Zajištění bezpečnosti je investicí do důvěry, nikoli do technologií

Nacházíme se v době permanentní multikonektivity a našlo by se mnoho přídavných jmen vyjadřujících technologický pokrok. Jak se k měnícím se podmínkám a pravidlům postavit z pohledu bezpečnosti a zejména jejího prosazování do praxe? Jakou strategii si nastavit pro nákup a implementaci nástrojů a systémů?

Zajištění bezpečnosti je investicí do důvěry, nikoli do technologií


Shodneme se, že jsou systémy zvyšující úroveň zabezpečení společnosti, které jsou standardem – řízení přístupů či identit, firewally, antivirus atp. Ovšem i k těmto systémům lze zvolit rozdílný přístup, jako jsou jedna robustní platforma pro vše či vrstvení heterogenních řešení majících punc inovátorství. Možných přístupů je nepřeberné množství, s lehkou nadsázkou lze říci, že neexistuje univerzální řešení pro všechny.

Než společnost zvolí strategii pro nákup a implementaci bezpečnostních řešení, je dobré si uvědomit, že je vhodné přijmout přístup shora dolů, který se nejprve podívá na obchodní model, schopnosti a sady dovedností, existující či potřebné, a pak se začne zabývat výběrem bezpečnostních řešení. Společnosti výrazně sníží riziko velkých investic do technologických řešení, které by bylo třeba později zcela přestavět.

Zatímco společnosti musejí být na stráži 24 hodin denně, 365 dní v roce, útočník musí mít štěstí pouze jednou. Z našeho průzkumu informační bezpečnosti vyplývá, že 89 % podniků připouští, že nemají zavedenou funkci kybernetické bezpečnosti, která odpovídá jejich potřebám. Pouze 36 % nejvyššího managementu společností má dostatečné znalosti o kybernetické bezpečnosti k účinnému řízení rizik. Může být lákavé myslet si, že kybernetická bezpečnost je problémem CISO a že ji vyřeší jeho „hračky“. Jestliže v konečném důsledku, v jediném okamžiku, kdy CISO stojí před vrcholovým vedením, je po úspěšném kybernetickém útoku, jak pak může představenstvo a výkonný manažerský tým, který nemá komplexní znalosti o informační bezpečnosti, činit rozhodnutí k vyhodnocení kybernetických rizik a potřebných preventivních opatření, resp. nástrojů?

Dosáhnout uspokojivých výsledků bude možné jedině společně. Na vrcholové úrovni je potřeba dosáhnout informovaného konsnzu všech jednotlivců ve vedení, tak aby společně začali udávat proaktivní přístup ke kybernetické bezpečnosti, zavádějící správné systémy a technologie, které reagují na hrozby a rizika a umožňují růst podniku. Nejde totiž o investice do technologií, ale o investování do důvěry. Bezpečnost může posloužit ke zvýšení loajality zákazníků a budoucí strategie růstu závisí na jejich loajalitě a důvěře. Výzvou často bývá určení, co je potřeba chránit, jaká jsou nejcennější aktiva, slabiny kybernetické bezpečnosti a také regulační povinnosti. Prvním krokem by měla být inventarizace konfigurační databáze.

Pro fungující ekosystém bezpečnostních systémů a nástrojů je nezbytné jejich integrování do rozhodovacích schopností a procesů. To vyžaduje větší investice do interních týmů pro analýzu informací, identifikaci hrozeb a práci s riziky a průběžnou informovanost a zainteresovanost vedoucích pracovníků s rozhodovací pravomocí. Je třeba soustředit se na přechod od reaktivních modelů monitorování incidentů k proaktivnímu řízení hrozeb.

  1. Vytvořte kulturu pracující s kybernetickými riziky, kde každý má svou nezastupitelnou úlohu a odpovědnost. Úspěch závisí na tom, jak si společnost osvojí přístup založený na kybernetických rizicích. Kybernetická bezpečnost by se měla stát hlediskem při každém rozhodování v organizaci.
  2. Budujte portfolio kybernetických služeb adresující obchodní a tržní potřeby, regulatorní požadavky a toleranci rizik (rizikový apetit). Kybernetická bezpečnost nemůže být  kontrolou dodržování předpisů. Musí poskytovat schopnosti a služby, které přinášejí definované a očekávané výsledky prospěšné pro organizaci.
  3. Provozní model kybernetické bezpečnosti by měl poskytovat škálovatelné, konzistentní a na výsledky zaměřené kybernetické služby. Musí usnadňovat vzájemnou propojenost a výměnu informací včetně shromažďování údajů pro analýzu, která dodá těmto údajům smysl a kontext pro rozhodování.
  4. Nastavte srozumitelný a přehledný reporting zaměřený na výsledky a přidanou hodnotu.

 

Zvolte vhodný provozní model správního systému pro zajištění bezpečnosti. Jste-li dynamickou rostoucí společností kladoucí důraz na flexibilitu, vrstvená architektura kombinující různé specifické nástroje může být správnou volbou. Pozor na duplikování funkcionalit, jelikož většina řešení nabízí možnost řídit shodné hrozby, ale odlišnými přístupy.

Jste-li tradiční institucí se standardizovanými procesy a postupy, nabízí se robustní řešení poskytující pokrytí širšího spektra. Úskalím může být, že takový nástroj bude adresovat i pro vaši společnost nerelevantní hrozby, tudíž naplno nevyužijete jeho funkcionalitu.

Než investujete do jakéhokoliv nástroje, zaměřte se na to, jaká aktiva chcete chránit, jejich zranitelnosti, co jim hrozí, změřte a finančně ohodnoťte riziko. Porovnejte velikost investice do bezpečnostního nástroje oproti změně finančního vyjádření rizika, kdybyste nástroj používali. Kriticky se zamyslete, co vám výrobci o řešení říkají a jak zapadají do vzájemně propojeného ekosystému bezpečnostních nástrojů a systémů.

Petr Plecháček, associate partner týmu kybernetické bezpečnosti ve společnosti EY

 

Úvodní foto: EY










Komentáře