Pokud říkáte, že s kybernetickou bezpečností ve firmě nemáte problémy, tak o tom ještě nevíte nebo se to děje právě teď. Podívejme se na jednoduché a konkrétní návrhy, jak by měly společnosti přistupovat k problematice kybernetických rizik, která jsou součástí každodenní podnikatelské reality.
Nedelegujte zodpovědnost za řízení kybernetických rizik na IT
Zodpovědnost za řízení a dohled nad kybernetickými hrozbami ve firmě je vhodné v organizaci řešit na výkonné úrovni. Je totiž chybou se domnívat, že kyberbezpečnost je záležitostí spadající pouze pod IT oddělení. Praxe a zkušenosti ukazují, že tomu tak není. Je to totiž problematika, která se ve firmě dotýká všech oddělení, už jen proto, že významným a trvale podceňovaným rizikem je lidský faktor. Konkrétně se zde může jednat například o nedostatečné dodržování procesů souvisejících se správou hesel k informačním systémům v organizaci. Možná znáte kolegy, kteří si například hesla píší na papírek na pracovním stole, nebo vaše jednoduché heslo do CRM se nezměnilo za celou dobu vašeho působení ve firmě. V ohrožení jsou jak mikro podniky, tak malé i střední firmy, korporace nevyjímaje. Samozřejmě, že míra i druh kybernetických rizik se liší dle zaměření hlavního businessu firmy.
Aby byly firmy v odvracení kybernetických hrozeb co nejúčinnější, odborníci doporučují posílení obranyschopnosti týmu rozšířením o pozici, která vyhodnocuje bezpečnostní strategie, poskytuje vedení a dohled ve strategickém plánování, realizuje bezpečnostní koncepce a postupy. Jedním z jejich hlavních úkolů je také dohled nad dodržováním právních povinností, pokud jde o citlivé obchodní informace a osobní údaje zaměstnanců i klientů. Ve větších firmách se tak postupně objevuje pozice Chief Information Security Officer (CISO). Organizace, které doposud nevnímaly potřebu takovéto role, by svůj pohled mohly zkusit přehodnotit. CISO je totiž třeba vnímat jako jednu z priorit. Zásadní je mít tuto roli ukotvenou v organizační struktuře jako nezávislou na IT odděleních s přímým reportingem vrcholovému managementu, popřípadě představenstvu či dozorčí radě, dle modelu řízení společnosti. Z dnešního pohledu jsou kybernetické hrozby jednou z řady oblastí rizik, které by měly být pod přímým dohledem představenstva.
A pokud takovou pozici připravíte již nyní, budete ve značné výhodě, protože její zavedení bude po vás od poloviny roku 2018 požadovat EU direktiva GDPR (General Data Protection Regulation). Ta totiž přímo firmám nařizuje zřízení pozice Data Protection Officer (DPO), který má velmi podobný rámec povinností.
Kybernetická rizika identifikujte, vyhodnocujte a říďte
Je stokrát opakovanou skutečností, že kybernetické útoky mohou způsobit vážné narušení obchodních funkcí podniku či přerušení operativního řízení dodavatelského řetězce, poškození pověsti, únik dat o zákaznících nebo i ztrátu duševního vlastnictví. Přitom dnešní pole kybernetické kriminality je skutečně široké. Od dětí hackujících stahování videoher, přes organizovaný zločin cílený na poskytovatele finančních služeb, státem podporované krádeže obchodních tajemství, až po teroristy zaměřené na kritické infrastruktury. A proto je třeba otevřeně si říct, že žádná společnost není imunní vůči kybernetickým útokům. A otázka tedy není zda, ale kdy se společnost stane obětí kybernetického incidentu.
Každá organizace má vlastní rizikový profil v závislosti na povaze své činnosti a k jakým informacím se potenciální zločinci mohou dostat. Proto je důležité, aby management chápal, že především cenná data musí být identifikována a oceněna, a poté vyhodnoceno riziko oproti internetovým hrozbám. Je také důležité, aby si manažeři uvědomili, že informace a tedy data jsou pro ně nejdůležitější, a to nejen v případech, kdy je hlavním předmětem podnikání firmy prodej elektronických (digitálních) služeb. Jakákoliv firma používající například cloudový emailový systém je ohrožena a má cenné informace pro
různé úrovně kriminálních živlů nebo i jen zhrzené pomstychtivé bývalé zaměstnance.
Definování strategie řízení rizik a nastavení úrovně přijatelného rizika vyžaduje kritický pohled na případné dopady kybernetického incidentu průřezově v oblastech možné újmy.
