Czy cyberbezpieczeństwo to odpowiedzialność działu IT?

SHARE

Choć powszechnie cyberbezpieczeństwo jest  domeną firmowego działu IT, obecnie, ze względu na wszechobecność technologii cyfrowej, większość organizacji zaczyna widzieć je jako oddzielne zagadnienie, podlegające bardziej odpowiedniemu zarządzaniu niż systemach informatycznych. 

 


 

IT vs. cyberbezpieczeństwo? 

 

Cyberbezpieczeństwo jest więc autonomicznym obszarem, na który należy spojrzeć w zupełnie inny niż kiedyś sposób. Nie ogranicza się ono już bowiem do programu antywirusowego. 

 

Co więcej, innowacje zaglądają obecnie do każdego działu organizacji. Zespoły marketingowe chcą zwiększyć widoczność i zaangażować swoich docelowych odbiorców w mediach społecznościowych. Pracownicy wsparcia technicznego chcą wykorzystać komunikatory internetowe, aby skuteczniej obsługiwać klientów. Działy rozwoju produktów wykorzystują społeczności internetowe do zbierania opinii. Innymi słowy, technologia stała się kluczowym czynnikiem umożliwiającym prowadzenie nowoczesnego biznesu. 

 

Oznacza to, że cyberbezpieczeństwo przestaje być domeną działu IT, który może je czasem wręcz utożsamiać z ograniczeniami. Nie tyczy się to z resztą jedynie informatyków czy programistów. Również marketing, obsługa klienta czy R&D mogą postrzegać bezpieczeństwo cybernetyczne jako dodatkowy problem.  

 

Tymczasem kadra zarządzająca ma przed oczami incydenty związane z miliardami skradzionych danych, regularnie trafiające na pierwsze strony gazet. Stąd też żyje ona w ciągłym strachu przed cyberatakami, nierzadko chcąc przenieść odpowiedzialność za wdrożenie odpowiednich zabezpieczeń nieposiadającym wystarczającego  przygotowania i narzędzi administratorom IT (a także innym działom).  

 

W pewnym momencie może więc dojść do napięcia między zarządem a pracownikami. Oznacza to, że może zaistnieć konflikt interesów między wprowadzaniem innowacji a bezpieczeństwem i zgodnością. Oczywiście można tego uniknąć.  

 

Postrzeganie zagrożeń cybernetycznych jako czynników zakłócających gospodarkę lub będących realnym zagrożeniem zdrowia czy życia, a bezpieczeństwa cybernetycznego jako konieczności, która istnieje wyłącznie po to, by zmniejszać ryzyko, jest niezbędnym działaniem w celu łagodzenia tego typu konfliktów.  

 

Jednakże, zamiast pozwalać, aby cyberbezpieczeństwo potęgowało postrzeganie zagrożeń, przed którymi stoją dzisiejsze firmy, specjaliści ds. bezpieczeństwa informacji powinni postrzegać je jako źródło nadziei; sposób na dodanie wartości w całej organizacji. Wszystko to sprowadza się do faktu, że bezpieczeństwo cybernetyczne może samo w sobie stanowić przewagę konkurencyjną, która wzmacnia, a nie blokuje, innowacje. Jest zaś wręcz przeciwnie. Dziś nie mówimy jedynie o cyberbezpieczeńśtwie, ale o zapewnieniu ciągłości działania biznesu. 

 

11-2

 

Cyberbezpieczeństwo - sprawne procesy w całej organizacji  

 

Nie można więc powiedzieć, że cyberbezpieczeństwo jest obecnie ściśle przynależne IT. Jest to problem dużo bardziej złożony oraz coraz powszechniejszy. Statystyki to potwierdzają - każdy jest zagrożony. CSO podaje, że koszty szkód spowodowanych cyberprzestępczością do 2012 roku osiągnęły 6 bilionów dolarów rocznie, a w rezultacie wydatki na cyberbezpieczeństwo przekroczyły 1 bilion dolarów w latach 2017-2020. 

