Praktyka pokazuje jednak, że organizacje są z tym na bakier. Nawet jeśli mają tego świadomość, nie zawsze wiedzą, jakie kroki należy podjąć, aby przełożyć to na praktyczne działania. W ciągu ostatniego roku liczba cyberataków znacząco wzrosła, a mimo to prawie 9 na 10 firm nie przeznacza wystarczających środków na wdrożenie skutecznych systemów cyberbezpieczeństwa – to wynik ankiety przeprowadzonej przez firmę konsultingową EY. Co więcej, 55% kadry kierowniczej ankietowanej przez EY nie bierze pod uwagę bezpieczeństwa cybernetycznego jako istotnej części swojej strategii biznesowej. Takie lekceważenie zagrożeń IT może być wyjątkowo niebezpieczne dla firm każdej wielkości.

W poszukiwaniu skuteczniejszej ochrony

Badanie EY stwierdza, że 77% organizacji stara się obecnie wyjść poza podstawowe środki bezpieczeństwa cybernetycznego. Organizacje wciąż pracują nad najważniejszymi aspektami swoich strategii oraz zastanawiają się, jak zwiększyć efektywność stosowanych rozwiązań. Część tych wysiłków dotyczy wdrażania zabezpieczeń wykorzystujących sztuczną inteligencję, automatyzację procesów oraz analitykę. Ma to na celu zwiększenie bezpieczeństwa kluczowych zasobów i danych. Firmy wykazują duże zainteresowanie narzędziami wykorzystującymi uczenie maszynowe do wykrywania i zapobiegania atakom.

Zobacz również:

• Specjaliści cyberbezpieczeństwa zadowoleni z pracy
• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa

Droga do znaczącej poprawy obecnego stanu rzeczy jest jednak daleka. Według ekspertów z EY tylko jedna na 10 organizacji twierdzi, że jej obecne rozwiązania w zakresie bezpieczeństwa w pełni zaspokajają istniejące potrzeby.

Dodatkowo niepokoi fakt, że niezbędne ulepszenia są odkładane i prawdopodobnie wdrożenia nastąpią dopiero wtedy, gdy dojdzie do udanego ataku lub innego incydentu, który negatywnie wpłynie na działalność danej firmy.

Bierne oczekiwanie na atak jest powszechną, ale niewskazaną praktyką, która może wstrząsnąć całą firmą. Organizacje nie powinny ograniczać się do działania po incydencie. Właśnie dlatego systemu, które aktywnie wykrywają zagrożenia (monitorują, analizują i wykrywają nietypowe zachowania, aby szybko wykryć intruza) zyskują na popularności.

Strategia transformacji cyfrowej

Koszty wynikające z braku ochrony stają się coraz wyższe. Wyraźnym tego przykładem jest atak przeprowadzony w 2018 r. Cyberprzestępcy wstrzyknęli złośliwe oprogramowanie na serwery bankomatów indyjskiego banku, powodując utratę 13,5 mln dolarów poprzez jednoczesne wypłaty w różnych krajach.

Cyberbezpieczeństwo musi zacząć odgrywać strategiczną rolę zarówno w przedsiębiorstwach, jak i instytucjach publicznych. Ważne, aby organizacje zaczęły od zidentyfikowania, które rozwiązania są najbardziej wydajne i niezawodne dla ich konkretnych potrzeb. W miarę przechodzenia przez cyfrową transformację wraz ze wszystkimi nowymi towarzyszącymi jej zmiennymi biznesowymi (sprzedaż i wsparcie online, automatyzacja, aplikacje mobilne), organizacje stają się bardziej świadome ryzyka, jakie niesie ze sobą coraz szersze wykorzystanie technologii IT. Jednocześnie coraz lepiej widać, że firmy chcą wdrażać takie strategie bezpieczeństwa, które nie będą ograniczać ich rozwoju.

Kwalifikacje, wiedza i zasoby

Skuteczne wdrożenie systemów bezpieczeństwa nie jest możliwe bez odpowiedniego zespołu wykwalifikowanych pracowników. Niezbędni są certyfikowani, doświadczeni eksperci posiadający rzetelną wiedzę na temat tego, jak działają innowacje w zakresie bezpieczeństwa. Wraz ze wzrostem ryzyka cyberbezpieczeństwa pojawia się wymóg stosowania unikalnych technik bezpieczeństwa. Bezpieczeństwo IT wymaga zakończenia oceny ryzyka przy użyciu najlepszej w swojej klasie platformy analitycznej.

Ważną rolę zaczęły odgrywać stanowiska kierownicze, takie jak dyrektor ds. bezpieczeństwa (CSO) i dyrektor ds. informacji i bezpieczeństwa (CISO). To przejaw rosnącej świadomości, iż bezpieczeństwo staje się motorem rozwoju firm.

Istnieją zaawansowane systemy cyberbezpieczeństwa, które w pełni monitorują aplikacje i urządzenia. Umożliwia to skuteczne zarządzanie ryzykiem biznesowym i zapewnia możliwość wyeliminowania zagrożeń, zanim spowodują jakąkolwiek szkodę. Bezpieczeństwo nigdy nie może być postrzegane jako dodatek. Bezpieczeństwo jest procesem i musi stanowić część strategii firm, które chcą przetrwać w dobie inteligentnych technologii.

