21 Listopad 2013

kyber 02F70280Pozor by měly dávat malé a střední firmy.
Více než polovina dotázaných společností si myslí, že kybernetické útoky nepředstavují významné riziko. Společnost Sophos oznámila závěry nejnovější bezpečnostní studie zaměřené na malé a středně velké společnosti. Ze studie Risk of an Uncertain Security Strategy, kterou zpracovala organizace Ponemon Institute, vyplývá, že mnoho z těchto podniků není před kybernetickými útoky dostatečně chráněno. Zejména pak z důvodu nedostatečných informací o skutečném stavu zabezpečení firmy. Vrcholový management firem selhává zejména při stanovení důležitosti počítačové bezpečnosti. Díky tomuto selhání při stanovování priorit nemohou společnosti zajmout efektivní postoj k účinnému IT zabezpečení.

Z dvou tisíc celosvětově oslovených respondentů 58 procent uvedlo, že management nevnímá kybernetické útoky jako riziko, které by významně ohrožovalo jejich podnikatelské záměry. Přesto výsledky výzkumu ukazují, že náklady související s IT bezpečností a ochranou majetku malých a středně velkých společností dosahují hodnoty kombinovaného průměru 1 680 111 dolarů za období posledních 12 měsíců. Výzkum podporovaný společností Sophos také ukázal, že čím výše se manažer nachází v hierarchii rozhodování, tím více nejasností o problematice potenciálních útoků má.

"Rozsah kybernetických útoků roste každý den," říká Gerhard Eschelbeck, technický ředitel ve společnosti Sophos. „Tento výzkum ale ukazuje, že mnoha malým a středně velkým firmám se nedaří odhadnout nebezpečí a potenciální ztráty související s bezpečnostními hrozbami. Studie jednoznačně dokazuje i to, že těmto hrozbám mnohé firmy čelí právě z důvodu své nečinnosti v oblasti IT bezpečnosti."

Dle uvedené studie existují celkem tři hlavní důvody, které firmám brání zaujmout účinný postoj k problematice kybernetických hrozeb. Nejpodstatnějším důvodem, na kterém se shodlo celých 44 procent respondentů, je neschopnost managementu přiřadit bezpečnosti odpovídající priority. Až na druhém místě je uváděn nedostatečný rozpočet, na kterém se shodlo 42 procent dotázaných. Nedostatek interního know-how následuje za prvními dvěma důvody s odstupem 11, respektive 9 procent. V mnoha malých a středně velkých firmách také není zcela jasné, kdo vlastně za počítačovou bezpečnost odpovídá. Nepřesně stanovená odpovědnost pak obvykle znamená, že bezpečnost spadá do kompetence IT ředitelů.

„V dnešních malých a středně velkých firmách je CIO pouze informačním úředníkem, který má na starosti rozsáhlé a stále složitější oblasti," říká dále Eschelbeck. "Nicméně tito OIO (Only Information Officer) nemohou dělat vše na vlastní pěst. Problematika bezpečnosti se přitom stává okrajovou záležitostí i z toho důvodu, že zaměstnanci stále častěji vyžadují přístup ke klíčovým aplikacím, systémům a dokumentům z nejrůznějších mobilních zařízení."

Provedený výzkum poukazuje také na nejasnosti ohledně moderních konceptů. Odpovědní manažeři si vůbec nejsou jisti tím, jak moc bezpečnost ovlivňuje využívání zařízení vlastněných zaměstnanci (BYOD) a používání technologií cloudu. Celých 77 procent respondentů v této souvislosti uvedlo, že v příštím roce zvýší nebo nesníží využívání cloudů a služeb spravované IT infrastruktury. Celá čtvrtina z nich ovšem netuší, jaký to bude mít vliv na bezpečnost.

Obdobně celých 69 procent respondentů uvedlo, že mobilní přístup ke klíčovým firemním aplikacím bude příští rok pravděpodobně větší, a to i přes to, že polovina z nich si myslí, že toto zvýšení bude mít negativní bezpečnostní dopady.

„Malé a středně velké firmy si prostě nemohou dovolit ten luxus nevěnovat se problematice bezpečnosti," dodává Larry Ponemon, prezident Ponemon Institute. „Bez přijetí bezpečnostních opatření existuje podstatně větší šance, že využívání nových technologií povede k růstu kybernetických útoků. A to bude samozřejmě tyto firmy stát nemalé prostředky. Ředitelé IT jsou nuceni pod tlakem zavádět nové technologie, které by měly zefektivnit podnikové procesy. Jenže zavádění těchto technologií by nemělo mít přednost před bezpečnostní problematikou. Firmy musí pochopit, že vyhnutí se dostatečnému zabezpečení a nezavedení odpovídajících opatření může velmi snadno vyústit v katastrofu." Průzkum byl zaměřený na malé a středně velké společnosti nejen ve Spojených státech, Velké Británii a Německu, ale také v Asii a Tichomoří (Austrálie, Indie, Čína a Singapur).

