Většina firem trpí utkvělou představou, že maličký tým kyberbezpečnostních expertů skrytý kdesi v hlubinách IT oddělení (nebo jinde) dokáže zabránit více než 99 % pracovníků v neúmyslném nebo úmyslném zpřístupnění citlivých informací vnějším škůdcům. Taková představa naneštěstí panuje i v mnoha IT odděleních.
Přes 95 % členů celého týmu IT předpokládá, že bezpečnostní tým (který může představovat 5 % i méně celkového počtu IT pracovníků) se o vše postará. V minulosti se mnohokrát tato představa ukázala jako mylná, přesto přetrvává.
V dnešní době, kdy panuje poměrně široké povědomí o bezpečnosti, má téměř každý podnik svůj bezpečnostní program. Ten se skládá z politik stanovených manažerem bezpečnosti, provozních opatření, která vynucují dodržování politik, pracovních pravidel a postupů pro realizaci těchto opatření, nástrojů na podporu pravidel a postupů a bezpečnostního týmu, který nástroje využívá k monitorování pravidel a postupů a auditování konzistentnosti a účinnosti bezpečnostních opatření. Zní to možná složitě, ale většina podnikových IT oddělení klíčové prvky úspěšného bezpečnostního programu chápe a do menší či větší míry je implementuje.
Bezpečnostní program a kultura bezpečnosti jsou však dvě odlišné věci. V kultuře bezpečnosti jsou zaměstnanci obeznámeni s kybernetickými hrozbami, kterým jejich podnik musí čelit. Rozumějí motivaci a záměrům útočníků, kteří působí v jejich odvětví nebo na jejich trhu.
Otázky kybernetické bezpečnosti se běžně probírají na normálních podnikových schůzkách, například při čtvrtletním obchodním hodnocení, jednáních o podnikové strategii, plánování rozpočtu, vyhodnocování fúzí a akvizic apod. Neomezují se na pravidelné schůzky vyhrazené speciálně bezpečnosti, protože manažeři i řadoví zaměstnanci chápou bezpečnost jako nedílnou součást běžného provozu. Ve skutečné kultuře bezpečnosti se zaměstnanci aktivně podílejí na zavádění a uplatňování bezpečnostních opatření.
Někdo možná namítne, že skutečnou kulturu bezpečnosti nelze vybudovat ve velké, diverzifikované společnosti působící v různých zemích, ale opak je pravdou, jak ukazují zkušenosti z praxe.
Většina poskytovatelů finančních služeb věnuje značnou pozornost řízení rizik a vybudovala efektivní kulturu bezpečnosti. Podobně na bezpečnost dbají firmy, které při své obchodní činnosti využívají vlastními silami vytvořené duševní vlastnictví – například farmaceutické společnosti. Se všudypřítomnou a viditelnou kulturou bezpečnosti se můžeme setkat i v mnoha velkých nadnárodních firmách.
IT by mělo jít příkladem
V moderním podniku nelze vybudovat kulturu bezpečnosti, aniž bude nejprve existovat v rámci IT. IT je odpovědné za příliš mnoho napadnutelných procesů a cest na to, aby nehrálo ústřední roli v obraně proti kybernetickým hrozbám. Pokud nebude celé IT brát odpovědnost za kybernetickou bezpečnost vážně, jak by bylo možné takovou kulturu zavést v celém podniku?
IT sice nemůže samo zavést kulturu bezpečnosti v celém podniku, ale může ukázat ostatním jednotkám, jak taková kultura může vypadat. Bohužel se to příliš často nestává. V mnoha případech je odpovědnost za bezpečnost v rámci podnikového IT delegována na malý tým bezpečnostních odborníků a ostatní se o ni příliš nestarají. Mnohdy naopak ostatní IT pracovníci odmítají, ignorují nebo rozporují požadavky na přísnější zabezpečení existujících technologií a provozních postupů.
Neobvyklé není ani to, že jednotliví pracovníci vyjadřují nelibost nebo lhostejnost, mají-li se podílet na řešení problémů odhalených auditem bezpečnosti nebo na reakci na konkrétní bezpečnostní incidenty. Bezpečnostní školení bývá zhusta považováno za ztrátu času a nechtěné vyrušení od práce na naléhavějších úkolech.