Mając to na uwadze, nie jest zaskoczeniem, że coraz więcej organizacji zwraca się w kierunku tworzenia zespołów ekspertów ds. cyberbezpieczeństwa. I wydaje się być to najlepszym rozwiązaniem. Cyberbezpieczeństwo już dawno przestało być bowiem domeną działu IT, a nierzadko może nawet wchodzić z nim w konflikt interesów.  

Tym samym, według Christosa Dimitriadisa, prezesa zarządu globalnej organizacji ISACA zajmującej się cyberbezpieczeństwem IT,  jest to obecnie kwestia organizacyjna na poziomie przedsiębiorstwa. 

Potwierdzają to dane z Wielkiej Brytanii, które mówią, że ponad 96% wszystkich cyberprzestępstw można by zapobiec poprzez podstawowe przestrzeganie prostych procedur i polityk. Krótko mówiąc, statystyki te sugerują, że to ludzie w firmie decydują o bezpieczeństwie jej zasobów cyfrowych, a nie jakość oprogramowania czy stabilność sieci. 

Co więcej, walka z cyberzagrożeniami nie polega już na wyborze właściwego pakietu oprogramowania, ale na odpowiednim szkoleniu jak największej ilości pracowników, aby dbali o bezpieczeństwo swoich urządzeń biznesowych. Oznacza to, że kwestie cyberbezpieczeństwa często będą kierowane do działu kadr, który musi przyjąć strategie, pozwalające mu znaleźć osoby posiadające odpowiednie predyspozycje do łagodzenia zagrożeń. 

 

Tak też dzieje się w branży hotelarskiej. Będąc jedną z najbardziej zagrożonych, rozumie ona założenia cyberbezpieczeństwa jako procesu. Więcej przeczytasz na ten temat w naszym artykule na temat cyberbezpieczeńśtwa w hotelach.

 

14-1

 

5 faktów i mitów na temat cyberbezpieczeństwa  

 

Mit 1: Procesy cyberbezpieczeństwa są zbędne, gdy mam zaawansowaną technologię. 

 

Fakt: Nawet najbardziej zaawansowana technologia nie pomoże, jeżeli nie ma się odpowiednich procesów. 

 

Prawdą jest, że zespoły zajmujące się bezpieczeństwem cybernetycznym często używają potężnych, najnowocześniejszych technologii by chronić dane i inne zasoby korporacyjne. 

Ale prawdą jest również to, że wiele zagrożeń można zniwelować przy użyciu mniej zaawansowanych metod. W końcu, większość firm nie ma do czynienia z hakerami wykorzystującymi wiedzę i narzędzia klasy wojskowej. Według badań, ponad 70% globalnych cyberataków pochodzi od finansowo zmotywowanych przestępców, którzy wykorzystują proste technicznie taktyki, takie jak phishing.  

 

Kiedy firmy inwestują w zaawansowane technologie, ale nie rozumieją, jak najlepiej je wykorzystać lub nie mogą znaleźć odpowiednio wykwalifikowanych administratorów do zarządzania nimi, stają się one nieefektywne. 

 

Oczywiście organizacje muszą testować innowacje, zarówno te od cyberbezpieczeństwa jak i inne, ale równie ważne jest aby ustanowiły i utrzymywały dobre protokoły i praktyki bezpieczeństwa, które uzupełniają nowe technologie - na przykład, opracowanie solidnego programu zarządzania poprawkami i stopniowe wycofywanie oprogramowania, dla którego dostawcy nie dostarczają już aktualizacji. 

 

Tego rodzaju podstawy mogą pomóc firmom zminimalizować wiele z największych niebezpieczeństw. Rozważmy następujący przykład: łatka pokrywająca luki, które mógł wykorzystywać bug kryptograficzny  WannaCry, została wydana 14 marca 2017 roku - jakieś dwa miesiące zanim ransomware zaatakował ponad 230,000 komputerów w 150 firmach. 

