Marcela Zimová o podceňovaní bezpečnosti

SAPIE NEWS
Written By SAPIE Team

Kedy by firma mala riešiť kybernetickú bezpečnosť?

V spoločnosti by sa mala kybernetická bezpečnosť riešiť v podstate hneď od začiatku, ideálne už pri založení firmy. Samozrejme, nie každá firma riešila kybernetickú bezpečnosť od začiatku, preto je dôležité si vždy dobre uvedomiť, aké sú jej kľúčové aktíva, ktoré chce chrániť, a na základe toho začať implementovať potrebné postupy a opatrenia.

Prečo by pre vedenie firmy mala byť kybernetická bezpečnosť prioritou?

Kybernetická bezpečnosť pomáha celému biznisu, preto je to veľmi dôležitý a prospešný doplnok pre každú spoločnosť. Správnou implementáciou opatrení si firma zabezpečí, že jej aktíva budú v bezpečí, a zároveň získa dôveru svojich obchodných partnerov a zákazníkov. 

Máte k dispozícii nejaké údaje, pre aký počet firiem je kybernetická bezpečnosť dôležitá?

Čo sa týka konkrétnych čísel, je ťažké určiť ich v súkromnom sektore, keďže neexistujú presné štatistiky. Napríklad správa Národného bezpečnostného úradu za rok 2023 hodnotila, ako spoločnosti, resp. prevádzkovatelia základných služieb riešia kybernetickú bezpečnosť. Podľa tejto správy približne dve tretiny prevádzkovateľov základných služieb, či už v súkromnom alebo verejnom sektore, sa aktívne venujú kybernetickej bezpečnosti. Nemáme však údaje o firmách, ktoré nepatria do tejto skupiny.  Kybernetickú bezpečnosť by však mala riešiť každá firma, bez ohľadu na to, či spadá alebo nespadá pod nejakú reguláciu, pretože je dôležité chrániť svoje aktíva. 

Čo sa môže stať ak firma podcení kybernetickú bezpečnosť?

Najjednoduchšie sa to dá ilustrovať na príkladoch bezpečnostných incidentov, ktoré sa stávajú firmám, ktoré zanedbávajú kybernetickú bezpečnosť. Napríklad podľa správy Národného bezpečnostného úradu za rok 2023 bolo hlásených približne 1000 incidentov, pri ktorých sa následne vykonávali kontroly. Častým nedostatkom bolo práve neexistencia riadenia rizík. Firmy by mali začať s implementáciou kybernetickej bezpečnosti tým, že si uvedomia riziká, ktoré môžu ohroziť ich aktíva, a následne implementujú opatrenia na zmiernenie týchto rizík. 

Ako si majú firmy zadefinovať stratégiu a kedy a ako riešiť rozdelenie zodpovednosti?

Pri prvotnom zadefinovaní stratégie pre kybernetickú bezpečnosť je dôležité, aby firmy dobre porozumeli kontextu svojho podnikania. Musia si správne určiť kritické aktíva, ktoré sú pre nich dôležité a ktoré potrebujú chrániť. Na základe toho môžu rozvíjať svoju stratégiu, či už plánujú pôsobiť globálne alebo lokálne, a zohľadniť rôzne legislatívne a regulačné požiadavky, ktoré sa na nich vzťahujú.

Ďalej je dôležité zadefinovať zodpovednosti v rámci riadenia informačnej bezpečnosti. Pri tomto je dôležité prihliadať na veľkosť firmy a aktíva, ktoré má. Zároveň je nevyhnutné zabezpečiť segregáciu rolí, pretože jedna osoba nemôže byť zodpovedná za všetky aspekty kybernetickej bezpečnosti. Mali by byť zachované princípy, ako napríklad princíp štyroch očí, aby bol zabezpečený správny dohľad a kontrola.

SAPIE Team
Previous

Takeaways from webinar about EU Elections
Next

Winners of the Digivitality Project Pitching