Mezi hlavní závěry studie Risk of an Uncertain Security Strategy patří:
· Padesát osm procent respondentů uvedlo, že management nevnímá kybernetické útoky jako významné riziko.
· Jedna třetina dotázaných si není jistá, zda v jejich firmě došlo během uplynulých 12 měsíců ke kybernetickému útoku. Čtyřicet dva procent pak uvedlo, že jejich organizace se ve stejném období s kybernetickým útokem setkala.
· Respondenti na vyšších pozicích mají největší nejasnosti o problematice hrozeb, které by mohly jejich firmy ohrozit. Příčinou negativního stavu je pravděpodobně odtržení vyšších manažerských pozic od běžných provozních problémů. Bez zvýšení informovanosti nebudou zaměstnanci na těchto pozicích chápat důležitost bezpečnostní problematiky, která tak nikdy nezíská potřebnou prioritu.
· Manažeři informační bezpečnosti a vrcholový management se na rozhodování o prioritách IT bezpečnosti podílí jen zřídka. Zatímco 32 procent respondentů uvedlo, že za definování priorit je odpovědný IT ředitel, 31 procent tvrdí, že neví v jejich firmě o funkci, které by tato odpovědnost náležela.
· Čtyřicet čtyři procent respondentů uvedlo, že IT bezpečnost pro ně není prioritou. Celých 42 procent navíc uvedlo, že jejich rozpočet není adekvátní pro dosažení efektivního zabezpečení. Navíc pouze 26 procent respondentů si myslí, že jejich IT zaměstnanci mají dostatečné odborné znalosti.
· Respondenti odhadují, že náklady spojené s dopady bezpečnostních incidentů jsou mnohem vyšší než cena samotného poškození nebo krádeže IT vybavení či infrastruktury.
· Mobilní zařízení a koncept BYOD představují ve srovnání s cloudovými technologiemi a službami spravované IT infrastruktury mnohem větší bezpečnostní problém. Nicméně tyto obavy nebrání masivnímu využívání mobilních zařízení.

· Pohled na bezpečnostní problematiku a hrozby se liší podle odvětví, ve kterém firmy působí:
• Firmy z oblasti finančních služeb jsou sebevědomější. Důvodem může být nutnost dodržování právních předpisů pro ochranu dat.
• Povědomí technologických firem je ve srovnání s průměrem také vyšší, s největší pravděpodobností díky interním zkušenostem s IT problematikou.
• Firmy působící v maloobchodu, vzdělávání, výzkumu, zábavě a mediálním průmyslu jsou na tom nejhůře a respondenti vykazují s ohledem na bezpečnost nejvyšší míru neporozumění.

Doporučení
· Organizace musí soustředit dostatečné zdroje na sledování své bezpečnostní situace. Jen tehdy totiž mohou přijímat adekvátní rozhodnutí. Při posuzování vztahu k bezpečnostní problematice se firmy musí zaměřit nejen na sledování hrozeb, ale také na včasné informování a aktivní detekci.
· Důležité je definovat ověřené postupy pro zabezpečení mobilních zařízení, zejména s ohledem na BYOD. Organizace by měly pečlivě naplánovat a implementovat mobilní strategii, a to bez negativního dopadu na bezpečnost.
· Organizace by měly hledat cestu, jak si poradí s nedostatkem profesionálů ovládajících problematiku informační bezpečnosti. Řešením může být snížení nároků na interní zdroje, například i pomocí přechodu na cloudové technologie. Důležité je také využívat odborné konzultanty a snadno upravovatelná řešení.
· Náklady související s kybernetickými útoky by měly být pravidelně vyhodnocovány, a to včetně zohlednění dopadů způsobených snížením produktivity. Do problematiky bezpečnosti je důležité více zapojit vrcholový management, jen tak totiž může bezpečnost získat odpovídající priority. Důležité jsou také investice do řešení, které umožní v případě bezpečnostního incidentu rychlý návrat k normálnímu stavu. Tento požadavek je důležitý i z pohledu návratnosti investic.
· Vzhledem k častému nedodržování pravidel umožňující efektivní zabezpečení je důležité zvážit využití konsolidované správy bezpečnosti. Díky komplexnímu přístupu mohou organizace snadno získat přesné informace o hrozbách a zaměřit se na problémové oblasti.