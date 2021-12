1. Kybernetická odpovědnost

Pracovníci, kteří se zaměřují na zabezpečení, by se měli více připravit na zodpovídání otázek vedení firmy týkajících se kybernetické odpovědnosti, radí Mathieu Gorge, výkonný ředitel společnosti VigiTrust zaměřené na řízení rizik.

Kybernetická ​​odpovědnost se týká schopnosti organizace prokázat, že má dobrou kybernetickou hygienu, a že pokud se něco pokazí, mohou vystopovat všechno zpět k jedné události, jedné osobě či jedné skupině, popisuje Gorge.

Bezpečnostní manažeři musí být schopni vysvětlit, co kybernetická odpovědnost je, proč by se tím měla organizace zabývat, jak se vydat na cestu kybernetické odpovědnosti a co to zahrnuje.

„Je to jen ukázat, že dokážeme reagovat na kybernetický útok a že máme plán, nebo to je něco více? Kdo se toho má účastnit, kolik to stojí a potřebujeme to vůbec?“

Při formulaci odpovědi musí bezpečnostní lídři pamatovat na to, že podnikové vedení chce odpověď týkající se odpovědnosti za celkový ekosystém firmy. To znamená, že kromě vlastní organizace musejí umět popsat, jak se vše týká franšíz, dceřiných společností, obchodních partnerů, dodavatelů a dalších třetích stran odpovědných za praktikování osvědčených bezpečnostních postupů.

Tento ekosystém může být mezinárodní nebo regulovaný komplexními a často protichůdnými předpisy a normami, z nichž všechny vyžadují určitou úroveň odpovědnosti.

Šéfové zabezpečení také musejí být připraveni odpovědět na to, co dělají či plánují, aby tuto odpovědnost mohli demonstrovat. „Můžete ukázat mapu ekosystému a používání kontrol, které ukazují, co se děje? Můžete ukázat, že používáte klasifikovaný přístup k datům pro různé skupiny v rámci organizace?“

2. Stav zabezpečení při pandemii a do budoucna

Přesun na práci na dálku vyvolaný globální pandemií přitáhl více pozornosti k otázkám, na které se v oblasti kybernetické bezpečnosti ředitelé ptali již dříve, uvádí James Edgar, CISO společnosti Fleetcor zaměřené na platební služby.

Velká část bezprostřední pozornosti se týká způsobu, jak přesun na práci na dálku ovlivní způsob fungování firmy z hlediska IT a z celkové firemní perspektivy. Otázky směřovaly k tomu, zda organizace dokáže přesunout většinu pracovních sil na model vzdálené práce a stále fungovat.

Edgar uvádí, že otázky, které dostával od svých šéfů, se týkaly nepřerušení provozu a potenciálního dopadu na hlavní IT projekty, které probíhaly už při příchodu pandemie. „Zvládneme velké záležitosti, o kterých víme, že jsou kritické? Dokážeme udržet současnou úroveň zabezpečení a dodržování předpisů? Jaká jsou naše měřítka a zvládneme i taková, co se objevila v důsledku pandemie?“

Jak se situace stabilizovala, přesunula se pozornost vedení na schopnost organizace udržet svůj stav zabezpečení v pocovidovém světě a na to, co vše je potřebné zvládnout a zaplatit, aby se to podařilo.

Edgar uvádí, že mu pomohla strategie, v rámci které poskytoval vedoucím pracovníkům čtvrtletní aktualizace informací o scenérii hrozeb a širších trendech v oblasti zabezpečení.

„Poskytujeme jim pravidelné aktualizace informací o tom, co vidíme a co děláme v oblasti ochrany před ransomwarem, pro ochranu koncových bodů a pro monitorování sítě. Řešíme to, co se děje ve světě, a co se děje u nás ve firmě,“ popisuje.

3. Bezpečnostní strategie

Vedoucí manažeři přemýšlejí o kybernetické bezpečnosti mnohem strategičtějším způsobem při srovnání se situací před několika lety, uvádí Youngblood. Mnoho z nich považuje kybernetickou bezpečnost za součást své fiduciární odpovědnosti a povinností řádné péče.

„Otázky, které v současné době můžete dostat, se týkají toho, co děláte tam, kde nejsou věci pod vaší kontrolou – například v případě třetích stran,“ popisuje Youngblood. Vzhledem k současnému rozsahu outsourcingu chtějí manažeři slyšet, jak jsou chráněné investice do podnikového zabezpečení. Chtějí znát, co z toho organizace má a zda existuje něco, co ovlivňuje firemní cíle.

Youngblood zmiňuje, že manažeři rádi slyší o připravenosti organizace reagovat na kybernetické incidenty a že jsou zavedené kontroly, aby se v případě výskytu hrozba detekovala dříve, než by z ní vznikl významný problém.

Chtějí vědět, zda je kybernetická bezpečnost provázána s řetězcem digitální transformace tak, aby bylo zabezpečení součástí každého kroku namísto implementace zpětně. Významnější je, že vedoucí pracovníci chtějí stále více vědět o každé investici, kterou organizace neudělala a mohlo by to mít negativní dopad na kybernetická rizika, popisuje Youngblood.

