Hovořit nic nestojí, ale pokud jde o IT bezpečnost, strategické rozhovory s kolegy, obchodními partnery a dalšími relevantními stranami mohou být k nezaplacení.
Přínos řešení otázek kybernetické bezpečnosti prostřednictvím průběžných debat spočívá v tom, že se podnik vnitřně shodne na efektivních strategiích, říká Roger Albrecht, vedoucí výzkumu kybernetické bezpečnosti v technologické analytické a poradenské společnosti ISG.
Chcete dostávat do mailu týdenní přehled článků z CIO Business Worldu? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
„Takové diskuze zajišťují provázanost iniciativ v oblasti kybernetické bezpečnosti a souvisejících požadavků na zdroje s obchodními cíli a záměry podniku,“ dodává. „Debaty se zaměřují na měnícími se zákonné a regulatorní požadavky, odhalují zranitelná místa a hrozby a hledají cesty ke zmírnění rizik.“
Průběžné rozhovory o strategii bezpečnosti IT by se měly zabývat kybernetickými riziky podniku a formulovat strategické cíle, říká Albrecht. „Výsledkem takových rozhovorů by mělo být jasné stanovení opatření, přínosů, harmonogramu, rozpočtu a zdrojů potřebných k odstranění nedostatků.“
Pro vedoucí pracovníky v oblasti IT, kteří chtějí nastavit robustnější strategii kybernetické bezpečnosti, je následujících sedm otázek návodem, jak vést hloubkové rozhovory o strategii kybernetické bezpečnosti s vrcholovým vedením, obchodními jednotkami a pracovníky IT.
1. Jsou naše systémy dostatečně modernizovány z hlediska bezpečnosti?
Podniky by měly diskutovat o způsobech, jak modernizovat svou IT infrastrukturu, tak aby podporovala architektury, u nichž je bezpečnost nedílnou součástí, nikoli nadstavbou, říká Phil Venables, CISO společnosti Google Cloud.
Starší systémy bývají zatížené bezpečnostními nedostatky jednoduše proto, že nebyly navrženy s ohledem na obranu proti hrozbám tak, jako jsou modernější architektury – obvykle veřejné nebo privátní cloudy. Venables poznamenává, že v posledním desetiletí došlo k mnoha případům, kdy podniky investovaly do produktů kybernetické bezpečnosti, ale nemodernizovaly svou celkovou IT infrastrukturu ani svůj přístup k vývoji softwaru.
„Je to stejné, jako když stavíte dům na písku,“ říká. „Bez neustálé pozornosti a investic do modernizace IT nebudou podniky schopné plně využít výhody pokroku v oblasti zabezpečení, takže budou zranitelné vůči škodlivým aktivitám.“
Venables doporučuje, aby se rozhovory o modernizaci konaly v zasedacích místnostech, na schůzkách výkonného vedení a na strategických jednáních s jednotlivými obchodními jednotkami.
„Pokud se diskuze uskutečňují mezi správnými zúčastněnými stranami a je aktivován plán, nastoupil podnik cestu k úspěchu,“ říká.
2. Řešíme kyberbezpečnostní scénáře v takové míře, v jaké bychom měli?
Rahul Mahna, partner a vedoucí konzultant pro outsourcované IT služeb ve společnosti Eisner Advisory Group, která se zabývá manažerským poradenstvím, věří, že probírání různých scénářů s pracovními týmy a s kolegy z managementu může vést k užitečným poznatkům o bezpečnosti.
Co by se například stalo, kdyby naše služby pro klíčového klienta vyřadil z provozu kybernetický útok? Jak bychom postupovali?
„Tento typ plánování reakce na bezpečnostní incidenty je při rozhovorech s našimi klienty nesmírně cenný,“ vysvětluje Mahna. Doporučuje, aby takové rozhovory o bezpečnostní strategii nebyly příležitostnou jednorázovou diskuzí, ale průběžnou sérií pravidelných rozhovorů.
Kromě pravidelných debat Mahna doporučuje pořádat každoroční schůzku zaměřenou na bezpečnost v kombinaci s testem plánu reakce na incidenty, aby klíčoví vedoucí pracovníci a manažeři měli aktuální informace o aktuálních pravidlech, postupech a rolích.
Plánování toho, co dělat, když dojde ke kybernetickému útoku, je neuvěřitelně přínosné a mělo by být detailně popsáno v manuálu pro krizové situace, radí Mahna.
„Ten by měli mít k dispozici a znát určení členové bezpečnostního týmu, aby v případě narušení bezpečnosti bylo možné úspěšně uskutečnit dobře promyšlený plán reakce.“
3. Pěstujeme kulturu bezpečnosti?
Vedení udává tón bezpečnostní strategii IT ve svém podniku, říká Ryan Orsi, globální ředitel pro bezpečnost ve společnosti Amazon Web Services.
„Kultura zabezpečení, ve které jednotliví zaměstnanci cítí, že mohou jednat rychle a samostatně v rámci schválených bezpečnostních mantinelů, vede k rychlejším inovačním cyklům, rychlejšímu dosažení obchodních výsledků a obecně vyšší spokojenosti koncových zákazníků.“
Podniky, které inspirují jednotlivce k inovacím a rychlému postupu v rámci dobře definovaných bezpečnostních mantinelů, jsou nejefektivnější, říká Orsi.
„Pokud je ve vašem podniku nutné zadávat požadavky na schválení od vašeho bezpečnostního týmu před vydáním aktualizací aplikací, webů nebo změny v databázi, nejspíš u vás nepanuje kultura bezpečnosti,“ varuje. „Její kultivací v celém vedení podniku pravděpodobně pocítíte rozdíl.“
4. Skutečně máme aktuální přehled o nových hrozbách?
Kyberzločinci nikdy nespí. Neustále usilují o to, vás podvést, okrást nebo vám jinak uškodit.
