Osm oblastí, na které by se měli zaměřit šéfové bezpečnosti IT

Význam kybernetické bezpečnosti jako problému, kterému podniky čelí, není nutné zdůrazňovat. S cílem zasadit rizika pro firmy do souvislostí zjistili výzkumníci společnosti Accenture, že malware v průměru přijde organizace na 2,6 milionu dolarů ročně. Podobně i údaje od společnosti Symantec ukazují, že 81 % ransomwarových útoků směřuje na velké podniky.

Úkolem šéfa bezpečnosti IT (Chief Information Security Officer, CISO) je ochránit firmu před všemi druhy kybernetických hrozeb. Je to těžký úkol, protože existuje tolik různých oblastí, které je potřeba zvážit a vyhodnotit, a všechny mají dopad na způsob, jakým jsou data ukládána, spravována a chráněna.

Je třeba myslet na mnoho věcí, přičemž od šéfů bezpečnosti IT se navíc očekává, že se vyznají ve světě nových technologií jako DevOps, Infrastructure as Code (IAC) a Kubernetes. Při úsilí o větší agilitu, škálovatelnost a pohotovost se způsob správy dat stává konkurenční výhodou.

1. Řízení

Nejprve jde o otázky řízení, dodržování předpisů a organizování. Na tyto oblasti se může potenciálně vztahovat vše, od ochrany spotřebitele po legislativu pro elektronické obchodován v závislosti na povaze podnikání. Také je nutné se ujistit, že data zůstanou ve formátu, který bude užitečný, přesný a bude jej možné používat v rámci celé organizace. To mohou zajistit cloudové technologie – ostatně, 69 % respondentů studie 2019 Veeam Cloud Data Management report uvádí, že spolehlivost cloudu byla jedním z hlavních důvodů, proč si jej zvolili. Za spolehlivostí následuje flexibilita (60 %) a ochrana dat (54 %).

2. Ochrana dat

Následující výzvou je problém s ochranou dat, zvláště nyní, když EU je připravena udělovat pokuty těm, kdo nebudou dodržovat předpisy. Podle legislativy musí správci dat zajistit použití „odpovídajících technických a organizačních opatření“ na jejich ochranu. Zodpovědní jsou za to šéfové bezpečnosti IT, stejně jako za ochranu dat při jejich uložení, používání nebo přenosu. Obecné nařízení o ochraně dat (General Data Protection Regulation, GDPR) má v této oblasti velký dosah. A pokud navíc zákazníci zadávají citlivá data, jako jsou například informace o platbách, přináší to další starosti. V září 2019 zavedla Evropská unie nová nařízení, zaměřená na zvýšení zabezpečení online plateb a boj proti podvodům. Jejich součástí je i nový požadavek na dodatečnou autentikaci. Jde jen o příklad, který ukazuje, že podniky musí jako součást správy svých dat brát v úvahu také legislativu a oborové standardy.

3. Řízení bezpečnostních rizik

Rizikům čelí všechny organizace. Mnoho kyberzločinců přistupuje k cílení na své oběti bez rozdílu. Útočníci možná ani nevědí, nebo se nestarají, o jakou organizaci se jedná, dokud do ní neproniknou. Šéfové bezpečnosti IT proto musí dobře vědět, o jaká data se organizace stará a proč jsou důležitá. Jakmile se tak stane, mohou začít s určováním priorit a identifikováním oblastí, které vyžadují největší pozornost a investice. Rovněž to usnadňuje plánování a trénink scénářů pro případ havárií. Mnoho podniků ale ještě čeká dlouhá cesta. Ukazuje to i průzkum společnosti Veeam, který uvádí, že více než polovina (57 %) manažerů s rozhodujícími pravomocemi v IT souhlasí, že jim chybí digitální schopnosti nezbytné pro vypořádání se s nastávajícími změnami.

4. Řízení přístupu

Stejně důležité jako hrozby zvenčí, jsou i rizika spojená s tím, kdo a proč má ke konkrétním datům přístup. Hrozby zevnitř mohou být přehlíženy, ale šéfové bezpečnosti IT by si jich měli být vědomi, bez ohledu na to, jakou strategii správy dat zvolí. Potřebují vstupy zaměstnanců z celé firmy, aby pochopili požadavky na přístup k systémům, souborům a aplikacím. Nejenže tím ochrání firmu, ale je to také nutné pro splnění požadavků GDPR.

5. Obnova po havárii

Efektivní plán pro obnovu po havárii může představovat rozdíl mezi úspěšným podnikem a firmou bojující o přežití. Hlavní prioritou šéfa bezpečnosti IT je také zajištění jeho pravidelného testování a že se na něj bude možné spolehnout, když dojde k nejhoršímu. A nejde jen o technologii – je nezbytné nastavit také správné interní procesy, aby plán fungoval i v případě, když například nebudou k dispozici klíčoví zaměstnanci.

6. Řízení třetích stran

Jen velmi málo společností pracuje kompletně v izolaci. Organizace využívají mnoho služeb, systémů a zařízení třetích stran, stejně jako veřejné cloudové služby, plug-iny nebo různý hardware. Jejich řízení je rovněž zodpovědností šéfa bezpečnosti IT. Kyberútočníci se často snaží o napadení prostřednictvím přístupu třetí strany, a proto šéfové bezpečnosti IT musejí tuto oblast vybalancovat – na jedné straně musí nechat systémy spolupracovat jak mají, na druhou stranu ale ne tak volně, aby mohlo být narušeno jejich zabezpečení a staly se zadními vrátky, které umožní útočníkům vstoupit.

7. Různé způsoby zabezpečení

V oblasti zabezpečení neexistují daná a rychle aplikovatelná pravidla. Různá zařízení a scénáře vyžadují odlišné způsoby a úrovně ochrany. Šéfové bezpečnosti IT musí prozkoumat kompletní cestu, jakou mohou data v rámci organizace putovat, a zvážit, jaké různé způsoby kompletního zabezpečení – od koncových zařízení až k databázím – budou potřebovat. Tato práce nikdy nekončí. S vývojem technologií, a s rostoucí popularitou multi-cloudových prostředí, musejí šéfové bezpečnosti IT odpovídajícím způsobem přehodnocovat a upravovat i svoji strategii.

8. Povědomí o bezpečnosti

Poslední oblastí je povědomí o bezpečnostní problematice a související vzdělávání. Šéfové bezpečnosti IT mají důležitou interní roli, když se zaměstnanci komunikují o nejnovějších hrozbách a jejich roli, kterou mohou hrát při ochraně citlivých firemních dat. Jde také o udržování jejich vlastních znalostí o nejnovějších hrozbách a technikách. Šéfové bezpečnosti IT by se měli neustále učit a zpochybňovat své stávající předpoklady, ať už prostřednictvím oborových konferencí a setkání nebo spolupráce s kolegy v jiných organizacích.

Michael Cade, Senior Global Technologist ve společnosti Veeam Software