Kontrola ochrany údajov a súkromia a podávania správ a analýz účinnej obrany pred hrozbami sa presúva do zasadacej miestnosti, pretože organizácie chápu potrebu bližšie sa pozrieť na to, ako efektívne je ich zabezpečenie. V reporte to spoločnosť Gartner označuje ako „novú éru ohlasovania rizík predstavenstvu“ a poznamenáva, že „členovia predstavenstva si stále viac uvedomujú dôležitosť informačnej bezpečnosti a zaujímajú sa o ňu“.
Gartner tiež poznamenáva, že diskusie sa vyvinuli zo štandardných bezpečnostných metrík do porozumenia celopodnikovým dôsledkom rizík informačnej bezpečnosti.
Správne rady teraz očakávajú analýzu a podávanie správ o kybernetickej odolnosti organizácie na rovnakej úrovni ako ostatné formálne povinné vykazovanie a kontroly spoločnosti. Vykonanie stratégie kybernetickej odolnosti je však jednoduchšie povedané, ako sa to robí, najmä pre malé a stredné podniky, ktoré nemajú vlastné znalosti, alebo pre veľké organizácie, ktoré sa zaoberajú starými alebo komplexnými prepojenými obchodnými modelmi.
Historicky sa bezpečnostné kontroly používané na monitorovanie výkonu a efektívnosti spoločnosti tradične zakladali na oblastiach politiky, procesných postupov a riadenia spolu s technickými, fyzickými a personálnymi metrikami. V dnešnom svete neustálych kybernetických hrozieb, hoci tieto oblasti sú stále platné, musia byť posilnené schopnosťou zvážiť kontext kontrol vo vzťahu k hrozbám, ktorým je organizácia vystavená. Tento kontext poskytujú výsledky reakcií na kybernetické incidenty, výmena informácií o kybernetických útokoch prostredníctvom výmeny informácií, CERTS (tímy reakcie na počítačové núdzové situácie) a rýchlo sa rozvíjajúce odvetvie spravodajských informácií o hrozbách.
Dodatočné informácie poskytujú možnosť preskúmať a zvážiť všetky ovládacie prvky v kontexte súčasného prostredia hrozieb. Potom je možné nové výdavky ospravedlniť nasadením vhodných ovládacích prvkov na ďalšie zníženie rizika. Dostupnosť týchto informácií o hrozbách takmer v reálnom čase umožňuje bezpečnostným tímom prvýkrát reagovať na zmenu hrozby a zabrániť jej narušeniu. Ide o lepšiu stratégiu odozvy, než čakať na úspešný útok alebo sa pokúšať obmedziť hrozbu, akonáhle sieť signalizuje anomálne správanie.
Napriek tomu, že je k dispozícii množstvo informácií o tom, ako chrániť podnik, otázkou je: čo sa považuje za účinné a môže preukázať, že podnik prijal primerané opatrenia na ochranu seba a svojich osobných údajov? Analýza možností zabezpečenia z tohto pohľadu správy a riadenia spoločností bude tvoriť základ pre vybudovanie prevádzky odolnej voči kybernetickej bezpečnosti.
Príkladom toho, prečo je to dôležité, je nárast kontrol, ktoré sa týkajú zdravia a bezpečnosti. Povinné predpisy o zhode a podávanie správ sú dnes štandardnou praxou. V prípade vážneho problému zdravia a bezpečnosti sa povinné správy používajú na poskytnutie dôkazov o osvedčených postupoch a na pomoc pri preukazovaní súladu. Pomohlo to nielen chrániť ľudí, ale stalo sa to aj súčasťou firemnej kultúry.
Príkladom toho, prečo je to dôležité, je nárast kontrol, ktoré sa týkajú zdravia a bezpečnosti. Povinné predpisy o zhode a podávanie správ sú dnes štandardnou praxou. V prípade vážneho problému zdravia a bezpečnosti sa povinné správy používajú na poskytnutie dôkazov o osvedčených postupoch a na pomoc pri preukazovaní súladu. Pomohlo to nielen chrániť ľudí, ale stalo sa to aj súčasťou firemnej kultúry.
Prevzatie zodpovednosti za kybernetickú odolnosť
Hodnotenie obchodnej hodnoty kybernetickej odolnosti má niekoľko foriem. Porušenie ochrany osobných údajov môže napríklad dlhodobo poškodiť dobrú vôľu zákazníka. Porušovanie dodržiavania predpisov a pokuty môžu poškodiť dôveru zainteresovaných strán a dokonca ovplyvniť držbu rady. Gartner poznamenáva, že organizácie si musia vytvoriť vlastný hodnotový reťazec, pričom sa budú zameriavať na kontinuum závislostí od bezpečnosti/rizika, závislostí od IT, obchodných procesov a obchodu a určovať príčinné vzťahy súvisiace s každou závislosťou. Posolstvo je, že výkazníctvo viazané na hodnotu podniku potrebuje túto úroveň analýzy, aby podporilo hodnotenie rizika radou a stanovilo toleranciu rizika.
Odvetvie kybernetickej bezpečnosti v súčasnej dobe spolupracuje s regulačnými orgánmi a podnikmi na vývoji koncepcie súboru formálnych vyhlásení o kybernetickej odolnosti s cieľom poskytnúť dôkaz o osvedčených postupoch a proporcionalite, podložené štandardmi, technickým hodnotením, modelmi zrelosti a mnohými ďalšími iných relevantných metrík. Tieto dokumenty potom podpíšu vhodne poverení odborníci z odvetvia kybernetickej bezpečnosti a spoja sa, aby poskytli celkový názor na odolnosť spoločnosti voči kybernetickej bezpečnosti.
Vďaka rozsiahlejšiemu hláseniu a analýze rizík a štandardizácii kritérií kybernetickej odolnosti v rámci bezpečnostného priemyslu budú správne rady schopné lepšie informovane hodnotiť postoj svojej spoločnosti k riziku a starostlivejšie plánovať investície do bezpečnejšej budúcnosti.
Ak potrebujete pomoc s tým, kde začať, kontaktujte nás na tel. č.: +421 32 77 100 20 alebo mailom: predaj@comtec.sk
Pridaj komentár