Odpovědi na tyto otázky ale mohou být poměrně složité, což je důvod, proč je dobré, aby na setkáních byli přítomní i lidé zodpovědní za samotné IT. A když mluvíte s vedoucími manažery o strategických bezpečnostní záležitostech, zajistěte, aby ve vaší prezentaci nebylo nic překvapivého pro šéfa IT.

Snažte se také pochopit ochotu představenstva tolerovat určité riziko a zajistěte, aby kybernetické riziko bylo uvedené v širším kontextu řízení podnikových rizik.

„Jako dobrý přístup mohu doporučit začít mluvit z hlediska fungování firmy a přínosů pro firmu,“ popisuje Youngblood.

4. Srovnání s oborovými osvědčenými postupy

Šéfové firem mají rovněž velký zájem vědět, jak dobrý či špatný je stav zabezpečení jejich organizace ve srovnání s ostatními, popisuje Brandon Hoffman, CISO společnosti Netenrich, která je poskytovatelem cloudových služeb. Jedním z důvodů je fakt, že v případě narušení jsou bezpečnostní opatření společnosti často srovnávána s oborovými osvědčenými postupy a s praxí obdobných firem.

„Existuje silný zájem na nejvyšších úrovních o pochopení rizika vztahujícího se k danému oboru,“ popisuje Hoffman. Taková srovnání ale často mají sama o sobě jen malý vliv na zvýšení bezpečnosti či snížení rizika prostředí. Mnoho ředitelů je však přesto vyžaduje, protože existuje jen málo metod k efektivnímu srovnání zabezpečení v kontextu firem.

„Jednou z největších chyb, které lidé zodpovědní za ochranu dat dělají, je neuvedení bezpečnostních rizik do kontextu rizik samotné firmy,“ upozorňuje Hoffman.

„Namísto toho se hlášení týká dodržování předpisů a technických opatření,“ které jsou nejlepšími indikátory pro každodenní aktivity. „To však bohužel nijak nepomůže šéfům firem pochopit vliv toho na jejich firmu.“

5. Odolnost vůči kyberútokům

Přestože se představitelé firmy stále více zajímají o kybernetickou bezpečnost na strategické úrovni řízení podnikového rizika, stále se silně zajímají i o záležitosti související se schopností organizace chránit se před útoky a reagovat na ně.

Chtějí obvykle vědět, jak se využívají lidi, procesy a technologie, aby se co nejvíce snižovalo riziko při zachování vhodné rovnováhy mezi produktivitou a bezpečností, popisuje Joseph Carson, poradce CISO ve společnosti Thycotic.

Otázky, na které se někdo z manažerů pravděpodobně zeptá, a na které musí být bezpečnostní pracovníci připraveni odpovědět, zahrnují expozici klíčových firemních služeb vůči hrozbám typu ransomware, a opatření pro snížení rizika dopadu na firemní službu v důsledku ransomwaru či jiného útoku.

„Jaká hrozba nejpravděpodobněji zasáhne firmu a jaké jsou finanční důsledky a možnosti snížit toto riziko? „Jaký je rozdíl například nákladů na redukci rizika versus nákladů na nepřijetí částečných opatření a jaká jsou finanční rizika obou alternativ?"

Bezpečnostní pracovníci by se měli také připravit na otázky týkající se plánů reakce na incidenty a zda testovali expozici pro každou z nejpravděpodobnějších potenciálních hrozeb pro firmu.

„Co děláme pro segmentaci každé části firmy a pro řízení přístupu?“ ptá se Carson. „Jaké regulační požadavky a předpisy plníme, nebo naopak nedodržujeme, a jak to souvisí s firemními kybernetickými riziky?“

6. Nepřetržité dodržování předpisů

Bezpečnostní pracovníci musejí být připraveni mluvit na téma nepřetržitého dodržování předpisů a kontinuálního zabezpečení, doporučuje Gorge. Vedení firmy má tendenci se ptát, kolik času společnost současnou investicí do kybernetické bezpečnosti získá. „Otázka zní: ‚Dobře, tak to teď uděláme a na pár let nám to vydrží, ne? Nebo to snad musíme dělat nepřetržitě?‘“ vysvětluje Gorge.

To je situace, kde musejí být lidé spojení se zabezpečením informací schopni vysvětlovat myšlenku, že zabezpečení a dodržování předpisů není cíl, ale cesta, popisuje Gorge. Musejí ukázat, že s vývojem firmy se mění také potřeby zabezpečení.

Je důležité, že aby zdůrazňovali potřebu nepřetržitých investic do kybernetické bezpečnosti z hlediska peněz, času a úsilí. Musejí umět manažerům vysvětlit, jak v průběhu tří až pěti let tyto investice povedou ke snížení nákladů, zlepšení bezpečnosti, zvýšení důvěry zákazníků a k dalším konkrétním výhodám.

V případě kybernetické odpovědnosti a nepřetržitého dodržování předpisů musejí také ukázat, jak může kybernetické zabezpečení podpořit aktivity firmy a nebýt jen nákladem, vysvětluje Gorge.

„Spíše než varovat stylem ‚Pokud to neuděláme, může nastat bezpečnostní incident‘ je vhodnější použít existující modely, jak přidat kybernetickou bezpečnost do účetní rozvahy způsobem, který skutečně přidá hodnotu.“