Investície do bezpečnosti by mali reflektovať výsledky analýzy rizík a zákonných povinnostíDreamstime

Zákon, rozpočty a praktické kroky

Investície do kybernetickej bezpečnosti rastú pod tlakom legislatívy, technologických trendov aj geopolitického napätia. Aktuálne pozeráme na investície a povinnosti optikou nového zákona.

Podľa najnovšej správy Európskej agentúry pre kybernetickú bezpečnosť ENISA sa rozpočty na kyberbezpečnostné opatrenia vo firmách v únii medziročne zvyšujú.

Prieskum v organizáciách rôznej veľkosti ukázal, že informačná bezpečnosť predstavuje v súčasnosti priemerne deväť percent objemu investícií do IT.

V porovnaní s rokom 2022 je to významný nárast o 1,9 percentuálneho bodu. Ide o druhý po sebe nasledujúci rok rastu investícií do kybernetickej bezpečnosti po pandémii.

Aj starí aj noví

Agentúra ENISA hodnotila aj vplyv smernice NIS 2 na investície do kyberbezpečnosti v organizáciách, pričom do prieskumu zahrnula doterajšie aj budúce povinné subjekty.

Ak porovnáme nové sektory zahrnuté pod NIS 2 s existujúcimi subjektmi podľa prechádzajúcej smernice, objem investícií je porovnateľný. Výdavky sú zamerané najmä na rozvoj a udržiavanie základných kapacít.

Očakávaný nárast

Väčšina organizácií v únii očakáva jednorazové alebo trvalé zvýšenie rozpočtov na kybernetickú bezpečnosť, aby zabezpečila súlad so smernicou NIS 2.

Nie je prekvapením, že významný počet subjektov nebude môcť rátať s potrebným navýšením rozpočtu. V segmente malých a stredných podnikov deklarovala až tretina respondentov (34%), že im bude chýbať rozpočet na potrebné opatrenia.

Takmer deväťdesiat percent európskych organizácií hlási, že bude potrebovať viac zamestnancov na zabezpečenie súladu so smernicou NIS 2, najmä v oblasti architektúry a inžinierstva kybernetickej bezpečnosti a prevádzky.

Fakty nepustia

Aj keď v prípade Slovenska novelizácia kyberzákona neprináša revolučné novinky, opäť zdôrazňuje staré známe pravdy - kybernetická bezpečnosť nie je jednorazový projekt, ale nepretržitý proces. Ak si organizácie nenájdu čas na prípravu teraz, môžu čeliť oveľa vyšším nákladom v budúcnosti.

Pre mnohé firmy to bude len ďalšie „opakovanie známeho“, no tentoraz so sprísnenými pravidlami a väčšími dôsledkami za ich nedodržiavanie.

Druhú skupinu tvoria organizácie, ktoré vstupujú do regulovaného prostredia s januárom budúceho roku a čaká ich debata o technológiách a rozpočtoch

Pre začiatočníkov

Ak stále nemáte zavedené potrebné procesy, začnite gap analýzou alebo analýzou rizík, ktoré odhalia, kde sú vaše slabiny. Tieto kroky sú základom pre pochopenie aktuálneho stavu a naplánovanie ďalšieho postupu.

Pre menšie firmy

Ak nemáte interné kapacity, zvážte externé riešenia, ako napríklad služby Security Operations Center (SOC). SOC poskytuje 24/7 dohľad nad bezpečnosťou, rýchle riešenie incidentov a minimalizáciu škôd a to všetko bez potreby budovania vlastného tímu.

Pre väčšie organizácie

Veľkých podnikov podľa medzinárodnej metodiky máme na Slovensku iba niekoľko, takže tu patrí súkromná sféra medzi lídrov v hodnotení kyberbezpečnostných opatrení. S prihliadnutím na počet zamestnancov sú diskutabilné veľké zdravotnícke zariadenia vo verejnej správe.

Pre všetky veľké organizácie v budúcom roku je dôelžité, že okrem technológií sa budú sústreďovať na školenia zamestnancov, aktualizáciu plánov reakcie na incidenty a pravidelné penetračné testy.

Pre všetkých

Kybernetická bezpečnosť je dnes neoddeliteľnou súčasťou fungovania každej organizácie. Aj keď sa o nej hovorí už roky, smernica NIS2 či novela zákona opäť pripomínajú povinnosť prijať adekvátne opatrenia.

V skratke? Základom je mať silné heslá, šifrovať citlivé dáta, pravidelne zálohovať a neustále monitorovať systémy.

Jozef Bálint bezpečnostný špecialista ALISON Slovakia

#KYBERNETICKÁ BEZPEČNOSŤ #KYBERBEZPEČNOSŤ