Budujte kulturu
Co mohou manažeři IT udělat pro vybudování kultury bezpečnosti ve vlastní jednotce? Následujících šest kroků – jsou-li uskutečňovány trvale a konzistentně – vede k žádoucím výsledkům.
1. Vzdělávejte
Poučte pracovníky o obecných hrozbách, které ohrožují váš podnik. Proberte s nimi historické příklady narušení bezpečnosti v jiných firmách s podobnými produkty, službami, způsobem fungování nebo na podobném trhu. Zajistěte, aby chápali, jaké cesty útočníci v minulosti užili k průniku obranou a krádeži citlivých informací.
2. Řiďte
Sestavte seznam zranitelností řazených podle priority (tzv. rejstřík rizik). Zapojte do sestavování seznamu a určování priorit známých zranitelností co nejvíce členů IT týmu. Pochvalte a odměňte ty, kdo svými znalostmi a postřehy do rejstříku rizik přispějí nejvíce jako motivaci pro ostatní.
3. Mluvte
Jeden bývalý kolega říkával: „Co zajímá mého šéfa, mě musí fascinovat.“ Každý manažer, který spontánně projevuje zájem o bezpečnostní otázky alespoň jednou denně, brzy zjistí, že tak činí i kolegové a podřízení. Zaměstnanci se totiž vědomě i podvědomě nechávají vést.
4. Měřte
Každý zná postřeh zakladatele moderního managementu Petera Druckera, že co nelze měřit, nelze ani řídit. Bezpečnostní metriky není snadné vhodně nastavit. Mohou se zaměřit na celopodnikové uplatňování bezpečnostních opatření nebo na jejich účinnost. Řada podniků se z pochopitelných důvodů zdráhá hovořit o efektivitě svého zabezpečení, ale pokud nejsou zaměstnanci a členové vedení informovaní, nastavené metriky těžko ovlivní jejich chování.
5. Personalizujte
Využijte každou příležitost k uvádění analogií mezi bezpečnostními otázkami, se kterými se setkávají zaměstnanci při práci a při pohybu na internetu jako spotřebitelé. Pomozte kolegům pochopit, jaký dopad na jejich soukromý život může mít zneužití přihlašovacích údajů, vyděračský software, cookies a další rizika a hrozby. Budou mnohem obezřetnější při procházení internetu na pracovišti.
6. Penalizujte
V ideálním světě by stačilo poučit pracovníky o kybernetických hrozbách a bezpečnostních opatřeních a oni by sami změnili své chování. V reálném světě je však nutné zavést postih za úmyslné i nedbalostní porušení pravidel a stanovených postupů. Zaměstnanci obvykle akceptují zavedení osobního postihu v případech, kdy jsou ohrožené obchodní výsledky firmy. Je nutné, aby pochopili, že bezpečnostní opatření existují kvůli ochraně obchodních zájmů podniku a jejich nedodržování bude mít následky. Postih musí být samozřejmě odstupňovaný podle závažnosti přestupku, ale jeho neexistence podkopává snahu o zavedení kultury bezpečnosti.
Stůjte v čele snah o změnu kultury
Žádný tým expertů na informační bezpečnost – bez ohledu na jejich schopnosti, kvalifikaci a rozpočet – nedokáže sám o sobě dennodenně chránit podnik před celým spektrem hackerů, kyberzločinců a nepřátelských států.
Absolutní záruku bezpečnosti nelze poskytnout za žádných okolností, ale pravděpodobnost úspěchu výrazně vzrůstá s vybudováním kultury bezpečnosti, kde zaměstnanci chápou rizika, kterým čelí, a plně dodržují stanovená pravidla a postupy. Málokdo bude sice s tímto výrokem polemizovat, ale většina netuší, kde začít. Bezpečnostní týmy musejí dodržovat kulturu bezpečnosti, protože to je jejich práce. IT pracovníci mimo bezpečnostní tým musejí takovou kulturu přijmout za svou a upřímně a viditelně ji propagovat.
Revoluce mívají úspěch, pokud se jejim protagonistům podaří o svých idejích přesvědčit nezúčastněné pozorovatele a ti se stanou spolehlivými pěšáky. Pokud IT manažer nepřežene pravidla, opatření a postupy a osobně se zasadí o zavedení zmiňované praxe, podaří se mu v rámci IT vybudovat kulturu bezpečnosti, která bude vzorem zbytku podniku. Manažeři IT si často stěžují na nedostatečný vliv na podnik. Toto je jejich příležitost!