Komplexní přístup k firemní kyberbezpečnosti si dnes žádá investice nejen do technologií, ale i do platů odborníků a specialistů, kteří nesou za kybernetickou bezpečnost ve společnosti odpovědnost. Ale ani sebelepší plány a návrhy se nemusí dostat do fáze realizace, pokud se manažerům a IT odborníkům nepodaří přesvědčit vedení společnosti k větší finanční podpoře. Jak postupovat, pokud není vedení firmy k navýšení rozpočtu a investicím nakloněno?
Prostředí kybernetických hrozeb bylo poslední dva roky silně ovlivněno pandemií covid-19 a firmy se musely vypořádat s řadou nových výzev. Jednou z nich byl například přechod na způsob vzdálené práce v režimu home office, který se promítl do jejich každodenního fungování.
Velmi dynamicky se v tomto období vyvíjely také kybernetické hrozby, ať už se jednalo o případy útoků za použití ransomware či vzrůstající riziko podvodů, při kterých útočníci využívají techniky sociálního inženýrství. V obou případech jde přitom o oblasti, které rozhodně vyžadují pozornost i malých a středních podniků.
Bezpečnostní experti se shodují na tom, že vlivem pandemie Covid-19 se z pohledu firemní kybernetické bezpečnosti dostaly do popředí hlavně tyto čtyři oblasti:
- Vzdálená práce a riziko škod ze strany zaměstnanců. V obou oblastech ve firmách často chybí nastavení pravidelné kontroly dodržování směrnic a programů pro pravidelný monitoring činnosti zaměstnanců.
- Phishingové útoky za použití dříve nerozpoznaného malwaru. Převládají přitom spear-phishingové metody za účelem odcizení osobních údajů.
- Osobní e-mailové útoky, které nejčastěji míří na vysoké manažery a další vedoucí pracovníky ve firmách.
- Zranitelnost IT infrastruktury při práci z domova, která je spojována s fenoménem BYOD.
Především práce z domova představuje pro mnoho společností poměrně velkou bezpečnostní výzvu. Zaměstnanci mohou totiž využívat celou řadu zařízení (notebooky i chytré telefony) nejen pro pracovní účely, ale i pro ty soukromé. Tento fenomén je označován anglickou zkratkou BYOD (Bring Your Own Device).
Co znamená BYOD?Termín BYOD, neboli Bring Your Own Device (Dones si své zařízení) označuje situaci, kdy zaměstnanci využívají svá soukromá zařízení, jako jsou chytré telefony nebo notebooky a tablety, k připojení do firemní sítě, a jejich prostřednictvím přistupují k pracovním systémům a citlivým datům společnosti. Podle specialistů z TechJury používá 67 % zaměstnanců v práci svá soukromá zařízení a 87 % jejich pracovního výkonu závisí na tom, jak jsou schopni přistupovat k pracovním aplikacím prostřednictvím svých chytrých telefonů. |
Nedostatečná bezpečnostní opatření v souvislosti s BYOD jsou přitom jen jednou z oblastí, které nabízejí prostor pro zlepšení. V konečném důsledku je třeba zvážit také školení v oblasti kybernetické bezpečnosti a budování kyberneticky uvědomělé firemní kultury. A se všemi těmito oblastmi jsou spojené finanční náklady a širší zapojení firemního vedení.
Jak přesvědčit svého nadřízeného a top management, že oblast kybernetické bezpečnosti si zaslouží jejich pozornost i navýšení rozpočtu?
#1 Pomozte nadřízeným pochopit realitu, ve které fungujete
Protože kybernetické hrozby jsou širokou a pestrou oblastí, jako určení IT odborníci se musíte rozhodnout, koho přesně se snažíte přesvědčit a ovlivnit. Možná budete muset vysvětlit, proč je tak důležité zapojení top managementu do kyberbezpečnostních projektů, zanalyzovat si lokální firemní rizika a připravit si pro obhajobu svých projektů plán, jak je tato rizika budete řídit. Pro úspěšnost svých argumentů musíte současně pochopit, co je pro obchodní činnost vaší společnosti klíčové. K tomu vám může pomoci zapojení různých týmů ve firmě. Zjistíte tak, v čem se vaše priority potkávají nebo rozcházejí.
#2 Vysoce odborné nebo příliš zjednodušené informace o kybernetických rizicích vysvětlete
I vaši nadřízení by měli být seznámeni s aktuální bezpečnostní situací ve firmě. Každý zaměstnanec by měl pochopit svou osobní odpovědnost a je třeba začít shora. Vedoucí pracovníci možná sledují zprávy a čtou si informace o kybernetických rizicích, může jim ale chybět schopnost převést tyto informace do firemních priorit a do konkrétních opatření. Místo toho vám mohou klást otázky jako „Jsme připraveni na útok ransomwarem?“, na které se nabízí pouze odpověď ano či ne bez dalšího vysvětlování. Je tedy hlavně na vás, abyste lépe formulovali ty oblasti, které je potřeba s nadřízenými probrat a pomohli generálnímu řediteli pochopit skutečná rizika pro firmu, pravděpodobnost incidentu a jaká jsou v případě kybernetického útoku nápravná opatření.
#3 Zdržte se negativních zpráv
Když se mluví o kybernetické bezpečnosti, mohou mít bezpečnostní specialisté sklony popisovat děsivé příklady nebo nejhorší scénáře, které dodají jejich požadavkům na naléhavosti. Jak ale v nedávném rozhovoru uvedl Daniel Chromek, Chief Information Security Officer společnosti ESET, tyto taktiky často selhávají, protože lidé se jednoduše cítí přehlceni a získají poraženecký způsob myšlení. A to platí nejen v případech, kdy se snažíte zvýšit povědomí o kybernetických hrozbách ve svém týmu, ale také když mluvíte se svým nadřízeným a vedením ve společnosti o zavádění nutných bezpečnostních opatřeních.
#4 Nebojte se nezávislého auditu
Vedení společnosti může být více nakloněno dalším investicím do bezpečnosti po předložení výsledku bezpečnostního auditu provedeného nezávislými odborníky. Subjekty tohoto typu prověří infrastrukturu společnosti, odhalí zranitelná místa a doporučí nejlepší kroky pro nápravu.
