Keith Bird, dyrektor firmy Check Point zajmującej się cyberbezpieczeństwem, pokazuje jak firmy mogą systematycznie usprawniać bezpieczeństwo swoich sieci oraz danych.
Rosnąca liczba i poziom zaawansowania zagrożeń bezpieczeństwa sprawia, że ochrona firmy staje się coraz ważniejsza. W samym 2014 roku cyberprzestępcy ukradli około 500 milionów tożsamości z firm na całym świecie, a ataki i infekcje wirusami komputerowymi są kontynuowane na skalę przemysłową. Dla wielu organizacji ochrona ich sieci oraz danych szybko staje się zadaniem nie do wykonania.
Jednakże gdyby rozłożyć kwestię bezpieczeństwa informacji na czynniki pierwsze, otrzymamy trzy podstawowe elementy: aktywa, podatności oraz zagrożenia. Aktywa posiadają podatności, które mogą zostać wykorzystane przez zagrożenia, a jedno włamanie może być początkiem wielokrotnych ataków.
Próbując wyjść naprzeciw tym zagadnieniom, Unia Europejska wprowadza prawa regulujące bezpieczeństwo danych, które po wprowadzeniu zobligują firmy do takiej samej odpowiedzialności za dane klienta, jak ma to miejsce w przypadku instytucji publicznych oraz rządowych. Za uchybienia w tej kwestii będą grozić surowe kary. Niezależnie od tego, czy firma zajmuje się technologią, bankowością, opieką zdrowotną, fitnessem czy gastronomią, jeżeli coś sprzedaje, to najprawdopodobniej przechowuje ona informacje klientów w swojej sieci. Pomimo tego, że rządy i organy ścigania pracują, aby przeciwdziałać cyberzagrożeniom, mają one bardzo ograniczony wpływ na zmniejszenie ryzyka, w obliczu którego stają codziennie organizacje. Wobec powyższego firmy muszą brać sprawy w swoje ręce.
Jednak jak tego dokonać? Chociaż większość kierowników określa bezpieczeństwo sieci jako priorytet, często nie są w stanie przekonać o tym zarządów swoich spółek, dopóki nie zdarzy się wyciek danych. Takie podejście musi się zmienić, myślenie o bezpieczeństwie w kontekście zapobiegania powinno stać się standardem. Aby wspomóc wprowadzenie proaktywnej strategii bezpieczeństwa, poniżej przedstawiono 10 kroków ułatwiających zmianę metod ochrony sieci firmowej oraz danych.
1. Użyj bezpieczeństwa jako klucza do innowacji
Aktywna strategia bezpieczeństwa może dać firmie więcej niż tylko ochronę przed atakami. Może także przyspieszyć wdrażanie nowych technologii, które sprawią, że biznes stanie się bardziej efektywny. Przy wprowadzaniu nowych rozwiązań i urządzeń, ocena ryzyka powinna być częścią procesu, aby upewnić się, że ochrona przed zagrożeniami jest integralną częścią wdrożenia. Wbudowane zabezpieczenia dają lepszą ochronę, która pozwoli na dalsze innowacje.
2. Zbadaj ograniczenia
Podstawowym błędem, który popełniają firmy jest założenie, że w momencie wprowadzenia zabezpieczeń praca jest skończona. Zagrożenia jednak zmieniają się nieustannie, a cyberprzestępcy cały czas się uczą, zwiększając swoje możliwości. Aby temu przeciwdziałać, organizacje muszą postrzegać bezpieczeństwo informacji jako nieustanny proces, w którym infrastruktura jest stale sprawdzana by zdiagnozować podatności, a nie jednorazową czynność, którą można „odhaczyć” na liście.
3. Określ cele
Firmy powinny skoncentrować swoje działania w miejscach, które będą najbardziej podatne w razie włamania. Wypadki takie jak utrata poufnych danych, zaufania klientów czy niezastosowanie się do przepisów, powinny być wzięte pod uwagę zanim skupimy się nad sposobem minimalizacji zagrożeń.
4. Bądź przygotowany
Niezależnie od tego, jak bardzo firma jest ostrożna, incydenty bezpieczeństwa będą się zdarzały. Sposób działania firmy w takich przypadkach może stanowić o jej losie. Jeżeli będzie ona przygotowana na takie sytuacje, szybciej odzyska kontrolę, a negatywne skutki włamania będą mniejsze. Identyfikacja zagrożeń zanim nastąpią znacząco zmniejszy czasy odpowiedzi oraz koszty w przypadku ewentualnego ataku.
