fb
IT Systems 6/2016 IT Security 18. 8. 2016 10:24

Řízení kybernetických rizik na úrovni roku 2016

Principal EngineeringPokud říkáte, že s kybernetickou bezpečností ve firmě nemáte problémy, tak o nich ještě nevíte, nebo se dějí právě teď. Podívejme se proto na jednoduché a konkrétní návrhy, jak by měly společnosti v roce 2016 přistupovat k problematice kybernetických rizik, která jsou dnes součástí každodenní podnikatelské reality.

Řízení kybernetických rizik není úkolem jen pro IT oddělení

Zodpovědnost za řízení a dohled nad kybernetickými hrozbami ve firmě je vhodné v organizaci řešit na výkonné úrovni. Je totiž chybou se domnívat, že kyberbezpečnost je záležitostí spadající pouze pod IT oddělení. Praxe a zkušenosti ukazují, že tomu tak není. Je to totiž problematika, která se ve firmě dotýká všech oddělení, už jen proto, že významným a trvale podceňovaným rizikem je lidský faktor. Konkrétně se zde může jednat například o nedostatečné dodržování procesů souvisejících se správou hesel k informačním systémům v organizaci. Možná znáte kolegy, kteří si například hesla píší na papírek na pracovním stole, nebo vaše jednoduché heslo do CRM se nezměnilo za celou dobu vašeho působení ve firmě. V ohrožení jsou jak mikropodniky, tak malé i střední firmy, korporace nevyjímaje. Samozřejmě že míra i druh kybernetických rizik se liší dle zaměření hlavního businessu firmy.

Aby byly firmy v odvrácení kybernetických hrozeb co nejúčinnější, odborníci doporučují posílení obranyschopnosti týmu rozšířením o pozici, která vyhodnocuje bezpečnostní strategie, poskytuje vedení a dohled ve strategickém plánování, realizuje bezpečnostní koncepce a postupy. Jedním z jejích hlavních úkolů je také dohled nad dodržováním právních povinností, pokud jde o citlivé obchodní informace a osobní údaje zaměstnanců i klientů. Ve větších firmách se tak postupně objevuje pozice Chief Information Security Officer (CISO). Organizace, které doposud nevnímaly potřebu takovéto role, by svůj pohled mohly zkusit přehodnotit. CISO je totiž třeba vnímat jako jednu z priorit. Zásadní je mít tuto roli ukotvenou v organizační struktuře jako nezávislou na IT odděleních s přímým reportingem vrcholovému managementu, popřípadě představenstvu či dozorčí radě, dle modelu řízení společnosti. Z dnešního pohledu jsou kybernetické hrozby jednou z řady oblastí rizik, které by měly být pod přímým dohledem představenstva.

A pokud takovou pozici připravíte již nyní, budete ve značné výhodě, protože její zavedení bude po vás od poloviny roku 2018 požadovat EU direktiva GDPR (General Data Protection Regulation). Ta totiž přímo firmám nařizuje zřízení pozice Data Protection Officer (DPO), který má velmi podobný rámec povinností.

Vyhodnocení a řízení kybernetických rizik

Je stokrát opakovanou skutečností, že kybernetické útoky mohou způsobit vážné narušení obchodních funkcí podniku či přerušení operativního řízení dodavatelského řetězce, poškození pověsti, únik dat o zákaznících nebo i ztrátu duševního vlastnictví. Přitom dnešní pole kybernetické kriminality je skutečně široké. Od dětí hackujících stahování videoher, přes organizovaný zločin cílený na poskytovatele finančních služeb, státem podporované krádeže obchodních tajemství, až po teroristy zaměřené na kritické infrastruktury. A proto je třeba otevřeně si říct, že žádná společnost není imunní vůči kybernetickým útokům. A otázka tedy není, zda, ale kdy se společnost stane obětí kybernetického incidentu.

Každá organizace má vlastní rizikový profil v závislosti na povaze své činnosti a k jakým informacím se potenciální zločinci mohou dostat. Proto je důležité, aby management chápal, že především cenná data musí být identifikována a oceněna a poté vyhodnoceno riziko oproti internetovým hrozbám. Je také důležité, aby si manažeři uvědomili, že informace, a tedy data jsou pro ně nejdůležitější, a to nejen v případech, kdy je hlavním předmětem podnikání firmy prodej elektronických (digitálních) služeb. Jakákoliv firma používající například cloudový e-mailový systém je ohrožena a má cenné informace pro různé úrovně kriminálních živlů nebo i jen zhrzené pomstychtivé bývalé zaměstnance.