Budowanie strategicznego planu bezpieczeństwa IT

Obecnie zmiany technologiczne następują w tempie, za którym większość firm nie nadąża, a to opóźnienie wprowadza ryzyko do operacji biznesowych. Aby zarządzać tym ryzykiem, osoby odpowiedzialne za bezpieczeństwo muszą dbać o wdrażanie zabezpieczeń w środowisku sieciowym. Menedżerowie IT stosują również tradycyjne koncepcje, takie jak głęboka obrona i warstwowe technologie bezpieczeństwa. Tradycyjne metody muszą jednak zostać zmienione, ponieważ były początkowo przewidywane dla centralnie zarządzanych sieci.

Obecnie sieci na ogół nie mają sztywno określonych granic. Są przeznaczone dla pracowników mobilnych i rozproszonych geograficznie zespołów z licznymi zewnętrznymi połączeniami z dostawcami i zaufanymi partnerami. Te nowe architektury sieciowe, które istnieją również w chmurze, współdzielone centra danych i urządzenia mobilne, zmuszają CISO do przeglądu strategii. Określają one działania w zakresie bezpieczeństwa cybernetycznego oraz ścieżki, którymi organizacja może podążać, aby poprawić swoje podejście do zarządzania ryzykiem.

Plany te powinny opisywać, w jaki sposób program bezpieczeństwa będzie chronić i udostępniać informacje, przeciwdziałać nowym i ewoluującym zagrożeniom oraz wspierać integrację bezpieczeństwa cybernetycznego jako najlepszej praktyki w codziennych operacjach biznesowych.

Plan strategiczny, zwykle opracowywany przez CISO, powinien uwzględniać obecny stan praktyk bezpieczeństwa i opisywać cele krótkoterminowe, które należy zrealizować w ciągu najbliższych 12 miesięcy, cele średniookresowe w ciągu następnych 18–24 miesięcy oraz cele długoterminowe w ciągu następnych 36 miesięcy. Wizja, cele i założenia tego planu powinny być opiniowane co najmniej raz w roku.

Praktyki bezpieczeństwa a cele biznesowe

Na początku CISO musi poznać aktualny stan bezpieczeństwa firmy. Wiąże się to z dokładnym przeglądem takich zasobów, jak: sprzęt, oprogramowanie, urządzenia sieciowe, systemy bezpieczeństwa, wcześniejsze wyniki audytu itp. Celem jest zebranie informacji o aktualnym portfolio technologii i aplikacji, bieżących biznesplanach, a następnie poznanie kluczowych typów danych, z których korzystają działy biznesowe.

Podczas oceny tych danych CISO powinien spotkać się z przedstawicielami jednostek biznesowych w celu oceny, jaką wartość przedstawiają zebrane informacje. Niezwykle ważne jest, aby liderzy jednostek biznesowych pomagali w dążeniu do zapewnienia dokładnego zrozumienia znaczenia poszczególnych aktywów (danych, systemu, aplikacji) na podstawie czasu, wysiłku i zasobów potrzebnych do ich zastąpienia, gdyby dane aktywa stały się niedostępne z powodu ataku informatycznego.

Tak zaktualizowana lista zasobów da CISO bieżący obraz tego, co z czym musi się zmierzyć i jakie problemy rozwiązać, aby firma działała, a wpływ ewentualnych ataków był ograniczony do minimum.

Ocena luk i zagrożeń

W celu właściwego oszacowania ryzyka należy znać priorytetowe obszary działalności organizacji i jej plany inwestycyjne. Taką wiedzą można zebrać, biorąc udział w ocenie i analizie wielkości, charakteru oraz rodzajów ryzyka i niebezpieczeństw, przed którymi stoi firma , a także luk w obecnym planie bezpieczeństwa IT. Firma powinna również dobrze rozumieć swoje obecne ramy i zasoby mogące zapewnić bezpieczeństwo, takie jak zasoby ludzkie, oprogramowanie, sprzęt itp., aby odpowiednio opracować strategię.

Wiele firm korzysta z outsourcingu. Przemawia za tym możliwość skorzystania ze świeżego, nowego spojrzenia na problemy, dostępu do umiejętności, które nie są dostępne wewnętrznie oraz zdolność do bardziej wydajnej pracy niż w przypadku pracowników wewnętrznych obciążonych różnymi obowiązkami.

Aby zapewnić prawidłowe wyniki, wsparcie zewnętrzne powinno być dobrze skoordynowane i nadzorowane.

Zamiast całkowitego outsourcingu, można również zdecydować się na różne formy współpracy z firmą zewnętrzną, co także jest dobrym rozwiązaniem.

Bardzo ważne jest również sprawdzenie strategii bezpieczeństwa IT jako czynnika wspierającego biznes, a nie utrudnienia dla osób próbujących wywiązać się ze swoich obowiązków.