5. Spójrz na sprawę całościowo
Oceniając bezpieczeństwo biznesu ważne jest, by widzieć nie tylko zagrożenia i podatności, ale również cały obraz tego, co chcemy osiągnąć. Najlepiej przygotowane firmy wiedzą, że strategie bezpieczeństwa opierają się na celach biznesowych i strategii firmowej, wiążąc je z procedurami, wymaganiami, badaniami wydajności oraz pracownikami na każdym szczeblu organizacji.
6. Mierz wyżej niż przepisy
Wiele firm myśli, że jeżeli będą spełniać przepisy i normy dotyczące ochrony danych osobowych w ich segmencie rynku, są zabezpieczeni przed cyberatakami. Takie myślenie ogranicza zakres i efektywność strategii bezpieczeństwa, bowiem prawo zwykle skupia się jedynie na specyficznych zagrożeniach. Ponieważ przepisy nie gwarantują zupełnej ochrony, nie powinny być bazą dla strategii bezpieczeństwa. Organizacje powinny zrobić więcej niż tylko przestrzeganie prawa, by stworzyć odpowiednie procedury dotyczące bezpieczeństwa informacji i ochrony przed zagrożeniami.
7. Działaj oficjalnie
Ujawnianie oficjalnych procedur bezpieczeństwa informacji całej firmie może być bardzo efektywne. Jeżeli pracownicy zostaną zaangażowani we wprowadzenie procedur, ich przestrzeganie stanie się bardziej skuteczne. Wobec powyższego, najlepszymi strategiami bezpieczeństwa są te łatwo zrozumiałe dla pracowników.
8. Przekonaj większość
Bezpieczeństwo poufnych danych powinno stanowić wspólny cel. Aby to osiągnąć, potrzebny jest odpowiedni budżet oraz kadra. Udział pracowników w tworzeniu procedur bezpieczeństwa to element kluczowy, który pokazuje aktywne zaangażowanie i buduje lepszą świadomość. Zwykle należy opracować odpowiednie wskaźniki i badania pozwalające zademonstrować zwrot poniesionych kosztów na cele bezpieczeństwa informacji. Wyniki będą stanowić ważny element stałej optymalizacji strategii.
9. Obowiązki i odpowiedzialność
Firmy powinny poświęcić czas na wyznaczenie osób, które będą odpowiedzialne za strategię bezpieczeństwa. Należy wyraźnie wydzielić obowiązki, upewniając się przy tym, że wszyscy rozumieją role i zależności pomiędzy nimi. Powinno to zostać udokumentowane i ogłoszone wszystkim pracownikom. Następnie trzeba przydzielić funkcje i przeszkolić pracowników, aby byli świadomi swojej roli w procesie ochrony przed zagrożeniami.
10. Nigdy nie odpuszczaj
W niektórych firmach organizacja bezpieczeństwa jest zlecana firmom trzecim z powodu braku pracowników doświadczonych w dziedzinie bezpieczeństwa. Zewnętrzne firmy, które niedostatecznie chronią zasoby stanowią poważne zagrożenie dla działania firmy, jej reputacji i zaufania klientów do marki. Organizacje powinny wymagać od dostawców bezpieczeństwa przestrzegania swoich procedur, a także upewnić się, że rozumieją procedury stosowane przez swoich partnerów.
Bezpieczeństwo to podstawa biznesu
Biorąc pod uwagę fakt, że podstawą dzisiejszego biznesu jest informacja, szefowie nie mogą sobie pozwolić na ignorowanie kwestii jej bezpieczeństwa. Bez odpowiedniej strategii, zarówno klienci jak i sama firma staje w obliczu zagrożenia. Poprzez zrozumienie potencjalnych zagrożeń i podatności, stworzenie solidnego planu dostosowanego do specyfiki biznesu oraz upewnienie się, że zabezpieczenia są odpowiednio wdrożone, firmy mogą zamienić bezpieczeństwo danych z czynnika hamującego w siłę napędową biznesu.
Fot. http://www.defenceimagery.mod.uk/fotoweb/fwbin/download.dll/45153802.jpg