ATOM365 - bezpečná práce odkukoliv, na jekémkoliv zařízení, kdykoliv.

Představitelé organizací řídí rizika neustále. Velmi dobře rozumí finančním rizikům, rizikům spojených s různými právními normami. S konvenčními riziky obvykle vědí, jak se vyrovnat. Nicméně kybernetická rizika jsou obvykle mimo jejich pole působnosti.
Je důležité, aby manažeři pro příslušnou organizaci vytvořili vhodné podmínky v oblasti kybernetické bezpečnosti, co se týče důležitosti informační bezpečnosti a jak je významná sdílená odpovědnost v digitálním světě. Vytvoření organizační "kultury kybernetické bezpečnosti" se ukázalo být jednou z nejlepších obranných prostředků proti počítačovým útokům. Jsou to lidé, ne technologie, kteří mohou být buď největší obranou organizace, nebo její nejslabší stránka při kybernetickému útoku.

Jsem majitel či ředitel společnosti, mám se zajímat o IT bezpečnost?

Svět se mění každý den
Kromě ostatního, je úkolem generálních ředitelů, manažerů organizací, aby se dozvěděli více o kybernetické bezpečnosti, aby zajistily, že jejich společnost podnikne příslušná opatření k zajištění nejcennějších informačních aktiv.
To neznamená, že by se každý CEO musel stát certifikovaným odborníkem na bezpečnost informačních systémů (CISSP). Generální ředitelé by měli spíše zvyšovat své znalosti o základních koncepcích kybernetické bezpečnosti a využívat své vlastní schopnosti v oblasti řízení organizace, aby připravili koncepty a řídili rizika ze strategického hlediska a chápali podnikatelský dopad rizika kybernetické bezpečnosti.
Několik faktů
  1. Kybernetické útoky jsou realitou a mají negativní dopad na jakékoliv podnikání. Dnes, průměrný finanční dopad činí necelých €5 milionů.
  2. Podle průzkumů týkajících se počítačové bezpečnosti více než 60 % veškerých narušení pochází z neoprávněného přístupu jednoho z vašich stávajících či bývalých zaměstnanců nebo dodavatelů třetích stran.
  3. Dosažení souladu informační bezpečnosti s jednou nebo více normami pro bezpečnost informací (např. ISO 27001, NIST 800-171, HIPAA, NYDFS atd.) je dobrý začátek, ale nebývá dostačující k zajištění skutečné kybernetické bezpečnosti.
  4. Aby bylo dosaženo skutečné bezpečnosti informací a odolnosti dat, je nezbytné spojit řízení služeb pro monitoring, detekci a reakci v kombinaci s principy obnovy po havárii a zajištění provozu organizace.

Co je podstatné pro mne, jako CEO v kybernetické bezpečnosti.

Mějte rizika pod kontrolou

Proaktivní řízení kybernetického rizika na úrovni vedení organizace je zásadní. Riziko kybernetické bezpečnosti ovlivňuje hodnotu akcií, fúze, ceny, reputaci, kulturu, zaměstnance, informace, kontrolu procesů, značku, technologie, finance atd. Jste přesvědčeni, že jste identifikovali klíčové informační aktivity a důkladně posoudili jejich zranitelnost vůči útoku? Jste si opravdu jisti, že této oblasti věnujete dostatečnou pozornost, nebo že jste ji dokonce neopomněli? Riziko je nedílnou součástí podnikání, a proto je definování a komunikace k řízení rizik zásadní, a to platí také pro oblast kybernetické bezpečnosti. Riziko kybernetických útoků je vysoké a škody mohou být fatální. Organizace se spoléhají na technologie, systémy a informace pro podporu svých obchodních cílů, a proto je důležité, aby i pro ně aplikovaly podobnou míru přísnosti na posouzení rizik jako třeba pro oblast finanční či provozní. Toho lze dosáhnout zavedením vhodného režimu řízení rizik v celé organizaci, který je aktivně podporován majiteli firem, představenstvem a manažery.

