Kybernetická bezpečnost se v posledních týdnech stala absolutní prioritou pro řadu CIO, CISO, ale i další lídry odpovědné (nejen) za technologie. Jakkoliv prozatím v našich končinách nenastala smršť útoků, kterou někteří očekávali, množství incidentů, jež komplikují život a fungování systémů ve veřejném i soukromém sektoru, výrazně vzrostlo – a především se objevuje velké množství zcela nových typů hrozeb a útoků, jakkoliv většina z nich je cílená primárně na hlavní aktéry konfliktu.
Nejste-li momentálně zavalení řešením útoků, doporučují analytici projít některé ze základních doporučení, tipů a otázek, které platí pro oblast kybernetické bezpečnosti univerzálně – a mohou tedy pomoci i v současné situaci. Pojďme si některé z nich stručně připomenout (podrobněji se jim pak věnují odkazované volně přístupné články v angličtině a v detailech potom studie dostupné klientům Gartneru).
Kdo by měl řídit oblast kybernetické bezpečnosti? Neukazujte stále jen na CIO…
CIO či CISO jsou dnes primárně odpovědní za kybernetickou bezpečnost v 85 % organizací (Gartner View From the Board of Directors 2022 Survey). Kybernetická bezpečnost by ale měla být ve většině organizací tématem, které s IT sdílí také “byznys”. Zda tomu tak je, nebo není, ve vašem případě pomůže zodpovědět následujících pět otázek:
- Může organizace přijímat rozhodnutí založená na znalosti rizika bez pomoci a zapojení „info–bezpečnostních” pracovníků?
- Dokáže IT oddělení vysvětlit byznys hodnotu (přínos, smysl) každého bezpečnostního opatření?
- Co odrážejí metriky související s bezpečnostními pravidly organizace: úroveň ochrany (technologický pohled), nebo provozní funkce (byznys pohled)?
- Jaký podíl času na rozhodování o bezpečnosti připadá FUD (Fear, Uncertainty, Doubt –– strach, nejistotu a pochybnosti) ve srovnání s byznys cíli?
- Je bezpečnostní program obhajitelný před zákazníky, akcionáři a regulačními orgány?
Více: Whose Job Is It to Manage Cybersecurity? Hint: Stop Pointing at the CIO