i percepciju programa.
  • Usporedite podatke o uspješnosti u simulacijama s podacima o stvarnim sigurnosnim incidentima kako biste provjerili smanjuje li edukacija stvarni rizik.
  • Pregledajte i ažurirajte edukacijski sadržaj i predloške simulacija najmanje jednom godišnje kako bi odražavali trenutačno okruženje prijetnji.
  • Provedite reviziju postupka kako biste osigurali da se slučajevi ponovljenog nemarnog neuspjeha rješavaju u skladu s formalnom Politikom disciplinskih mjera.

Uobičajene pogreške

Čak i uz najbolje namjere, programi otpornosti na phishing mogu izostaviti očekivane rezultate ako upadnu u uobičajene zamke. Te pogreške često proizlaze iz nerazumijevanja svrhe programa, što dovodi do usmjerenosti na pogrešne metrike ili stvaranja negativne, kontraproduktivne kulture. Izbjegavanje tih pogrešaka jednako je važno kao i primjena dobrih praksi. Uspješan program ne ovisi samo o alatima koje koristite, nego i o načelima koja vode njegovu provedbu. Svijest o tim mogućim neuspjesima omogućuje da program proaktivno usmjerite prema kulturi osnaživanja i stvarnog smanjenja rizika.

  • Usmjerenost samo na stopu klikanja. To je metrika dojma, a ne stvarne učinkovitosti. Niska stopa klikanja može jednostavno značiti da su simulacije prelake ili predvidljive. Stopa prijavljivanja mnogo je bolji pokazatelj pozitivnog angažmana zaposlenika i zdrave sigurnosne kulture.
  • Stvaranje kulture straha. Ako se zaposlenike posramljuje ili pretjerano kažnjava zbog neuspjeha u simulaciji, počet će se bojati prijaviti bilo što, uključujući stvarne napade. Primarni cilj uvijek mora biti edukacija, a ne ponižavanje.
  • Rijetko ili predvidljivo testiranje. Godišnji phishing test praktički je beskoristan za izgradnju sigurnosnih navika. Ako se simulacije uvijek šalju u isto vrijeme u mjesecu, zaposlenici će naučiti raspored, a ne sigurnosnu vještinu. Testiranje mora biti često i nasumično.
  • Nepostojanje posljedica za grubi nemar. Iako program ne smije biti kazneno usmjeren, mora imati provedivu težinu. U rijetkim slučajevima kada pojedinac opetovano i nemarno ignorira edukaciju i klikće na sve, mora postojati formalan i pravedan postupak za utvrđivanje odgovornosti, kako je opisano u ISO 27001 A.6.4.
  • Nezatvaranje povratne petlje. Kada zaposlenik odvoji vrijeme za prijavu sumnjive e-poruke, zaslužuje odgovor. Jednostavno „Hvala, ovo je bio test i postupili ste ispravno” ili „Hvala, ovo je bila stvarna prijetnja i naš tim je obrađuje” učvršćuje željeno ponašanje. Šutnja potiče apatiju.

Sljedeći koraci

Izgradnja otpornog ljudskog sloja obrane kritična je sastavnica svakog modernog ISMS-a. Utemeljenjem programa otpornosti na phishing na načelima ISO 27001 stvarate strukturiranu, mjerljivu i obrazložljivu strategiju za upravljanje najvećim sigurnosnim rizikom.

  • Preuzmite naš cjeloviti ISMS komplet alata kako biste dobili sve predloške potrebne za izgradnju sigurnosnog programa od temelja. Zenith Suite
  • Nabavite sve politike, kontrole i smjernice za implementaciju koje su vam potrebne u jednom sveobuhvatnom paketu. Complete SME + Enterprise Combo Pack
  • Započnite svoje certifikacijsko putovanje prema ISO 27001 s našim paketom posebno izrađenim za mala i srednja poduzeća. Full SME Pack

Reference

  1. Zenith Blueprint ↩︎

  2. Zenith Controls ↩︎

  3. Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti ↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Kako započeti s ISO 27001:2022: praktični vodič

Kako započeti s ISO 27001:2022: praktični vodič

Uvod

ISO 27001 međunarodni je standard za sustave upravljanja informacijskom sigurnošću (ISMS). Ovaj sveobuhvatni vodič provest će vas kroz ključne korake za uspostavu ISO 27001 u vašoj organizaciji, od početnog planiranja do certifikacije.

Što je ISO 27001?

ISO 27001 pruža sustavan pristup upravljanju osjetljivim informacijama organizacije i osiguravanju njihove zaštite. Obuhvaća ljude, procese i IT sustave primjenom procesa upravljanja rizicima.

Ključne koristi

  • Poboljšana sigurnost: sustavan pristup zaštiti informacijske imovine
  • Usklađenost s regulatornim zahtjevima: ispunjavanje primjenjivih regulatornih zahtjeva
  • Kontinuitet poslovanja: smanjenje rizika od sigurnosnih incidenata
  • Konkurentska prednost: dokazivanje predanosti informacijskoj sigurnosti
  • Povjerenje korisnika: jačanje povjerenja klijenata i partnera

Proces uspostave

1. Analiza odstupanja

Započnite provedbom temeljite analize odstupanja kako biste razumjeli trenutačno stanje informacijske sigurnosti u organizaciji: