Jak se vyvíjí bezpečnost od jejího připojení k jejímu zabudování?

4 min. čtení 18. února 2020
Související témata Kybernetická bezpečnost Řízení rizik Consulting
Podpořit hlasem

Zobrazit zdroje

  • EY Global Information Security Survey 2020 (pdf)

    Stáhnout 996 KB

Manažeři informační bezpečnosti (CISO), kteří usilují o kulturu Security by Design, mohou sehrávat klíčovou roli v tom smyslu, že umožní transformaci.

Vzhledem k rostoucím kybernetickým hrozbám se mnoho organizací ocitá v úzkých – a přichází o jedinečnou příležitost získat konkurenční výhodu tím, že do středu jejich zájmu se dostanou strategie, jak zvýšit kybernetickou bezpečnost a soukromí.

Pro přechod na kulturu Security by Design musí CISO přijmout obchodní realitu, s níž se jejich organizace potýkají na narušeném trhu. A zbytek podniku, od úrovně správních orgánů směrem domů, musí zajistit, aby si kybernetická bezpečnost získala u vedení svůj prostor.

Přechod je sdílená odpovědnost: CISO se mohou – a musí – více angažovat ve spolupráci se zbytkem podniku, zatímco správní rady, vrcholné vedení a další zaměstnanci zastávající obchodní funkce se musí zavázat k užšímu pracovnímu vztahu se svými kolegy v oblasti kybernetické bezpečnosti. Pouze tímto způsobem mohou týmy kybernetické bezpečnosti hrát klíčovou roli jako subjekty umožňující transformaci.

V letošním  průzkumu bezpečnosti informací společnosti EY se podíváme na rozvíjející se roli funkce kybernetické bezpečnosti ze tří perspektiv:

1. Systémové selhání komunikace

Aktivističtí útočníci byli druhým nejběžnějším zdrojem závažných narušení, jak se uvádí ve zprávě. Nárůst útoků ze strany aktivistů zdůrazňuje důležitost hlubšího pochopení z hlediska obchodního prostředí organizace. CISO, kteří nespolupracují s kolegy v podniku, se nevyhnutelně vyhnou dalším funkcím a liniím podnikání, které by mohly například zavádět nové produkty nebo služby, jež vystavují organizaci novým hrozbám.

První závěry z průzkumu  EY Global Board Risk Survey poukázaly na „technologické narušení“ jako na největší strategickou příležitost pro organizace. Skutečnost, že mnoho organizací se chopí této příležitosti tím, že prochází technologickou transformací, také vyžaduje ještě užší spolupráci CISO, správní rady, vrcholného vedení a podniků. Je to tak, že mohou zavádět řešení ohledně kybernetické bezpečnosti v mnohem dřívější fázi nových obchodních iniciativ - kultura Security by Design.

Nedostatek Security by Design

36%

organizací uvádí, že kybernetickou bezpečnost berou v potaz již od fáze plánování nové obchodní iniciativy.

  • Kybernetické hrozby a hrozby ve vztahu k soukromí jsou stále na vzestupu a rozšiřují se. Asi 6 z 10 organizací (59%) čelilo v posledních 12 měsících závažnému útoku a jak ukazuje průzkum společnosti EY Global Board Risk Survey, 48% správních orgánů se domnívá, že kybernetické útoky a narušení bezpečnosti osobních údajů budou mít na jejich podnikání v příštích 12 měsících větší než jen mírný dopad. Přibližně pětina těchto útoků (21%) přišla od „hacktivistů“ (tj. technologicky aktivních, politických a sociálních aktivistů) – na druhém místě skončily skupiny organizovaného zločinu (23%).
  • Pouze 36% organizací uvádí, že kybernetickou bezpečnost berou v potaz již od fáze plánování nové obchodní iniciativy.
  • Výdaje na kybernetickou bezpečnost se řídí spíše obrannými prioritami než inovacemi a transformací: 77% výdajů na nové iniciativy se zaměřilo spíše na riziko nebo dodržování předpisů než na příležitosti.
  • Jeden z pěti respondentů utratí 5% nebo méně svého rozpočtu na kybernetickou bezpečnost s cílem podpořit nové iniciativy.

2. Zvyšte důvěru při znovunavázání vztahů

CISO a jejich kolegové v celé organizaci – včetně funkcí, jako je marketing, výzkum a vývoj a prodej – proto musí s cílem aplikovat Security by Design vytvořit mnohem užší vztahy, aby se zlepšilo celkové obchodní porozumění kybernetické bezpečnosti a jednalo se podle Security by Design. 

Prioritou musí být zvýšená spolupráce s dalšími funkcemi, ale kybernetická bezpečnost musí také vytvářet mnohem produktivnější vztahy se správní radou, vrcholným vedením a vysoce postavenými představiteli.

Čas znovuvybudovat vztahy

59%

organizací tvrdí, že vztah mezi kybernetickou bezpečností a odvětvími podnikání je přinejlepším neutrální, nedůvěryhodný nebo neexistující.

