10 kriticky dôležitých krokov na vytvorenie kultúry kybernetickej bezpečnosti vo vašej organizácii

Podnikanie je dnes zraniteľnejšie ako by mohlo byť. Skúsime si povedať, ako túto zraniteľnosť znížiť. Napriek pravidelným článkom v médiách o kybernetických útokoch, krádežiach údajov a podobne spoločnosti stále nechávajú svoje informačné systémy a dáta zbytočne zraniteľné. Pritom úspešné kybernetické incidenty priamo vedú k zníženej reputácii, zníženiu hodnoty firmy a jej služieb. Často tiež môžu nasledovať pokuty od regulátorov resp. žaloby nespokojných zákazníkov. Podľa prieskumov firiem Kaspersky Lab a Ponemon institute 90% organizácii už zažilo kybernetický útok s priemernou škodou 3.6 miliónov USD. Ponemon odhaduje, že 27.7% z oslovených organizácií bude v nasledujúcich dvoch rokoch opäť predmetom útoku.

Napriek tomu, že eliminácia všetkých kybernetických incidentov je nemožná, prístup postavený na kombinácii jednotného riadenia bezpečnosti s riadením dát, informácií a IT pomôže vytvoriť firemnú kultúru, ktorej obsahom je aj silná obrana pred kybernetickými incidentami. Tu Vám ponúkame 10 krokov, ktoré Vám pri postupnom aplikovaní pomôžu vytvoriť kultúru kybernetickej bezpečnosti vo vašej organizácii.

1. Prizvite všetkých na riešenie problému

Zapojenie najvyššieho vedenia firiem je absolútny základ. A nezabudnite pri tom najmä na oblasti IT, bezpečnosti, právne oddelenie, oddelenie regulácií, finančné, komunikačné ale určite aj oddelenie ľudských zdrojov (personálne oddelenie). Nedostatok zúčastnených kolegov z vašej organizácie znamená chýbajúce oblasti/vedomosti nevyhnutné pre celkový úspech, ako aj chýbajúcu koordináciu pre získanie a udržanie výsledkov.

2. Vyhnite sa nechceným dopadom.

Investujte do potrebnej technológie, tréningov a vzdelávania a samozrejme do business procesov. Týmto spôsobom zabránite dlhodobým vysokým nákladom na reakcie na incidenty, ich riešenie, na pokuty, právne spory, stratu reputácie či obchodnej hodnoty. Tiež je nevyhnutné vytvoriť pravidlá transparentnosti po bezpečnostnom incidente a samozrejme, keď nastane, ho hlásiť orgánom činným v trestnom konaní. Strach z následkov spôsobuje ochromenie reakcie a zvyšuje riziko následných škôd a nepríjemností.

3. Nerozmýšľať spôsobom „len plním povinnosti z legislatívy a regulácie“.

Vyhovieť všetkým zákonným povinnostiam a regulácii je jednoznačne nedostatočné na riadenie rizika a zvýšenie schopnosti efektívnej reakcie na incidenty. Vyhovenie kybernetickej regulácii je najmä prevenciou proti nechceným dopadom nie proti nesprávnemu riadeniu bezpečnosti. Je to minimálna nutná podmienka ale nestačí to. Zákony a regulácie sú pripravené všeobecne, nepopisujú všetko, čo naozaj potrebuje každá organizácia na zabezpečenie svojich záujmov, svojej bezpečnosti.

4. Učte sa od najlepších, použite najlepšie skúsenosti a vedomosti.

Neviete chrániť neznáme. Aby ste vedeli vytvoriť plán ochrany dát je nevyhnutné vaše dáta identifikovať, popísať, určiť ich miesto uloženia, hodnotu, užívateľov s právom prístupu k nim (na rôznej úrovni) a v neposlednom rade zákonné povinnosti a obmedzenia na narábanie s nimi. Ak to spravíte, je to prvý krok správnym smerom. Umožní vám to aj vymazanie dát, ktoré na svoje podnikanie nepotrebujete. Tak si zjednodušíte povinnosti, ktoré sú na vás kladené reguláciou. Umožnila vám to analýza reálnej hodnoty dát pre vaše podnikanie. V tomto procese sa môžete inšpirovať napríklad poslednou verziou odporúčania Information Governance Process Maturity Model (IGPMM), ktoré vyvinul Compliance, Governance and Oversight Counsel (CGOC), a môžete tiež použiť Information Governance Reference Model (IGRM) príručku. Riadenie dát a informácii je dlhodobá cesta neustáleho zlepšovania nie jednorazová aktivita kategórie mám/nemám.

5. Využívajte zdroje informácie a odporúčaní.

Na internete viete nájsť množstvo zdrojov informácii a odporučení na zvýšenie vašich vedomostí a celkové zlepšenie vášho rizikového profilu. Môžete sa zúčastňovať školení, výmeny informácii v rámci vášho sektora či všeobecných konferencií, ktoré organizujú rôzne profesné a odborné organizácie ako napríklad ISACA, itSMF ale aj Národný Bezpečnostný úrad, SK-CERT, Národná agentúra pre sieťové a elektronické služby a podobne.

