SDĚLENÍ PARTNERA: Kybernetická bezpečnost není jen zákonnou povinností, ale existenční nutností. Její podcenění může vést k ohromným finančním, majetkovým a společenským ztrátám. Naučte se, před čím je vlastně potřeba se chránit a jak.
Položte si otázku, opravdu se dostatečně chráníte před kybernetickými hrozbami a máte o nich dostatek informací? Postihnout mohou kohokoliv z nás a nemusí se jednat pouze o ztrátu dat nebo peněz. Hrozbou je také napadení systému a omezení, ovládnutí provozu, nenávratné pošramocení pověsti nebo zneužití osobních údajů.
Systematický přístup nám říká, že je třeba nejprve provést analýzu rizik. V rámci ní je nezbytné udělat první krok - analyzovat svá aktiva. Tím stanovíme, co chceme chránit a v jakém rozsahu. K jednotlivým aktivům přiřadíme hrozby (včetně možného zdroje, případně úmyslnost a motivaci útočníka, vliv hrozby na dostupnost, integritu, důvěrnost). U hrozeb musíme odhadnout pravděpodobnost jejich naplnění a rozsah škody, a to včetně dopadů. Teprve potom můžeme stanovit rizika.
Dalším krokem je navrhnout opatření k odstranění nebo minimalizaci těch rizik, která jsou pro nás nepřijatelná. Ta, která jsou pro nás přijatelná, označíme jako přijatelná rizika a deklarujeme tím, že jsme si jich vědomi. Je potřeba si k nim ale vytvořit postup pro případ, že by se naplnila a vznikl tak bezpečnostní incident. Měli bychom tedy mít stanoven postup, co v takové situaci dělat, koho kontaktovat, kam a jak tento incident hlásit. Vývoj ICT s sebou nese také rozvoj hrozeb a tím i rizik, a proto vznikají neustále nové a nové nebezpečné situace. Z tohoto důvodu je nezbytné provádět analýzu rizik opakovaně, nejlépe v ročních intervalech.
Jak na bezpečnostní rizika
Pravděpodobnost, s jakou se může realizovat konkrétní hrozba, označujeme jako bezpečnostní riziko. Jedná se vlastně o kombinovanou pravděpodobnost závislou na pravděpodobnosti výskytu hrozby, pravděpodobnosti, že hrozba bude mít možnost působit na zranitelné místo aktiva a pravděpodobnosti, že bezpečnostní událost způsobí incident. Určit tuto pravděpodobnost (tedy bezpečnostní riziko) je značně obtížné a vyžaduje znalost aktiva, znalost mechanizmu působení hrozeb a zkušenosti z oblasti analýzy rizik.
Na základě provedené analýzy rizik jsou vždy znovu stanovena opatření (jejich druh, rozsah a cena se může v čase měnit) za účelem minimalizace nebo úplného odstranění tohoto nebezpečí.
Při stanovení opatření je třeba vždy vycházet minimálně z možností organizace, výše odhadované ceny aktiva, dopadů realizovaného rizika a volit adekvátní způsob opatření.
Pokud nebezpečí neodstraníme, ale snížíme ho na takovou míru, že je pro nás přijatelné, pak je toto riziko označováno jako přijatelné. V rámci plánování zdrojů počítáme s pokrytím dopadů takovéhoto realizovaného rizika.
Vzdělávejte pracovníky a zabezpečte svá aktiva
Již víme, že největší riziko pro kybernetickou bezpečnost nepředstavují technologie, ale jejich uživatelé. Zvyšte znalosti a dovednosti vašich zaměstnanců v této oblasti pravidelným vzděláváním. Kvůli jejich nízkému povědomí o kybernetické bezpečnosti se hrozby mohou rychle proměnit v realitu.
Balíček online kurzů
Celý svět se potýká nejenom s epidemií Covid-19, ale také s narůstajícími kybernetickými útoky. Řada zaměstnanců vyměnila kanceláře za práci z domu, kde se jejich zařízení pohybují mimo firemní síť. S využíváním home office navíc spousta organizací zrušila veškerá školení.
Naštěstí existují řešení, díky kterým se mohou vaši zaměstnanci vzdělávat, aniž by opustili pohodlí kanceláře či domova. Společnost Gordic vytvořila sérii online kurzů, které vás krok po kroku provedou nejpalčivějšími fenomény kybernetické bezpečnosti. Součástí každého kurzu jsou jak výukové materiály, tak automatizované testy. Školit zaměstnance v kybernetické bezpečnosti tak nebylo nikdy jednodušší.
Řízení bezpečnosti pomocí certifikovaného nástroje
Pokud chcete něco zlepšit, musíte nejprve přesně znát počáteční stav dané věci a následně veškeré procesy precizně řídit. Přesně k tomu slouží v kybernetické bezpečnosti nástroj CSA, který byl nově certifikován na soulad se zákonem a vyhláškou o kybernetické bezpečnosti. Je jediným nástrojem, který takovou certifikaci obdržel. Jestliže skutečně chcete řídit kybernetickou bezpečnost podle nejnovějších standardů, pak je pro vaši organizaci CSA jasná volba. Mezi jeho výhody patří i snadná integrace se systémy SOC či SIEM.
Nevystavujte svoji organizaci nadále riziku prolomení kybernetické bezpečnosti. Napište si o ukázku tohoto nástroje ještě dnes a odhalte, jaké všechny výzvy vám pomůže vyřešit.
Comments