Bezpečnost: CISO a CIO musí být připraveni na otázky nepříjemné i hloupé

Bezpečnostní incidenty posledních týdnů a měsíců – jež se v případě Česka zhmotnily vedle veřejného sektoru zejména v podobě událostí v benešovské nemocnici a OKD – naznačují, že informační bezpečnost bude jedním z hlavních témat pro nadcházející rok. Rostoucí náklady a zejména hojně medializované incidenty povedou k první zásadní změně: bezpečnost se stane jedním z význačných (a dost možná i pravidelných) témat a otázek pro nejvyšší vedení podniků.

Členové bordu a C-level exekutivy obvykle řeší tři hlavní oblasti: zvyšování příjmů a plnění nepříjmových cílů (mise), řízení a pokud možno snižování nákladů a řízení všech relevantních druhů rizika (finanční, tržní, shody s předpisy, inovační, reputační). Riziko informačně-bezpečnostní bylo mezi ta význačná zařazeno ve většině podniků poměrně nedávno, a proto se může stát, že vám členové bordu budou klást podivné otázky – například je-li podnik proti kybernetickému útoku na 100 % chráněn. Analytici věnující se informační bezpečnosti zdůrazňují, že nic jako stoprocentní ochrana (a tudíž nulové riziko) pochopitelně neexistuje – vždy je třeba hledat ideální rovnováhu mezi mírou rizika, náklady a omezeními které jeho snižování způsobuje.

Další otázkou, na kterou by se CISO (a CIO) měli připravit je: Je to opravdu tak nebezpečné? Může se nám stát to co se stalo v podniku XY? Jak jsme na takovou věci připraveni? Analytici doporučují v takových situacích nespekulovat – nevíte-li přesně co bylo příčinou zmiňovaného incidentu, raději to řekněte a potřebné informace si dohledejte, je-li to možné. Případnou diskusi pak přeneste z konkrétního incidentu do obecnější roviny – zda a nakolik je podnik schopen podobné slabiny či hrozby odhalit, napravit je a mít v záloze DR či business continuity plán.

Otázka, kterou by si měli CIO a CISO klást sami (dost možná ale přijde ze strany bordu či zřizovatele apod.) zní: Známe míru podstupovaného kybernetického rizika? Jen tak totiž lze posoudit, zda je přiměřené (v absolutním měřítku a/nebo ve srovnání s jinými riziky) a zda ke případně třeba navýšit výdaje v bezpečnostní oblasti.

Stejně tak by měl být CISO i CIO připraven odpovědět na otázku, zda je na informační bezpečnost vydáván odpovídající objem prostředků (tedy ani hodně, ani málo) a na místě je i příprava na to, jak se postavit k vysvětlení proběhlého incidentu (jednou k němu dojde, je to jen otázka času a rozsahu). CISO musí být také připraveni na neustále se měnící bezpečností prostředí v němž musí jejich organizace fungovat a plnit soulad s předpisy. Například obdobu evropského GDPR již zavedlo více než 60 zemí (například Argentina, Austrálie, Brazílie, Egypt, Indie, Japonsko, Nigérie a Thajsko). Analytici odhadují, že do roku 2023 bude 65 % světové populace „pokryto“ legislativou na ochranu soukromí – oproti přibližně 10-15 % dnes. I proto celosvětově více než milion firem do konce roku 2022 vytvoří a obsadí pozici DPO.

Další komentáře

Podzim a zima (patrně) jen virtuálně

Svět konferencí (a nejen těch v IT) už znovu čelí karanténním opatřením. Ti, kdo odvážněji naplánovali své akce na počátek září je (někdy s odřenýma ušima) stihli realizovat, jiní je museli v předstihu několika dnů již podruhé během šesti měsíců zrušit. Zejména v případě mezinárodních konferencí je ale jasné, že virtuální podoba bude standardem. Firmy jako je Apple ukazují, že i keynote digitální konference či virtuální představení novinek mohou být odpovídajícím způsobem bombastické (Stevovo „Today we are introducing...

Nové pojetí bezpečnosti: rovnováha mezi rizikem, důvěrou a příležitostmi

Hledání rovnováhy mezi rizikem, důvěrou a příležitosmi je jedním z hlavních témat konference Virtual Gartner Security & Risk Management Summit, která je tento týden online streamována z Londýna a z níž bude INSIDE přinášet výběr zajímavostí a postřehů, podobně jako z některých konferencí a sympozií Gartneru v minulosti. Rizik, která nastoupila v posledních šesti měsících (a ani v několika nejbližších nás neopustí, jak naznačují čísla statistik MZ, akcelerovaných letním hurá uvolněním všeho za hranice rozumu ba příčetnosti) je celá řada. Souvisejí zejména...