Počet kybernetických hrozieb rastie po celom svete exponenciálnym tempom. Finančné výdavky na kyberbezpečnosť vo firmách však tomu vo väčšine prípadov nezodpovedajú a v tejto oblasti je pred nimi ešte dlhá cesta. Najmä CISO, čiže manažéri informačnej bezpečnosti, majú pred sebou veľkú výzvu v podobe efektívneho reportingu smerom k vedeniu spoločnosti, ktorým môžu významne prispieť k správnym strategickým rozhodnutiam a zaisteniu potrebných investícií do kybernetickej bezpečnosti.
O EY Globálnom prieskume informačnej bezpečnosti 2021
CISO ako kľúčová rola v kontexte kybernetickej bezpečnosti
Čo môžu firmy urobiť, aby zaistili primeranú úroveň kybernetickej bezpečnosti?
Ústrednou postavou v tejto oblasti je manažér informačnej bezpečnosti (anglicky Chief Information Security Officer, skrátene CISO). V mnohých prípadoch, žiaľ, platí, že manažéri informačnej bezpečnosti neposkytujú vrcholovému vedeniu potrebné informácie v podobe, na základe ktorej by mohlo vedenie prijať správne a efektívne rozhodnutie.
Medzi základné pravidlá úspešnej komunikácie patria najmä tieto:
- informácie by mali vždy vychádzať z konkrétnych a aktuálnych údajov,
- informácie by sa mali prezentovať v jednoduchej a zrozumiteľnej forme,
- report by sa mal orientovať na reálne merateľné riziká, ktoré musia vychádzať zo situácie a kontextu firmy a sú merateľné v porovnaní s trhom – benchmarkom,
- report by mal obsahovať trend a porovnanie s predchádzajúcimi obdobiami.
A to najdôležitejšie, kybernetická bezpečnosť musí byť pevnou súčasťou agendy vrcholového vedenia.
Dobrý report si vyžaduje kvalitné údaje
Z prieskumu tiež vyplynulo, že len 56 % spoločností uvádza vo svojich reportoch status voči aktuálnym rizikám. Navyše len 9 % spoločností aspoň raz mesačne prehodnocuje svoj momentálny stav s prihliadnutím na aktuálne riziká a benchmarky. To následne môže viesť k situácii, že vedenie nemá k dispozícii údaje, ktoré by umožňovali vedeniu firmy prijímať správne strategické a finančné rozhodnutia.
Vzhľadom na to, že sa počet systémov a v nich spracúvaných údajov neustále zvyšuje, schopnosť poskytovať relevantné údaje vedeniu je čoraz ťažšia. Aj napriek tomu, alebo práve preto, je kľúčové správne identifikovať relevantné hrozby, ktoré reflektujú zameranie a kultúru spoločnosti. Následne prichádza na rad pravidelné testovanie odolnosti voči potenciálnym kybernetickým hrozbám.
Ako byť neustále v obraze?
Užitočným nástrojom, ako „byť v obraze“, je napríklad medzinárodne uznávaný MITRE ATT&CK framework, ktorý sa opiera o celosvetovú komunitu združujúcu tisícky odborníkov na kybernetickú bezpečnosť. Tí si v rámci tejto globálne dostupnej databázy vymieňajú znalosti o kybernetických útokoch, hrozbách, najnovších taktikách/technikách protivníkov, ako aj o detekčných a obranných stratégiách. Vhodnou implementáciou uvedeného frameworku je možné nielen správne identifikovať reálne hrozby, ale aj navrhnúť automatické testovanie kybernetickej odolnosti pre konkrétnu spoločnosť. Touto kombináciou možno predchádzať kybernetickým útokom, merať efektivitu bezpečnostných technológií, ich konfigurácie a bezpečnostných procesov. Správnou implementáciou MITRE ATT&CK frameworku môžu manažéri informačnej bezpečnosti docieliť želané nastavenie systému riadenia bezpečnosti, vrátane efektívneho reportingu.
Zhrnutie
Počet kybernetických hrozieb rastie po celom svete exponenciálnym tempom. Finančné výdavky na kyberbezpečnosť vo firmách však tomu vo väčšine prípadov nezodpovedajú a v tejto oblasti je pred nimi ešte dlhá cesta. Najmä CISO, čiže manažéri informačnej bezpečnosti, majú pred sebou veľkú výzvu v podobe efektívneho reportingu smerom k vedeniu spoločnosti, ktorým môžu významne prispieť k zaisteniu potrebných investícií do kybernetickej bezpečnosti.
EY vám môže v oblasti kybernetickej bezpečnosti pomôcť.