Definujte pravidla hry, strategii

Bez nastavení pravidel, a to samozřejmě i v oblasti informační bezpečnosti, nemůžete organizaci řídit. Vaše organizace by měla mít schválenou politiku zabezpečení informací, která poskytuje směřování a podporu informační bezpečnosti v souladu s obchodními potřebami a příslušnými zákony a předpisy. Tato bezpečností politika by měla být pravidelně kontrolována a aktualizována. Měla by jasně stanovit váš přístup k bezpečnosti včetně odpovědnosti a sledování souladu s nastavenými pravidly. Měli byste mít také zavedený proces, který zajistí, že budete přezkoumávat a schvalovat zásady a postupy před jejich implementací. Pokud tato pravidla hry nemáte stanovena, vystavujete se velmi vysokému riziku úspěšného kybernetického útoku. Mějte však vždy na zřeteli, že bezpečnostní politika ve vaší organizaci není dokument, kterému má rozumět úzká skupinka zasvěcených, ale dokument, který chápou všichni zaměstnanci.

Máte odpovědnost

Domníváte se, že vaše odpovědnost je pouze za výsledky a rozvoj společnosti? Počítačová bezpečnost je příliš často považována za problém IT, spíše než strategický problém, což je ale omyl. Vzhledem k rychle rostoucímu počtu kybernetických útoků může podcenění bezpečnosti vést k porušení povinností při správě majetku, což je jednoznačně deklarovaná povinnost vedení společnosti. K tomu můžete dále připočítat odpovědnosti související např. s GDPR. Je jasné, že nemůžete rozumět, pokud jde o IT, všemu, od toho máte lidi. Zaměřte se zejména na to, jaká je prevence proti vzniku bezpečnostních incidentů a jak včasná a účinná je detekce vzniklých bezpečnostních incidentů. Budujte ze své pozice povědomí, kontrolujte dodržování bezpečnostních pravidel a vynucujte jejich dodržování.

Důvěřujte, ale prověřujte

Pravděpodobně máte zaměstnance, kteří v dnešní moderní komunikační době pracují na dálku. Víte ale, že jsou jejich zařízení bezpečná? Že se bezpečně přihlašují? Mají přístup k zabezpečeným serverům při manipulaci s informacemi online? Jak máte zajištěno, že zaměstnanci, který již po vás nepracuje, byla odebrána přístupová práva do vašich systémů? Víte, jakou pozornost skutečně věnuje vaše IT oddělení bezpečnosti? Kontrolujte a hodnoťte základní postupy v oblasti kybernetické bezpečnosti, nenechávejte všechnu odpovědnost na vašich IT zaměstnancích. Toto zahrnuje zajištění toho, že máte ve vaší organizaci zabezpečená hesla, aktualizovaný software, pravidelně monitorujete technologická zařízení a dodržování bezpečnosti zaměstnanci či externisty ve vaší firmě. Informujte vaše zaměstnance a všechny, kdo pro vás pracují o riziku kybernetických hrozeb včetně možných potenciálních škod. Vzdělávejte je, důvěřujte jim, ale také prověřujte. Jedině tak můžete získat kontrolu.

Umožněte práci odkukoliv

Dnešní doba žádá, aby vaši zaměstnanci mohli pracovat odkudkoli a kdykoli. Moderní komunikační technologie tento přístup jednoznačně podporují. Umožněte vašim zaměstnancům flexibilitu, ale nezapomínejte na pravidla IT bezpečnosti, která je potřeba nastavit a dodržovat. Seznamte s nimi vaše zaměstnance, trvejte na nich a kontrolujte jejich dodržování. Vzdělávejte vaše zaměstnance v oblasti IT bezpečnosti a předejděte tak možným problémům.

Prevence především

I v oblasti bezpečnosti platí základní pravidlo, že vždy je lepší být připraven než řešit následné problémy, které mohou být pro některé organizace i likvidační. Díky dobrým preventivním bezpečnostním opatřením v oblasti IT můžete chránit vaše cash-flow, vaše data a data zákazníků a partnerů a také vaši pověst. Základem je zabránit výskytu hrozeb v první řadě řešením základních příčin, které tyto hrozby vytvářejí.

Poznejte příběhy organizací a poučte se jak se vyhnout základním chybám.

Připravili jsme pro vás tři příběhy organizací, jako je ta vaše. Ponaučte se jak se vyhnout základním chybám při správě IT prostředí.