proto musí být provedena správná strategie

Existuje mnoho faktorů a předpokladů, které musí organizace zvážit, aby mohla definovat svou strategii kybernetické bezpečnosti. V měnícím se technologickém prostředí musí společnosti identifikovat a chránit svá strategická aktiva prostřednictvím specifických bezpečnostních systémů, které zaručují kontinuitu podnikání.

V této souvislosti ISACA odhalila, jak by měla být prováděna správná strategie kybernetické bezpečnosti, protože ochrana systémů, sítí, aplikací a dat je dnes pro organizaci stejně důležitá jako zvyšování počtu klientů, zvyšování fakturace nebo uvádění nových produktů na trh.

„Prostý fakt, že si organizace klade tuto otázku, je již známkou vyspělosti, ale také důležitosti, kterou vrcholový management společnosti přikládá kybernetické bezpečnosti,“ vysvětluje Víctor Parrado, CISO, GlobalSuite Solutions.

Informovanost ve firmě

Jako v každé strategii je klíčovým prvkem zapojení managementu společnosti do kybernetické bezpečnosti, a proto je důležitá role CISO, který je integrován do vysokých úrovní společnosti, aby z první ruky znal strategické cíle podnikání. a dostatečně je chránit.

Strategie kybernetické bezpečnosti závisí na těchto strategických cílech, ale také na zdrojích a schopnostech, kterými organizace disponuje, a také na vnitřních a vnějších faktorech, které budeme nazývat kontext. Pokud jde o přenesení strategie do provozní úrovně organizace, je pro úspěch nezbytné přizpůsobení se naší realitě.

Dobrým výchozím bodem pro definování bezpečnostní strategie je odpověď na následující otázku: co je pro organizaci kritické? Bez jakých aktiv se neobejdeme?

Základní otázky, které by se v žádném případě neměly svěřovat jediné vizi: proto je důležité položit tuto otázku několika vedoucím pracovníkům nebo oblastem v rámci společnosti, protože je zcela běžné, že důležitý obchodní proces závisí na aktivum, které zná pouze jednu oblast.

Jak uvedl Víctor Parrado, „bylo by chybou začít přímo zavádět kontroly, aniž bychom nejprve věděli, co se nám může stát a co máme. Pomocí tohoto cvičení můžeme identifikovat silné a slabé stránky kybernetické bezpečnosti a také jaké jsou nedostatky a co je třeba udělat, abychom na ně reagovali. Poskytne nám také přehled o různých vrstvách a o tom, jak bychom měli chránit naše nejcennější data.“

Strategie kybernetické bezpečnosti

V tomto okamžiku bychom vytvořili strategii známou jako hloubková obrana. Původně z vojenského světa, jeho cílem je zpomalit postup nepřítele pomocí různých metod a ovládacích prvků (vrstev), namísto spoléhání se na způsob ochrany. Útočník tedy potřebuje více času a znalostí, aby ohrozil bezpečnost kritických aktiv, což obránci umožňuje vyvinout efektivnější reakci.

Jak Parrado ujišťuje, „v tomto případě není nutné myslet pouze na technická opatření a programy kybernetické bezpečnosti. Stejně důležité je vědět, jak uživatel komunikuje se systémy organizace. Tato vrstva správy obsahuje všechny zásady, předpisy a postupy, kromě toho, že poskytuje základní principy, na kterých lze formulovat ostatní techničtější ochranná opatření. Složitost infrastruktury organizací vyžaduje implementaci řídicího rámce, který umožňuje správné provádění všech implementovaných procesů, od zpráv přes správu relevantních dat až po hodnocení a řízení rizik a souladu“.

Takto by měla být prováděna správná strategie kybernetické bezpečnosti

Ale to není vše. Při definování strategie musíme mít na paměti, že naše realita se neustále mění, když mluvíme o kybernetické bezpečnosti, takže ta, kterou definujeme pro naši společnost, musí být dostatečně flexibilní, aby se časem přizpůsobila požadavkům trhu a novým technologiím.

Parrado ukazuje příklad této situace: „V době vypuknutí pandemie měla většina společností strategii založenou na centralizované autentizaci v podnikových systémech, aby chránila ty uživatele, kteří byli mimo podnikovou síť. Tento model explodoval v době, kdy všichni zaměstnanci museli začít pracovat z domova, což nutilo organizace poskytovat přístup k novým zařízením, v některých případech nefiremním, a také obrovskému množství připojení nekompatibilních s licencemi, které měli atd. Jinými slovy, ze dne na den se strategie ochrany uživatelských zařízení musela změnit. Toto je jednoduchý příklad toho, jak se strategie kybernetické bezpečnosti musí neustále vyvíjet.“

Implementace správné strategie

Strategie kybernetické bezpečnosti zahrnuje získávání znalostí týmem, správu nezbytných programů a neustálou aktualizaci při zavádění všech těchto kontrol, což znamená úroveň složitosti, kterou v mnoha případech organizace sama nemůže převzít.

Z tohoto důvodu se mnoho společností spoléhá na externí podporu, která jim pomůže v případě kybernetických incidentů, monitoruje jejich infrastrukturu kvůli anomáliím nebo zkrátka poskytuje specializovaná řešení kybernetické bezpečnosti. Hovořili bychom o řízených SoC službách, CERTech, pojištění kybernetických rizik atd. S ohledem na to je při definování strategie třeba vzít v úvahu následující body:

• Rozhodování na základě dat a informací. Prvním krokem k definování strategie je znát naši organizaci, co je důležité a jaké jsou naše silné a slabé stránky.
• Strategie kybernetické bezpečnosti musí být podporována vrcholovým managementem. A naopak, kybernetická bezpečnost musí podporovat obchodní cíle a přizpůsobovat se jim.
• Implementace rámce pro řízení kybernetické bezpečnosti nám umožní lépe řídit procesy. Ať už je to ISO 27001, 27110, ENS, NIST framework… Je dobrou strategií zvolit si normu, která definuje a spojuje různé procesy.
• Strategie je důsledkem vašeho kontextu. Chcete-li definovat strategii, musíte znát svou realitu. Zdroje jsou vždy omezené.
• Definované bezpečnostní role a odpovědnosti. Je nezbytné určit, kdo je odpovědný za co, definovat různé procesy, které mají být implementovány, aby bylo možné provádět dobré řízení kybernetické bezpečnosti.