 

 

Mit 2: Hakerzy atakuję tylko wielkie korporacje. 

 

Fakt: Ataki na korporacje lądują na pierwszych stronach gazet. 

 

Jeżeli myślisz, że cyberataki to problem jedynie dużych firm, musimy Cię zaniepokoić. Owszem, duże firmy są często atakowane, ale małe i średnie są tak samo zagrożone. Po prostu wycieki danych w globalnych korporacjach są bardziej medialne. A prawda jest taka, że oprócz zewnętrznych cyberataków bardzo dużym zagrożeniem mogą być też te wewnętrzne.  

 

W rzeczywistości, zagrożenia pochodzące z wewnątrz firmy odpowiadają za około 43% przypadków naruszeń danych (McKinsey & co., Perspective on transforming cybersecurity, 2019).  Zatem to Twoi pracownicy, zwłaszcza ci, którzy mają dostęp do poufnych danych mogą często być najsłabszym ogniwem w firmowym procesie - szczególnie, gdy udostępniają hasła lub pliki za pośrednictwem niezabezpieczonych sieci,  klikają w złośliwe hiperłącza wysyłane z nieznanych adresów e-mail lub działają w inny sposób, który otwiera sieci firmowe na atak.  

 

Jak widzisz, haker to nie tylko specjalista komputerowy, działający z zewnątrz (choć to nie oznacza, że zewnętrzny cyberatak Ci nie grozi, bo masz firmę w przedziale 50-250 osób lub mniejszą). Dziś w praktyce każdy może się nim stać przez nieuważność.  

 

12-1

 

Mit 3: Bezpieczeństwo cybernetyczne mojej firmy jest wprost proporcjonalne do wydatków w nie włożonych. 

 

Fakt: Zrozumienie prawdziwych kosztów i wpływu programów cyberbezpieczeństwa pokazuje, że większe wydatki niekoniecznie prowadzą do lepszej ochrony.  

 

Z badań wynika, że nie ma bezpośredniej korelacji pomiędzy wydatkami na cyberbezpieczeństwo w stosunku do całkowitych wydatków na IT a skutecznością wdrożonych rozwiązań (McKinsey & co., Perspective on transforming cybersecurity, 2019). 

 

Nierzadko firmy, które wydają całkiem sporo na bezpieczeństwo cybernetyczne w rzeczywistości osiągają gorsze wyniki niż reszta rynku. Po części jest to spowodowane brakiem priorytetyzacji zasobów. Organizacje często stosują bowiem podejście całościowe (chronią wszystko bez namysłu, zamiast skupić się na najbardziej wrażliwych danych). 

 

Wyłożenie pieniędzy na rozwiązanie problemu może wydawać się dobrym pomysłem w krótkim czasie - zwłaszcza gdy ma miejsce incydent - ale tego typu podejście prawdopodobnie nie sprawdzi się w dłuższej perspektywie.  Tym samym należy dojść do odpowiedniego zrozumienia kosztów i wpływu oraz opracować jasną strategię finansowania programów bezpieczeństwa cybernetycznego.  

 

 

Mit 4: Dodatkowi ludzie i systemy to więcej problemów i duże koszty  

 

Fakt: Systemy i specjaliści od cyberbezpieczeństwa  kupowane/zatrudniani są, jeżeli istnieje taka potrzeba w organizacji. 

 

Obawiasz się, że zatrudnienie dodatkowego specjalisty od cyberbezpieczeństwa to zbyt duży koszt dla Twojej organizacji? A może bardziej przerażają Cię ceny narzędzi, które są proponowane przez rynek? Albo boisz się, że dodatkowe zabezpieczenia to jedynie więcej obowiązków i kolejny problem? Jeżeli odpowiedź na którekolwiek z tych pytań brzmi “tak”, radzimy podejść do omawianej kwestii od nowa z zupełnie innej perspektywy.  

