5 min. čtení 10. srpna 2022
cybersecurity

Kyberbezpečnost není volba. Zaměřte se na ni dřív, než bude pozdě

Autoři
Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

Jan Pich

EY Česká republika, Cyber Security Manager oddělení technologického consultingu a IT

Jan má na starost dodávku služeb kybernetické bezpečnosti se specializací na oblasti řízení bezpečnosti, testování digitální a provozní odolnosti a vývoje obranné detekčních strategie.

5 min. čtení 10. srpna 2022

Výsledky EY Globálního průzkumu informační bezpečnosti 2021 odhalily, že pouze 3 % společností zařazují kybernetickou bezpečnost na agendu pravidelných schůzek vrcholového managementu každý týden. 

Ve zkratce

  • Zatímco jen 3 % společností komunikuje o kybernetické bezpečnosti alespoň jednou týdně, dalších 20 % ji projednává s měsíčním intervalem, zbytek bohužel ještě méně často.
  • Jenže komunikace na téma kybernetické bezpečnosti je klíčovým faktorem pro její zajištění, protože veškerá finanční, investiční a strategická rozhodnutí plynou právě z čela firmy.

Firmy jsou den ode dne čím dál závislejší na technologiích, automatizaci a provozních datech. Současná doba si žádá digitalizaci celé řady procesů, díky kterým roste produktivita a obchodníci si mohou dovolit vyšší marže. I přesto, že jsou si firmy těchto potřeb vědomy, pouze 39 % jich očekává významnější investice do IT technologií a jen 22 % plánuje investice do navýšení počtu zaměstnanců.

CISO jako zástupce kybernetické bezpečnosti

Co tedy mohou firmy pro zajištění bezpečného kybernetického prostředí udělat?

Manažer informační bezpečnosti (anglicky Chief Information Security Officer, tedy CISO) je na tomto poli ústřední postavou. V řadě případů bohužel platí, že manažeři informační bezpečnosti neposkytují vrcholovému vedení potřebné informace v ideální podobě tak, aby výsledkem bylo správné a efektivní rozhodnutí.

Jako základní body úspěšné komunikace vnímáme:

  • informace musí být podávány v jednoduché formě,
  • report by měl stavět na konkrétních aktuálních číslech,
  • měl by být orientovaný na reálná měřitelná rizika,
  • rizika vychází ze situace a kontextu firmy a jsou měřitelná vůči trhu – benchmarku,
  • report obsahuje trend a porovnání s minulými obdobími.

A to nejdůležitější – musí být pevnou a pravidelnou součástí agendy vrcholového managementu. 




O EY Globálním průzkumu informační bezpečnosti 2021

Do průzkumu bylo na konci roku 2021 zahrnuto 1450 respondentů z celého světa z řad CEO, CIO a CTO napříč odvětvími. 

Stáhnout průzkum

 

 

Dobrý report vyžaduje kvalitní data

Z výzkumu také vyplynulo, že jen 56 % společností využívá ve svých reportech status vůči aktuálním rizikům. Přezkum jejich momentálního stavu vůči aktuálním rizikům a benchmarku ale alespoň jednou měsíčně provádí pouze 9 % společností. Tím poté vznikají neaktuální data, která neumožňují vedení firmy uskutečnit správná strategická a finanční rozhodnutí. 

Vzhledem k tomu, že se počet monitorovaných systémů stále zvyšuje, stejně jako množství dat, a zaměstnanců zůstává ve firmách naopak čím dál méně, je schopnost poskytovat relevantní data těžší a těžší. I přesto, anebo právě proto, je klíčové správně identifikovat relevantní hrozby, které vycházejí z kontextu společnosti – ten je určen například typem podnikání nebo geolokací. Následně přichází na řadu pravidelné testování kybernetické odolnosti vůči potenciálním hrozbám.

Jedním ze způsobů, jak je identifikovat, je orientace na techniky útočníků. Právě ty jsou jednou z mála věcí, které sami hackeři dokážou jen těžko změnit.

Jak tedy být v obraze?

V rámci našich projektů využíváme celosvětově uznávaný MITRE ATT&CK framework, který vychází z celosvětové komunity tisíců odborníků na kybernetickou bezpečnost. Ti v této globálně dostupné databázi sdílí znalosti o současných kybernetických útocích, zpravodajství, hrozbách a nejnovějších taktikách a technikách protivníků, jakož i o obranných a detekčních strategiích. Pomocí vhodné implementace tohoto frameworku můžeme nejen správně identifikovat reálné hrozby, ale také navrhnout automatické testování kybernetické odolnosti pro danou společnost. Touto kombinací lze předcházet kybernetickým útokům, měřit efektivitu bezpečnostních technologií, jejich konfigurace a bezpečnostních procesů. Správnou implementací tohoto frameworku mohou bezpečnostní manažeři docílit nastavení systému řízení bezpečnosti včetně efektivního reportingu.

Shrnutí

Množství kybernetických hrozeb roste po celém světě exponenciálním tempem. Finanční výdaje na kyberbezpečnost ve firmách tomu ale ve většině případů neodpovídají. V této oblasti je tak čeká dlouhá cesta. Především CISOs, tedy manažeři informační bezpečnosti, mají před sebou velkou výzvu v podobě efektivního reportingu směrem k vedení společnosti, čímž mohou k zajištění potřebných investic do kybernetické bezpečnosti významně přispět.

O tomto článku

Autoři
Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

Jan Pich

EY Česká republika, Cyber Security Manager oddělení technologického consultingu a IT

Jan má na starost dodávku služeb kybernetické bezpečnosti se specializací na oblasti řízení bezpečnosti, testování digitální a provozní odolnosti a vývoje obranné detekčních strategie.