3 kroky pro lepší kybernetickou bezpečnost: (2/2) Co dál po identifikaci rizik

V předchozím článku jsme viděli, že pokud chcete brát kybernetickou bezpečnost vážně, je prvním krokem důkladná počáteční diskuze. Dobře – a co dál?

Ilustrační snímek

Krok druhý: Požární cvičení

Testování funkčnosti kybernetické bezpečnosti lze připodobnit k provádění požárního cvičení. Živý test vám poskytne velmi přesné informace o tom, jak moc je vaše společnost zranitelná.

Pro krádeže dat jsou stále nejběžnější metodou phishingové e-maily. Ačkoli si mnoho lidí nebezpečí phishingu uvědomuje, dost často netuší, jak snadno se mohou stát obětí takového podvodu.

Otestujte proto nejvyšší vedení, ať víte, kolik z nich by phishingu podlehlo. A následně se nebojte sdílet výsledky jak s vedením samotným, tak s ostatními zaměstnanci.

Členové nejužšího vedení z takového kroku mohou být nervózní, ale nic nezvýší povědomí o hrozbě phishingu víc. Tímto způsobem totiž dokážete, že ve vaší společnosti je kybernetická bezpečnost skutečně tou nejvyšší prioritou.

Některé společnosti jsou při prosazování bdělosti v tomto ohledu velmi tvrdé. Exxon Mobil například po phishingovém testu odebral zaměstnancům, kteří podlehli a na nebezpečný e-mail klikli, určitá privilegia při používání internetu

Krok tři: Konečná odpovědnost

Lidé v nejvyšším vedení jsou často šokováni, když poprvé vidí výsledky auditu zaměřeného na vystavení firmy kybernetickým rizikům. Uvědomit si, kolik rizik vyplývá z využívání služeb dodavatelů a IT služeb, někdy bývá trochu nepříjemné.

Míru vystavení kybernetickým rizikům lze definovat tím, jak moc je společnost propojena s dodavateli a jejich službami a na čem je závislá. Čím více se spoléháte na software a služby třetích stran, tím jste zranitelnější. Znamená to, že určitá vaše aktiva, služby a procesy jsou přístupné prostřednictvím veřejných sítí. Body, které jsou dostupné, bývají mnohé:

  • technická zařízení jako sítě a online aplikace,
  • lidé, kteří používají e-maily a sociální sítě,
  • probíhající výměny informací mezi systémy,
  • procesy, jako je zpracování transakcí, údržba nebo vývoj softwaru.

Jakmile nejvyšší vedení porozumí už jenom počtu podobných rizik a jejich rozsahu, bude mu zřejmé, že IT na to samo prostě nestačí. Úsilí v oblasti kybernetické bezpečnosti musí vyvinout všechna oddělení a jejich ředitelé si jistě uvědomí, že konečná odpovědnost je právě na nich.

-jk-

Zdroj: INSEAD Knowledge - znalostní portál mezinárodní MBA školy INSEAD
Zobrazit přehled článků ze zdroje INSEAD Knowledge

Články v sérii

Aktuální

3 kroky pro lepší kybernetickou bezpečnost: (1/2) Odpovědnost nejvyššího vedení

Aktuální

3 kroky pro lepší kybernetickou bezpečnost: (2/2) Co dál po identifikaci rizik