 

Po pierwsze, kolejne narzędzie nie ma być dodatkowym problemem czy obowiązkiem aktualizacji, ale ochroną. W miarę jak rozwijasz firmę decydujesz się też na coraz więcej innowacji. W związku z tym często nie możesz ograniczyć się do programu antywirusowego, ale potrzebujesz bardziej rozszerzonego systemu, który pomoże chronić dane Twojej organizacji oraz Twoich klientów.  

 

Po drugie, zatrudnienie oddzielnego specjalisty do cyberbezpieczeństwa wcale nie musi być zbyt dużym kosztem. To nieprawda, że jedynie korporacje mają oddzielne działy, a mniejsze firmy zlecają takie rzeczy IT. Jak już powiedzieliśmy, często nie jest to wcale dobre rozwiązanie nawet dla mniejszej  organizacji.  Cyberbezpieczeństwo nie opiera się bowiem na sile oprogramowania, ale na odpowiednim zarządzaniu. Stąd powinno ono podlegać odpowiednio przygotowanej do tego osobie.  

 

Po trzecie, popatrz na mit powyżej. To nie prawda, że skuteczne rozwiązanie chroniące Twoje dane musi być drogie. Wszystko jest kwestią obliczenia potrzeb i sprawdzenia jakie rozwiązanie będzie najbardziej odpowiednie. W tym wypadku bardzo dobrze wybrać narzędzie, które jest skalowalne i może rosnąć lub zmniejszać się wraz z Twoją firmą. 

 13-1

 

Mit 5: By być w pełni bezpiecznym/ą muszę zatrudnić specjalistę wewnątrz organizacji.  

 

Fakt: Cyberberpiezeństwo możesz bez problemu  wyoutsorsować, nie tracąc przy tym na jakości zabezpieczeń.  

 

Jeżeli jesteś pewny/-a, że nie chcesz zatrudnić dodatkowej osoby/osób, które zajmą się omawianą kwestia, to również nie oznacza, że lepiej zostawić ją w rękach działu IT. Dużo lepszym rozwiązaniem będzie outsourcing, który wcale nie oznacza, że usługa straci na jakości.  

 

Wynajęcie firmy, która weźmie na siebie ciężar odpowiedzialności zarządzania cyberbepieczeństwem w Twojej firmie może okazać się salomonowym wyjściem. Outsourcing pozwala zostawić cyberbezpieczeństwo w rękach ekspertów, a może wyjśc kosztowo bardziej opłacalnie niz zatrudnienie specjalisty.  

 

Ponadto da to dodatkowe wsparcie działowi IT (lub tym bardziej wynajmowanej firmą zewnętrzną) i pozwoli odpowiednio zabezpieczyć Twoje dane.  

  

Podsumowanie  

 

Nadanie autonomii cyberbezpieczeństwu w organizacji nie jest wcale sprawą łatwą. Jednak obecne warunki często wymuszają na kadrze zarządzającej takie posunięcie. Warto się więc do tego odpowiednio przygotować, zwłaszcza pod względem procesów oraz znalezienia odpowiedniego konsensusu z pracownikami, którzy mogą traktować owe zmiany jako niekorzystne.  

 

Wiele z działań dotyczących cyberbezpieczeństwa będzie musiało być prowadzone przez dyrektora IT, specjalistę ds. bezpieczeństwa, lub innych specjalistów ds. nowych technologii. Niemniej żadne z tych działań nie będzie owocne, jeśli liderzy biznesowi nie są w pełni zaangażowani w dialog z kadrą i jeśli organizacja nie zbuduje odpowiednich mechanizmów zapewniających porozumienie między działami, a także innowacji idących w parze z ochroną danych.   

 

blog

 

Przeprowadź darmowy audyt bezpieczeństwa IT

Sprawdź możliwości innowacyjnego narzędzia audytorskiego Telescope

Przeprowadź darmowy audyt IT