9 tipov, ako budovať bezpečnú organizáciu
V dobe digitalizácie a informatizácie spoločnosti prichádzajú nevídané možnosti automatizácie a zefektívňovania procesov, čo uľahčuje výrobu produktov či poskytovanie služieb. Tieto výhody však so sebou prinášajú aj nebezpečenstvo ich zneužitia, respektíve ich kompromitácie. Každá organizácia musí mať medzi prioritami kybernetickú bezpečnosť, prostredníctvom ktorej je organizácia chránená, čo umožňuje nie len vykonávať výrobné činnosti či poskytovanie služieb, ale aj ich zlepšovanie a rozvoj.
Národné centrum kybernetickej bezpečnosti SK-CERT vám preto prináša 9 základných tipov, ako budovať bezpečnú organizáciu.
1. Aplikácia bezpečnostnej politiky
Pravidlá bezpečnosti musia byť nie len zadokumentované, ale aj správne aplikované a kontrolované. Veľmi veľa organizácií ma vytvorené veľmi dobré bezpečnostné politiky, no ich aplikácia a kontrola je na žalostnej úrovni. Pravidlá teda je potrebné mať nie len spísané, ale ich aj v každodennej práci aplikovať a kontrolovať. Záväzok vedenia, že kybernetická bezpečnosť je pre organizáciu priorita, bude v prípade správnej aplikácie bezpečnostných politík dostatočne naplnený.
2. Pravidelná analýza rizík
Identifikácia hrozieb a zraniteľností, ktoré sa týkajú našej organizácie, vedie k identifikácii a ohodnoteniu rizík, ktoré ju môžu poškodiť. Tento proces je veľmi dôležitý, nakoľko pomocou neho dokážeme určiť naše priority v oblasti bezpečnosti a alokovať investície tam, kde sú najviac potrebné. Analýza rizík je kontinuálny, nikdy nekončiaci proces. Je potrebné ho vykonávať na pravidelnej báze na základe aktuálnych hrozieb a zraniteľností.
3. Technologická bezpečnosť
K lepšiemu zabezpečeniu vašej organizácie nepochybne pomôžu rôzne zariadenia, určené na ochranu siete či ostatných zariadení. Jedná sa najmä o hardvérové komponenty na tzv. „perimetri“ organizácie, ako sú napríklad firewally, IDS a IPS systémy a podobne. Tam ale bezpečnosť na technickej úrovni nekončí. Každé zariadenie, od spomínaného firewallu, cez účtovnícky server až po koncové pracovné stanice musia byť správne nakonfigurované, sieť vašej organizácie by mala byť segmentovaná napríklad podľa oddelení alebo podľa vykonávaných činností, interné systémy by nemali byť viditeľné z internetu, každé zariadenie by malo byť pravidelne aktualizované, pracovníci na home office by mali používať VPN spojenie…technických opatrení je neúrekom a vaša organizácia by mala uplatňovať najmä tie, ktoré naozaj potrebuje. Ako to však zistiť? Napríklad z vyššie uvedenej analýzy rizík.
4. Monitoring
Vo vašej sieti sa neustále niečo deje. Väčšina sieťovej prevádzky je legitímnou záležitosťou, no na základe anomálií alebo porušovania nastavených pravidiel na zariadeniach môžeme včas detegovať bezpečnostný incident, resp. včasnou intervenciou mu zabrániť. Jediné, čo k tomu potrebujeme, je vidieť informácie zo sieťovej prevádzky v reálnom čase a tie vyhodnocovať. Monitoring vašej siete, ako aj zariadení v nej je dôležitým krokom k bezpečnej organizácii.
5. Dobrá prístupová politika
Systémy a služby vašej organizácie používajú či už vaši pracovníci, alebo zákazníci z externého prostredia. Samozrejme, nie každý používateľ môže mať prístup do každého systému s najvyššími právami. Preto je nevyhnutné, aby ste vo svojej organizácii aplikovali správne zásady prístupov. Znamená to, že prístupy a práva v systémoch musia byť konfigurované individuálne na každého používateľa. Samozrejmosťou je vyžadovať od používateľa silné heslo, najlepšie do každého systému iné a takisto aplikovať kde je to možné viacfaktorovú autentifikáciu. Samozrejmosťou je bezodkladné zrušenie prístupových práv používateľovi, ktorý už vo vašej organizácii nepracuje alebo už nie je vašim zákazníkom. Pre lepšiu správu prístupov môžu pomôcť systémy ako Radius, LDAP či Active Directory.
6. Bezpečnosť tretích strán
Vaši dodávatelia sú pre vás kľúčovým prvkom, nakoľko na nich môže závisieť poskytovanie vašich produktov alebo služieb. Avšak aj oni môžu byť slabým miestom, cez ktoré sa útočník dokáže dostať k vašim dátam. Preto je dôležité, aby ste dbali aj na bezpečnosť na strane dodávateľa. A to nie len pri jeho výbere, ale aj pri podpise zmlúv a následných vzťahoch.
7. Vzdelávanie zamestnancov
Vaši zamestnanci sú vaše najväčšie aktívum – avšak aj vaša zraniteľnosť. Preto je nevyhnutné, aby ste znižovali riziko, ktoré môže viesť ku kompromitácii vašej organizácie. Najjednoduchším, avšak veľmi účinným spôsobom je kontinuálne vzdelávanie v oblasti kybernetickej bezpečnosti. Samozrejmosťou by malo byť vstupné školenie o kybernetickej bezpečnosti a bezpečnostných pravidlách organizácie tak, ako to všetky spoločnosti robia napríklad v prípade bezpečnosti a ochrane zdravia pri práci. Z pravidelných školení o kybernetickej bezpečnosti si spravte štandard, ktorý sa bude opakovať. Silno odporúčame organizovať aj tematické školenia, reagujúce na aktuálne hrozby, napríklad o phishingu či ransomvéri. Tam však vzdelávanie nekončí. Dôležité je, aby aj odborní pracovníci z IT služieb a služieb bezpečnosti mali neustále dostatok relevantných informácií. Posielajte ich na školenia, konferencie alebo workshopy, aby mohli aplikovať moderné a osvedčené postupy aj vo vašej organizácii.
8. Komunikácia s vonkajším prostredím
Kybernetická bezpečnosť je najmä o komunikácii a zdieľaní informácií. Bez výmeny skúseností, ale aj dát o hrozbách, zraniteľnostiach a incidentoch nemôže fungovať žiadna entita, ktorá sa kybernetickej bezpečnosti venuje. Komunikujte preto s vonkajším prostredím, hlavne s profesijnými združeniami, ale aj s vašimi partnermi v podnikaní, ako aj s národnou autoritou pre kybernetickú bezpečnosť. Čím viac informácií sa dozviete, tým lepšie môžete chrániť vašu organizáciu.
9. Neustále zlepšovanie sa
Téma kybernetickej bezpečnosti nekončí pri prvej aplikácii pravidiel a nasadení vhodnej technológie. Hrozby a zraniteľnosti sa neustále vyvíjajú a útočníci hľadajú nové spôsoby, ako preniknúť do vašej organizácie. Máme pre vás však dobrú správu – aj spôsoby ochrany a bezpečnosti sa neustále zlepšujú, avšak bez zlepšovania sa to nepôjde. Sledujte novinky, podporujte svojich zamestnancov v nových nápadoch v oblasti bezpečnosti a investujte. Bezpečnosť možno neprináša zisk, ale je spôsobom, ako zisk ochrániť a zvyšovať.
« Späť na zoznam
