25 aug 2022
Kybernetická bezpečnosť nie je voľba. Zamerajte sa na ňu skôr, než bude neskoro.

Kybernetická bezpečnosť nie je voľba. Zamerajte sa na ňu skôr, než bude neskoro.

Autor: Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

25 aug 2022
Related topics Poradenstvo

Výsledky EY Globálneho prieskumu informačnej bezpečnosti 2021 odhalili, že len 3 % spoločností zaraďujú kybernetickú bezpečnosť do programu pravidelných týždenných stretnutí vrcholového vedenia. 

Iba 20 % o nej diskutuje aspoň raz mesačne; zvyšok, žiaľ, menej často. A práve komunikácia na tému kybernetickej bezpečnosti je kľúčom k jej zaisteniu, keďže všetky strategické a investičné rozhodnutia prijíma vedenie spoločnosti.

Firmy sú každým dňom závislejšie od informačných technológií, automatizácie a spracovania značného objemu rôznych typov údajov. Súčasná doba si vyžaduje digitalizáciu širokej škály procesov, ktorá podnikom umožňuje zvyšovať produktivitu a zisk. Napriek tomu, že si firmy tieto potreby uvedomujú, len 39 % z nich očakáva významnejšie investície do IT technológií.

CISO ako kľúčová rola v kontexte kybernetickej bezpečnosti

Čo môžu firmy urobiť, aby zaistili primeranú úroveň kybernetickej bezpečnosti?

Ústrednou postavou v tejto oblasti je manažér informačnej bezpečnosti (anglicky Chief Information Security Officer, skrátene CISO). V mnohých prípadoch, žiaľ, platí, že manažéri informačnej bezpečnosti neposkytujú vrcholovému vedeniu potrebné informácie v podobe, na základe ktorej by mohlo vedenie prijať správne a efektívne rozhodnutie.

Medzi základné pravidlá úspešnej komunikácie patria najmä tieto:

  • informácie by mali vždy vychádzať z konkrétnych a aktuálnych údajov,
  • informácie by sa mali prezentovať v jednoduchej a zrozumiteľnej forme,
  • report by sa mal orientovať na reálne merateľné riziká, ktoré musia vychádzať zo situácie a kontextu firmy a sú merateľné v porovnaní s trhom – benchmarkom,
  • report by mal obsahovať trend a porovnanie s predchádzajúcimi obdobiami.

A to najdôležitejšie, kybernetická bezpečnosť musí byť pevnou súčasťou agendy vrcholového vedenia.

O EY Globálnom prieskume informačnej bezpečnosti 2021

Na prieskume sa koncom roka 2021 zúčastnilo 1 450 respondentov z celého sveta z radov CEO, CIO a CTO zo všetkých odvetví. 

Dobrý report si vyžaduje kvalitné údaje

Z prieskumu tiež vyplynulo, že len 56 % spoločností uvádza vo svojich reportoch status voči aktuálnym rizikám. Navyše len 9 % spoločností aspoň raz mesačne prehodnocuje svoj momentálny stav s prihliadnutím na aktuálne riziká a benchmarky. To následne môže viesť k situácii, že vedenie nemá k dispozícii údaje, ktoré by umožňovali vedeniu firmy prijímať správne strategické a finančné rozhodnutia.

Vzhľadom na to, že sa počet systémov a v nich spracúvaných údajov neustále zvyšuje, schopnosť poskytovať relevantné údaje vedeniu je čoraz ťažšia. Aj napriek tomu, alebo práve preto, je kľúčové správne identifikovať relevantné hrozby, ktoré reflektujú zameranie a kultúru spoločnosti. Následne prichádza na rad pravidelné testovanie odolnosti voči potenciálnym kybernetickým hrozbám.

Ako byť neustále v obraze?

Užitočným nástrojom, ako „byť v obraze“, je napríklad medzinárodne uznávaný MITRE ATT&CK framework, ktorý sa opiera o celosvetovú komunitu združujúcu tisícky odborníkov na kybernetickú bezpečnosť. Tí si v rámci tejto globálne dostupnej databázy vymieňajú znalosti o kybernetických útokoch, hrozbách, najnovších taktikách/technikách protivníkov, ako aj o detekčných a obranných stratégiách. Vhodnou implementáciou uvedeného frameworku je možné nielen správne identifikovať reálne hrozby, ale aj navrhnúť automatické testovanie kybernetickej odolnosti pre konkrétnu spoločnosť. Touto kombináciou možno predchádzať kybernetickým útokom, merať efektivitu bezpečnostných technológií, ich konfigurácie a bezpečnostných procesov. Správnou implementáciou MITRE ATT&CK frameworku môžu manažéri informačnej bezpečnosti docieliť želané nastavenie systému riadenia bezpečnosti, vrátane efektívneho reportingu.


EY vám môže v oblasti kybernetickej bezpečnosti pomôcť, kontaktujte nás:
Juraj Richter z EY Slovensko alebo Petr Plecháček z EY Česká republika

Zhrnutie

Počet kybernetických hrozieb rastie po celom svete exponenciálnym tempom. Finančné výdavky na kyberbezpečnosť vo firmách však tomu vo väčšine prípadov nezodpovedajú a v tejto oblasti je pred nimi ešte dlhá cesta. Najmä CISO, čiže manažéri informačnej bezpečnosti, majú pred sebou veľkú výzvu v podobe efektívneho reportingu smerom k vedeniu spoločnosti, ktorým môžu významne prispieť k správnym strategickým rozhodnutiam a zaisteniu potrebných investícií do kybernetickej bezpečnosti.

O tomto článku

Autor: Petr Plecháček

EY Česká republika, Associate Partner oddělení technologického consultingu a IT

Petr vede tým kybernetické bezpečnosti. Zaměřuje se na hrozby, opatření proti útokům, bezpečnostní testy a analytiku, ochranu osobních údajů a citlivých dat. Tyto oblasti propojuje s IT consultingem.

  • Facebook
  • LinkedIn
  • Twitter