Spolupráce zvýší kybernetickou bezpečnost

Užší spolupráce mezi vrcholovým managementem a šéfy informační bezpečnosti pomůže firmám lépe zajistit kybernetickou bezpečnost. Nový průzkum společnosti Accenture ukázal, že méně než třetina šéfů informační bezpečnosti (CISO) spolupracuje na plánu bezpečnostní politiky firem a rozpočtu.

S nárůstem objemu citlivých dat, rozšířením připojení a využíváním automatizovaných procesů roste důležitost toho, aby vrcholoví manažeři a IT odborníci našli společnou řeč a zajistili ochranu firem proti budoucím kybernetickým hrozbám. Protože ve většině společností je vedoucí pro oblast informační bezpečnosti (CISO) podřízený členu nejužšího vedení, většinou CIO, má jako takový omezený vliv na strategii zajištění kybernetické bezpečnosti nad rámec svého oddělení. Navíc téměř polovina CISO připouští, že jejich odpovědnost za zabezpečení organizace roste rychleji než schopnost řešit bezpečnostní problémy.

V rámci studie Securing the Future Enterprise Today – 2018 (Zajištění budoucnosti podnikání dnes – 2018) dotazovala společnost Accenture 1400 strategických manažerů firem včetně CISO, jak akcentují bezpečnost v nových podnikatelských iniciativách, zda se jejich plány zabezpečení týkají budoucích obchodních potřeb, jak jsou schopní zabezpečit stávající systémy a jaká je u nich úroveň vnitřní a vnější bezpečnostní spolupráce. Co ukázala studie?

73 % vrcholových manažerů souhlasilo s tím, že zaměstnanci a aktivity pro zajištění kybernetické bezpečnosti musí být rozptýleny ve všech částech organizace, avšak cybersecurity zůstává centralizovaná v 74 % organizací. Kromě toho jen málo vrcholových manažerů očekává, že přesunou větší část odpovědnosti za kybernetickou bezpečnost přímo do obchodních jednotek. Jen 25 % CISO uvádí, že vedení obchodních jednotek je už dnes zodpovědné za počítačovou bezpečnost a podobný počet věří, že by se to mělo v budoucnosti změnit.

„Není pochyb o tom, že organizace berou kybernetickou bezpečnost vážněji, ale je třeba ještě mnohé změnit. Strategii kybernetické bezpečnosti musí řídit správní rada, kterou tvoří vrcholový management; a měla by být jedním z hlavních zájmů organizace. Dále musí být v souladu s procesy a systémy společnosti a měla by patřit do každodenních pracovních činností zaměstnanců,“ řekl Omar Abbosh, šéf strategie společnosti Accenture. „Pokud chtějí být společnosti schopné růst bezpečně, měly by odolnost vytvářet na základě proaktivního zaměření na řízení kybernetických rizik na všech úrovních.“

Lepší sladění strategií a ochranných postupů

Studie odhalila rozdíly mezi tím, co vrcholoví manažeři proklamují jako nové oblasti zájmu, a reálně využívanou strategií kybernetické bezpečnosti. Například společnosti stále dostatečně nešíří znalosti a informace v oblasti bezpečnosti mezi zaměstnanci a velmi málo CISO má pravomoc ovlivňovat obchodní jednotky v rámci svých organizací.

• Pouze polovina respondentů uvedla, že všichni zaměstnanci absolvují školení v oblasti kybernetické bezpečnosti po vstupu do organizace a mají dále pravidelná školení.

• Pouze 40 % CISO uvedlo, že je u nich prioritou zavedení nebo rozšiřování programu pro stanovení vnitřních hrozeb.

• Pouze 40 % CISO uvedlo, že před tím, než navrhnou bezpečnostní postup, seznámí je vedoucí obchodních jednotek s jejich podnikáním.

Největší kybernetická rizika: nové technologie a sdílení dat

Vrcholoví manažeři pohlížejí na některé nové technologie a nástroje jako na zvýšení rizik a jsou velmi znepokojeni potenciálním nebezpečím sdílení dat s třetími stranami.

• Internet věcí (IoT) se dostal na vrchol seznamu s 77 % respondentů, kteří tvrdí, že zvýší míru kybernetického rizika mírně nebo výrazně.

• 74 % respondentů řeklo, že cloudové služby zvýší kybernetické riziko, ale pouze 44 % uvedlo, že cloudová technologie je chráněna v rámci jejich strategie kybernetické bezpečnosti.

• Více než 70 % respondentů očekává, že sdílení údajů se strategickými partnery a třetími stranami zvýší riziko, ale pouze 39 % z nich uvedlo, že vyměňované údaje jsou odpovídajícím způsobem chráněny jejich strategií kybernetické bezpečnosti.

5 kroků k vybudování kybernetické odolnosti

1. Udělejte z byznys lídrů lídry v bezpečnosti – tím, že začleníte bezpečnostní tým do strategického rozhodování a rozšíříte odborné znalosti a zodpovědnost za kybernetickou bezpečnost na vrcholové manažery.

2. Podpořte bezpečnostní šéfy jako důvěryhodné spolutvůrce byznysu – tím, že pomůžete CISO být zběhlejší v obchodu a vytvoříte nové bezpečnostní role v jednotlivých obchodních a funkčních jednotkách, přemostíte propast mezi byznysem a bezpečností.

3. Zapojte zaměstnance do řešení bezpečnosti – zajistěte, aby byli všichni zaměstnanci proškolení v základních otázkách a úkonech. Jakmile si budou vědomí základních principů, snadněji přijmou roli obhájců kybernetické bezpečnosti, případně budou využívat technologie ke sledování podezřelého chování.

4. Buďte obhájcem práv  zákazníků – vzdělávejte zákazníky v tom, jak chránit svá osobní a spotřebitelská data (aktuálně například v tom, co pro ně znamená GDPR).

5. Myslete nad rámec vašeho podniku – spolupracujte s partnery, dodavateli a dalšími partnery, abyste sdíleli znalosti, výrobky a služby v oblasti počítačové bezpečnosti.

(tz)