  • Podle 74% organizací je vztah mezi kybernetickou bezpečností a marketingem v nejlepším případě neutrální, nedůvěryhodný nebo neexistující; 64% říká to samé o týmu pro výzkum a vývoj; 59% zmiňuje odvětví podnikání. Týmy kybernetické bezpečnosti dokonce špatně hodnotí svůj vztah k financím, na kterých jsou závislé z hlediska schvalování rozpočtu, 57% společností tvrdí, že jim chybí.
  • Přibližně polovina respondentů (48%) uvedla, že správní rada dosud úplně nerozumí riziku kybernetické bezpečnosti; 43% mezitím tvrdí, že správní rada plně nerozumí hodnotě a potřebám týmu kybernetické bezpečnosti.
  • EY Global Board Risk Survey odhaluje, že správní rady nemají důvěru v kybernetickou bezpečnost své organizace, přičemž 50% – v nejlepším případě – uvádí, že mají jen trochu sebedůvěry.
  • Pouze 54% organizací uvádí pravidelně kybernetickou bezpečnost jako jeden z bodů na programu správní rady.
  • Šest z deseti organizací tvrdí, že nemohou vyčíslit účinnost svých výdajů na kybernetickou bezpečnost u správních rad.

3. CISO se stávají zprostředkovateli transformace

Díky silnějším vztahům na obchodní a správní úrovni, lepšímu pochopení obchodních imperativů organizace a schopnosti předvídat vyvíjející se kybernetickou hrozbu se mohou CISO stát ústředním prvkem transformace svých organizací. 

Budou potřebovat nový způsob uvažování a nové dovednosti v oblastech, jako je komunikace, vyjednávání a spolupráce. CISO, kteří se stanou silnými zprostředkovateli změny, budou ti, kdo místo toho, aby řekli „NE“ novým iniciativám, řekli „ANO, ALE…“

Kybernetická bezpečnost je považována za překážku na cestě k inovacím

7%

organizací by označilo kybernetickou bezpečnost za faktor podporující inovace; většina z nich si vybírá výrazy jako „dodržování předpisů“ a „averze k riziku“.

  • Pouze 7% organizací by označilo kybernetickou bezpečnost za faktor podporující inovace; většina z nich si vybírá výrazy jako „dodržování předpisů“ a „averze k riziku“.
  • Přibližně polovina organizací (48%) uvádí, že hlavním hnacím motorem nových výdajů je snižování rizik a 29% uvádí požadavky na dodržování předpisů. Pouhých 9% poukazuje na nové obchodní iniciativy.
  • Šest z deseti organizací nemá šéfa v oblasti kybernetické bezpečnosti, který by zasedal ve správní radě nebo byl součástí nejvyššího vedení.

Jak může EY pomoci

Stručná doporučení společnosti EY

Na základě zjištění z letošního GISS je zřejmé, že nyní existuje skutečná příležitost, jak dostat kybernetickou bezpečnost do středu transformace a inovací podniku. To bude vyžadovat, aby správní rady, týmy vedoucích pracovníků, CISO a jednotliví vedoucí pracovníci v celém podniku spolupracovali na:

  1. Stanovení kybernetické bezpečnosti jako klíčového aktiva v digitální transformaci — uvedení kybernetické bezpečnosti do plánovací fáze každé nové iniciativy. Využití přístupu Security by Design k orientaci v rizicích při transformaci, návrhu produktu nebo služby v počáteční fázi (namísto toho, aby sloužil jako dodatečné řešení).
  2. Budování vztahů důvěry s každou funkcí organizace — analyzování klíčových obchodních procesů s týmy kybernetické bezpečnosti, což vede k pochopení toho, jak mohou být firmy ovlivněny kybernetickými riziky a jak tým kybernetické bezpečnosti může pomoci zlepšit obchodní funkce kolem nich.
  3. Zavádění struktur řízení vhodných pro daný účel — vytvořte sady klíčových ukazatelů výkonnosti a klíčových ukazatelů rizika, které lze použít ke sdělování rizikově orientovaných stanovisek ze strany vedoucích pracovníků a členů správní rady.
  4. Zapojení správní rady — komunikujte v jazyce, kterému správní rada rozumí; zvažte zavedení programu kvantifikace rizik pro účinnější sdělování informací, které se týkají kybernetických rizik.
  5. Vyhodnotit účinnost funkce kybernetické bezpečnosti s cílem připravit CISO na nové kompetence — určete silné a slabé stránky kybernetické funkce k pochopení toho, čím a jak by měli CISO disponovat.

  • Co je Security by Design?

    Security by Design je nový přístup, který integruje kybernetickou bezpečnost do jakékoli iniciativy od samého počátku, nepřistupuje k ní jako k dodatečné myšlence, což umožňuje inovaci s důvěrou. Je to strategický a pragmatický přístup, který funguje ve všech částech organizace. Kultura Security by Design zůstává v životním cyklu této iniciativy, aby pomohla s průběžnou správou a snižováním bezpečnostních rizik.

Shrnutí

Nový výzkum společnosti EY naznačuje, že mimo potřebu dodržování předpisů existuje velká propast mezi kybernetickou bezpečností a podnikáním. Pro překlenutí propasti musí CISO prokázat svou hodnotu v jazykových správních radách a schopnost vrcholného vedení porozumět; a podnik musí přijmout kybernetickou bezpečnost od počáteční fáze a udržovat ji během celého životního cyklu každé iniciativy.

O tomto článku

Související témata Kybernetická bezpečnost Řízení rizik Consulting
  • Facebook
  • LinkedIn
  • X (formerly Twitter)
  • Odkaz byl zkopírován
Podpořit hlasem