6. Rátajte s nebezpečenstvom z vnútra organizácie.

Príliš mnoho organizácii vytvorí príliš jednoduché (ak vôbec) mechanizmy na zabránenie únikom dát či neoprávnenému prístupu k dátam z vnútra organizácie. Tieto nástroje je potom jednoduché obísť alebo prekonať. Vnútorné nebezpečenstvo – čiže snaha zamestnanca z vnútra organizácie môže byť zámerná (zamestnanec skopíruje citlivé/dôležité údaje a tieto vynesie mimo organizácie alebo sa pokúsi o znefunkčnenie informačných systémov či znehodnotenie dát v nich) ale aj náhodná (zamestnanec napríklad klikne na nesprávne linky, otvorí napadnuté webové stránky či prílohy mailu). Prevencia proti náhodným udalostiam musí byť kľúčovou časťou pravidelných bezpečnostných tréningov zamestnancov. Samozrejme tréningy zamestnancov nezabezpečia organizáciu. Slúžia na zvýšenie celkového povedomia zamestnancov o rizikách a prispievajú k zníženiu rizík podobnej udalosti.

7. Riadenie rizík spôsobených treťou stranou.

Vaša spoločnosť je súčasťou vzájomne technologicky prepojenej reťaze používateľov, počítačov a rôznych počítačových systémov. V dnešnom svete sme v tejto reťazi úplne všetci. Citlivé údaje sú neustále v pohybe a ľubovoľný počítač môže byť použitý ako nástroj na útok na iný počítač alebo systém, na ktorý je napojený. Vaše zmluvy s dodávateľmi ale aj odberateľmi by mali obsahovať aj základné práva a povinnosti obidvoch strán pri narábaní s citlivými dátami, pri vzniku, riadení a riešení kybernetických incidentov a tiež vzájomnú spoluprácu na ich efektívnom predchádzaní problémom. Dnes je našťastie možné na veľkú časť z týchto aktivít použiť kvalitné technologické riešenia.

8. Riaďte svoje periférie.

Svoje citlivé dáta dokážete ochrániť iba ak máte pod kontrolou zariadenia, ktoré k nim pristupujú. Musíte byť schopní spravovať všetky zariadenia pripojené do vašej siete alebo s prístupom k vašim citlivým dátam. A nesmiete zabudnúť na laptopy, tablety a iné mobilné alebo nositeľné zariadenia, IoT (internet of Things) zariadenia, prenosné pamäťové média ale aj cloudové kontá. Musíte byt schopní kontrolovať typy používaných zariadení a aplikácií a tiež kto ich môže používať a ako. Riešenia typu MDM (Mobile device management) vám zároveň umožnia na diaľku lokalizovať, monitorovať a prípadne vymazať citlivé dáta v mobilných zariadeniach pod vašou kontrolou.

9. Určite implementujte vždy posledné odporúčania, najnovšie a najlepšie praktické skúsenosti.

Najlepšie skúsenosti v oblasti kybernetickej bezpečnosti (ako napríklad dvojfaktorová autentifikácia, šifrovanie, segmentácia sietí a pod) a nástrojov (kvalitný antivírus, anti-spam, anti-phishing, ochranu pred stratou dát, IDS/IPS systémy a pod.) sú nevyhnutné. Ale nezabudnite, že ich použitie bez riadneho a kvalitného riadenia IT a IT bezpečnosti nenaplní očakávania a nerieši problém.

10. Nikdy nepredpokladajte, že bezpečnostný incident je uzavretý/vyriešený.

Predpoklad, že kybernetický incident je izolovaný, osamotený či vyriešený keď ste ho začali riešiť je veľmi nebezpečný. Čo bol prvotný vektor útoku? Čo bolo kompromitované? Boli naozaj všetky zraniteľnosti zablokované? Sú útočníci stále niekde vo vašej sieti? Kto a prečo na vás zaútočil? Aké ďalšie útoky na vás boli alebo môžu byť uskutočnené? Ako tento útok zapadá do vášho bezpečnostného profilu, do vašej histórie kybernetickej bezpečnosti? Forenzné vyšetrovanie musí byť vykonané veľmi dôkladne, objektívne a vyšetrujúci subjekt musí zachovať silnú ochranu informácii z vyšetrovania. Odporúčame na vyšetrovanie využiť externý profesionálny subjekt, ktorý je na takúto aktivitu certifikovaný, trénovaný a objektívny. Zlé vyšetrenie môže viesť k ďalším a väčším technickým škodám, škodám na reputácii, strate alebo kompromitácii vašich dát alebo právnym následkom, keď sa vyskytne ďalší incident.

(Autor: Edward J. McAndrew. Publikované s povolením autora.)


« Späť na zoznam