- Cyklické řízení kybernetického rizika platí i pro cyber risk
Klíčem k úspěchu je přijmout kontinuální řízení celé oblasti spojené s kybernetickými riziky. Společnost musí pochopit, jak se vyvíjejí hrozby v čase, vyhodnotit míru rizika v kterémkoli okamžiku a nastavit strategii pro boj proti útokům nebo náhodným incidentům. Přístup je vlastně podobný, jako při řízení a zmírňování jakýchkoliv dalších rizik.
Díky identifikaci a charakteristice kybernetických hrozeb a posouzení zranitelnosti kritických bodů a činností, se mohou společnosti lépe připravit na to, jak tato rizika snížit přijmutím vhodných opatření. A místo pouhého náhodného krizového managementu, který přichází v momentě útoků, je užitečné jasně plánovat pravděpodobnost a důsledky specifických typů útoků, a tím minimalizovat riziko a možné negativní důsledky.
Včasná detekce poskytuje zásadní výhodu
V dnešním světě se stává klíčovým rozlišovacím prvkem moderního podnikání připojeného k internetu schopnost rozpoznat projevy incidentu v počátcích jeho životního cyklu a osvojit si tyto informace pro tvorbu dynamického modelu rizik.
Pro vás to pak znamená, že pracovníci pověřeni obranou sítí ve vaší firmě mohou mít výhodu. Nicméně to od nich vyžaduje hluboké pochopení vaší sítě, znalosti stylu podnikání a tedy i odpovědí na následující otázky.
- Jak podnikání firmy funguje?
- Jak to funguje (Informační systémy)?
- Co je klíčové pro váš business a kde se nachází klíčový obchodní majetek?
- Jak s ním uživatelé komunikují a jak s vnějším světem (internet)?
Organizace, které volí strategický přístup k řízení kybernetických rizik a k výdajům na kybernetickou bezpečnost, mohou vytvořit efektivnější kybernetickou praxi, která posune jejich schopnost detekovat a rychle reagovat na mimořádné události, které jsou téměř nevyhnutelné.
Je omyl považovat tyto výdaje za čistou ztrátu. Je to naopak investice do méně problémové budoucnosti. Lze za ně považovat jak interní pracovníky, pravidelné bezpečnostní audity, tak i pojištění relevantních kybernetických rizik. Je také chybou reagovat jen v případě, že to pod sankcemi vyžaduje platná legislativa. To může být pozdě.
Kybernetické hrozby jako součást pravidelné agendy managementu a představenstva
Je pochopitelné, že ředitelé firem a členové představenstva nemusejí být experty na tuto oblast, to se od nich ani neočekává. Nicméně vrcholový management a představenstvo by se mělo na high-level úrovni orientovat. Jinak nemohou učinit dostatečně kvalifikovaná rozhodnutí.
Odpovědní ředitelé musí přehodnotit rizika oproti současnému stavu a neustále se vyvíjejícím vektorům ohrožení. Organizace, které již dříve provedly posouzení rizik a tak trochu usnuly na vavřínech své nedobytnosti ukolébané egem vlastních IT oddělení, by měly začít znovu. Firmy potřebují urychlit tento proces a ne čekat na porušení svých firewallů. Je také třeba dát pozor na přílišné spoléhání se na externí dodavatele služeb. Rovněž by management měl být také schopen vysvětlit, jak si vybírá, řídí a monitoruje dodavatelské třetí strany a jejich přístup k firemním datům.
A aby se mohlo něco efektivně řídit, je třeba měřit a reportovat. Součástí reportingu by tak měly být smysluplné, daty řízené metriky, které ukazují, jaká je účinnost odezvy na kybernetické hrozby. Tak se rovněž získá korelace kybernetických incidentů s investicemi do nových technologií, personálního obsazení firmy a obchodních rozhodnutí.
Kde tedy začít?
Ve vaší společnosti vyhodnocujte a řiďte kybernetická rizika stejně jako to děláte u ostatních provozních, reputačních, finančních a obchodních rizik v rámci celého podniku. Místem, kde nejlépe začít, je jako obvykle vrcholový management a další orgány řízení, které se strategického směřování firmy účastní. Je nutné identifikovat specifická rizika pro jednotlivý typ businessu a mít plán protiopatření. Vysoká angažovanost a zaujetí ředitele společnosti je v tomto procesu stěžejní.
Dan Konečný Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Petr Moláček Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