Definování strategie řízení rizik a nastavení úrovně přijatelného rizika vyžaduje kritický pohled na případné dopady kybernetického incidentu průřezově v oblastech možné újmy. 

Obr. 1: Cyklické řízení kybernetického rizika
Obr. 1: Cyklické řízení kybernetického rizika

Klíčem k úspěchu je přijmout kontinuální řízení celé oblasti spojené s kybernetickými riziky. Společnost musí pochopit, jak se vyvíjejí hrozby v čase, vyhodnotit míru rizika v kterémkoli okamžiku a nastavit strategii pro boj proti útokům nebo náhodným incidentům. Přístup je vlastně podobný jako při řízení a zmírňování jakýchkoliv dalších rizik. Díky identifikaci a charakteristice kybernetických hrozeb a posouzení zranitelnosti kritických bodů a činností se mohou společnosti lépe připravit na to, jak tato rizika snížit přijetím vhodných opatření. A místo pouhého náhodného krizového managementu, který přichází v momentě útoků, je užitečné jasně plánovat pravděpodobnost a důsledky specifických typů útoků, a tím minimalizovat riziko a možné negativní důsledky.

Včasná detekce poskytuje zásadní výhodu

V dnešním světě se stává klíčovým rozlišovacím prvkem moderního podnikání připojeného k internetu schopnost rozpoznat projevy incidentu v počátcích jeho životního cyklu a osvojit si tyto informace pro tvorbu dynamického modelu rizik. Pro vás to pak znamená, že pracovníci pověření obranou sítí ve vaší firmě mohou mít výhodu. Nicméně to od nich vyžaduje hluboké pochopení vaší sítě, znalosti stylu podnikání, a tedy i odpovědí na následující otázky:

  • Jak podnikání firmy funguje?
  • Jaké IT systémy firma používá?
  • Co je klíčové pro váš business a kde se nachází klíčový obchodní majetek?
  • Jak s ním uživatelé komunikují a jak s vnějším světem (internet)?

Organizace, které volí strategický přístup k řízení kybernetických rizik a k výdajům na kybernetickou bezpečnost, mohou vytvořit efektivnější kybernetickou praxi, která posune jejich schopnost detekovat a rychle reagovat na mimořádné události, které jsou téměř nevyhnutelné.

Je omyl považovat tyto výdaje za čistou ztrátu. Je to naopak investice do méně problémové budoucnosti. Lze za ně považovat jak interní pracovníky, pravidelné bezpečnostní audity, tak i pojištění relevantních kybernetických rizik. Je také chyba reagovat jen v případě, že to pod sankcemi vyžaduje platná legislativa. To už může být pozdě.

Kybernetické hrozby jako součást pravidelné agendy managementu

Je pochopitelné, že ředitelé firem a členové představenstva nemusejí být experty na tuto oblast, to se od nich ani neočekává. Nicméně vrcholový management a představenstvo by se mělo na high-level úrovni orientovat. Jinak nemohou učinit dostatečně kvalifikovaná rozhodnutí. Odpovědní ředitelé musí přehodnotit rizika oproti současnému stavu a neustále se vyvíjejícím vektorům ohrožení. Organizace, které již dříve provedly posouzení rizik a tak trochu usnuly na vavřínech své nedobytnosti ukolébané egem vlastních IT oddělení, by měly začít znovu. Firmy potřebují urychlit tento proces a ne čekat na porušení svých firewallů. Je také třeba dát pozor na přílišné spoléhání se na externí dodavatele služeb. Rovněž by management měl být také schopen vysvětlit, jak si vybírá, řídí a monitoruje dodavatelské třetí strany a jejich přístup k firemním datům.

A aby se mohlo něco efektivně řídit, je třeba měřit a reportovat. Součástí reportingu by tak měly být smysluplné, daty řízené metriky, které ukazují, jaká je účinnost odezvy na kybernetické hrozby. Tak se rovněž získá korelace kybernetických incidentů s investicemi do nových technologií, personálního obsazení firmy a obchodních rozhodnutí.

Kde tedy začít?

Společnosti musí vyhodnotit a řídit kybernetická rizika stejně, jako to dělají u ostatních provozních, reputačních a finančních obchodních rizik v rámci celého podniku. Místem, kde začít, je jako obvykle vrcholový management a další orgány řízení a strategického směřování firmy. Je nutné identifikovat specifická rizika pro jednotlivý typ businessu a mít plán protiopatření. Vysoká angažovanost a zaujetí ředitele společnosti je v tomto procesu stěžejní.

Dan Konečný

Autor článku působí jako konzultant kybernetických rizik ve společnosti Principal engineering.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1