Profesionálny pohľad na riziko môže byť aj obsiahlejší: „Človek riadi riziká odjakživa aj bez toho, aby si to uvedomoval. Aj vďaka tomu dokázal prežiť rôzne nepriazne osudu a v evolučnom procese sa prepracoval na vrchnú priečku rebríčka!“ Ivan Makatura sa však ako riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti rýchlo vráti k súčasnosti.
Od mamutov k hakerom
V súčasnosti sa nás okrem fyzického týka aj kybernetický priestor. A úplne všetkých – od malých detí až po dôchodcov, verejnej správy aj podnikateľov, služieb aj výroby, malých aj veľkých organizácií, jednotlivcov aj skupín.
Tak, ako kromaňonci v paleolite dbali na prevenciu rizika zašliapnutia mamutom, dnešný Homo sapiens by mal ošetrovať riziká týkajúce sa jeho života v kyberpriestore, farbisto pokračuje Ivan Makatura. A za riadenie rizík bol zodpovedný náčelník kmeňa. Dnes to majú „náčelníci“ dané aj zákonom.
Štatutári budú totiž povinní schváliť opatrenia na riadenie kybernetických rizík s cieľom dosiahnuť súlad so zákonom a dohliadať na ich vykonávanie. Zároveň budú mať osobnú zodpovednosť.
Riadenie rizík je proces
Riadenie rizík je procesom a zároveň aj základným stavebným prvkom bezpečnosti. A prvým krokom v procese je analýza rizík. Ukáže, „kde nás tlačí topánka“ a z toho potom vyplýva ošetrenie rizík
Michal Srnec vedúci oddelenia informačnej bezpečnosti Aliter Technologies oceňuje prínos analýzy rizík pre kyberbezpečnosť aj pre biznis a aktuálne pridáva: “Zo všetkých povinností, ktoré novelizovaný zákon prinesie pre štatutárov a ktoré sú veľa krát diskutované, je práve analýza rizík jedna z tých aktivít, ktorá by mala byť vykonávaná aj bez legislatívnych požiadaviek".
Ako presvedčiť riaditeľa
Pýtate sa, prečo by finančný alebo akýkoľvek riaditeľ mal chcieť analýzu rizík? Sú na to tri kľúčové dôvody. Bude vedieť čo všetko treba chrániť, kde sú slabé miesta a kam skôr investovať.
Po poctivej analýze rizík sa často objavia príležitosti kde ušetriť a ktoré aktíva sú skutočne kritické. Neraz sa odhalia aj zbytočné služby a na druhej strane je to akési potvrdenie, že s dodávateľmi máte dobre postavené služby a cenotvorbu.
Bod nula
Klienti sa Michala Srnca často pýtajú, s čím majú v oblasti informačnej bezpečnosti začať. Jeho odpoveď je opäť - začnite s analýzou rizík, “lebo ak aby ste ju mali, táto otázka by nebola potrebná"
Analýza rizík je však dokument, ktorý sa nedá kúpiť hotový. Môžete si dohodnúť spoluprácu so špecialistom, ale proces si vyžaduje nevyhnutne spoluprácu na všetkých frontoch. Keď nespolupracujú všetky oddelenia, zostanú slabé miesta v kybernetickej bezpečnosti ako diery v plote.
(Ne)veselá príhoda
Ak samotná organizácia nepomenuje najdôležitejšie procesy, alebo údaje, podporné služby v prípade incidentu nevedia správne určiť, čo treba chrániť alebo urýchlene obnoviť. Opíšme to metaforou - ak ítečkári nevedia pri obnove systémov priority, urobia si vlastné. Čiže po incidente si obnovia mailový server, portál s hrami a intranet, aby videli firemné sviatky.
Zdesili ste sa alebo pobavili? Tento príbeh používa skúsený audítor kybernetickej bezpečnosti na prezentáciách zaneprázdnenému manažmentu.
Hýbeme sa vpred
Skúsenosti kyberbezpečnostných profesionálov boli ešte donedávna iba o tom, že firmy začínajú dobrovoľne riadiť riziká typicky až vtedy, keď už je neskoro.
Za ostatné roky však už vidieť badateľný posun medzi štatutármi od reaktívneho k proaktívnejšiemu postoju. Technický špecialista spoločnosti ESET Július Selecký za tým okrem legislatívy vidí aj vplyv pandémie a s tým spojený presun zamestnancov na prácu na diaľku. “V minulosti sa mnohé úlohy zameriavali predovšetkým na dodržiavanie predpisov a reagovanie na incidenty. V súčasnosti sa kladie väčší dôraz na predvídanie hrozieb a budovanie odolnosti.“
Rozpočet nie je bezodný
Od každého lídra sa očakáva návrh rozpočtu pre jeho oddelenie a v oblasti bezpečnosti je táto úloha obzvlášť zložitá. Pre vedenie firmy sú termíny ako inštalácia firewallov, IDS, IPS a XDR systémov, zvyčajne neznáme pojmy. Pri použití technických výrazov sa mnoho top manažérov „stráca“ a naskytá sa pohľad na zívajúce tváre a zasnené pohľady do neznáma.
Vedúci projektov kybernetickej bezpečnosti pre výrobu spoločnosti Mondelēz International Matej Orlický preto nedá na analýzu rizík dopustiť: „Mám takto príležitosť prezentovať riešenia ochrany pred potenciálnymi hrozbami aj menej technickým členom vedenia firmy v ich každodennom jazyku, a tým sú financie.“
Keď sa už vedenie sústredí
Matej Orlický k zhodnoteniu najbežnejších hrozieb pre firmu vždy pripája aj kvantitatívnu analýzu rizík, ktorá vyjadruje potenciál finančnej straty pri kybernetickom útoku.
Uvádza odhadovanú cenu za implementáciu systému, ktorý by do značnej miery znižoval dané riziko. Nevyhnutné je v tomto prípade demonštrovať finančnú návratnosť prezentovaného riešenia.
Správne zostavená analýza, ktorá môže zahŕňať aj reálne incidenty z minulosti, si zaručene získa náležitú pozornosť vedenia firmy. Pri tejto príležitosti je vhodné vyzdvihnúť aj dosah na renomé firmy a stratu dôvery zamestnancov a kľúčových partnerov. A tie nemožno vyjadriť číslami v excelovskej tabuľke.
Bonus pre kyberkomunitu
To, že analýza rizík neoceniteľne zlepšuje celú oblasť kyberbezpečnosti, zdôrazňuje aj Dominik Procházka riaditeľ odboru kybernetickej bezpečnosti AGEL SK: “Práve nedávno sme predložili riziká a ich kategorizácie a jedna konkrétna položka sa okamžite dostala do pozornosti manažmentu. Ihneď sme dostali pokyn na riešenie aj schválenie navrhovanej investície potrebnej na zníženie rizika.”
Prínosom pre samotných bezpečákov je aj to, že sa takto stále zlepšujú v efektívnej komunikácii. “Ak budú tieto náročné komplexné bezpečnostné problémy zrozumiteľné aj pre vedenie organizácií, bude to viesť k rýchlejšiemu prijatiu potrebných opatrení,” uzatvára Dominik Procházka.
Anketová otázka pre kyberbezpečnostných profesionálov: Akú radu by ste dali malej firme? Odpovede na 10 až 60 sekúnd. |