„Pokud jde o strategii IT bezpečnosti, je zapotřebí vést velmi přímou konverzaci o nové povaze kybernetických hrozeb,“ radí Griffin Ashkin z poradenské společnosti MorganFranklin Consulting, která se specializuje na podnikové řízení.
Nedávné zkušenosti ukázaly, že kyberzločinci přecházejí od ransomwaru ke kybernetickému vydírání, varuje Ashkin. „Vyhrožují zveřejněním osobních údajů zaměstnanců, čímž je vystavují značnému riziku krádeže identity.“
Ashkin se domnívá, že manažeři v oblasti bezpečnosti by měli usilovat o přemístění co největšího množství prostředků lokální infrastruktury do cloudu, a tím přesunout i odpovědnost za jejich kybernetickou ochranu na poskytovatele služeb. Mimoto by pravidelné rozhovory s vedením měly vést ke klíčovým rozhodnutím, jako jsou potenciální investice do dokonalejších bezpečnostních nástrojů, aktualizovaných školicích materiálů pro zvyšování povědomí o bezpečnosti, rozšíření komunikace s koncovými uživateli za účelem osvěty o nejnovějších bezpečnostních hrozbách a jakékoli další relevantní kroky potřebné k řešení a zmírnění bezpečnostních rizik na straně zaměstnanců.
5. Máme skutečně účinný plán reakce na incidenty?
Každý podnik musí interně hovořit o reakci na bezpečnostní incidenty, apeluje Zachary Folk, ředitel vývoje ve společnosti Camelot Secure, která se zabývá kybernetickou bezpečností.
Plánování je zcela zásadní, říká Folk. Diskuze by měly zahrnovat vedení podniku včetně CIO, CISO a CTO, dále koordinátora týmu reakce a vedoucí všech oddělení. Výsledkem jejich společných schůzek a rozhovorů by podle něj mělo být vypracování nebo aktualizace plánu reakce na bezpečnostní události. Měli by také přezkoumat klíčové prostředky a priority, posoudit pravděpodobný dopad případného útoku a identifikovat nejpravděpodobnější hrozby.
Video ke kávě
Máte čas na rychlé a informativní video?
Změnou přístupu podniku k řízení rizik z maticového měření (vysoké, střední, nízké) na kvantitativní snižování rizik je možné skutečně ovlivnit tolik proměnných, kolik je potřeba, říká Folk.
„Pomocí jednoduchých simulací Monte Carlo a dat shromážděných v podniku můžete vedoucím pracovníkům vyčíslit skutečnou pravděpodobnost ztráty, potenciální výskyt incidentů a dopady.“
6. Dosahujeme maximální návratnosti investic do zabezpečení?
Je čas přestat utíkat od konverzací o návratnosti investic do zabezpečení, radí Brian Contos, CSO ve společnosti Sevco, která se zabývá viditelností IT aktiv a kybernetickou bezpečností. Poznamenává, že podniky masivně investovaly do CMDB, SIEM, SOAR, EDR, správy zranitelností a souvisejících řešení.
„Mají-li však tato řešení přinášet skutečný užitek, je nutné zajistit, aby informace, které do nich proudí, jako je analýza aktiv, byly včasné, přesné a deduplikované,“ říká. Mít v rámci podnikových bezpečnostních řešení dokonalý přehled o IT prostředcích pomůže nejen efektivněji zmírňovat rizika, ale zvýší i návratnost investic.
Konverzace o návratnosti investic by měla vést k tomu, že bezpečnostní, provozní a GRC (řízení, rizika a dodržování předpisů) týmy získají lepší přehled o IT prostředí, konstatuje Contoso. Měla by se zaměřit na vše, co je dobré a špatné, a zároveň identifikovat oblasti, které vyžadují zlepšení nejnaléhavěji. Poté je možné příslušným týmům přiřadit akce podle priorit, například otázky licencování, zdokonalování procesů, aktivní vyhledávání zranitelností, zajištění přehledu nebo regulatorní záležitosti.
„V konečném důsledku by se snahy o zmírnění rizik a maximalizaci návratnosti investic měly spojit, když se informace o IT prostředí využijí ke zvýšení efektivity existujících nástrojů zaměřených na bezpečnost, provoz IT a GRC,“ radí.
7. Jaký hrozí skutečný ekonomický dopad?
Snad nejkritičtější debata o strategii bezpečnosti IT se týká odpovědi na jednu jedinou otázku: „Jaké finanční ztráty by hrozily našim zákazníkům, pokud by došlo k výpadku našich IT systémů?“
Cílem těchto diskuzí by mělo být vytvoření bezpečného, robustního a odolného IT prostředí, u kterého si zákazníci mohou být jisti, že zůstane v provozu a umožní dodávat produkty a služby bez přerušení, říká Rob Fitzgerald, CISO ve společnosti Blue Mantis, která se zabývá řízenými službami a IT strategií.
Tato konverzace by se měla odehrávat nejméně jednou ročně a ideálně před sestavováním rozpočtu, aby CIO a CISO mohli podle toho plánovat, radí Fitzgerald. Nastat by měla i v situaci, kdy dojde k nějakým zásadním událostem, které mají dopad na obchodní činnost.
„Pokud se například podnik chystá prodat divizi, nebo naopak převzít jinou společnost, CIO a CFO mají z pozice správců povinnost posoudit potenciální ztrátu, které by zákazníci čelili, pokud by IT systémy podniku přestaly být dostupné.“
Článek vyšel v magazínu CIO BW 6/2023.
CIO Business World si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.