Nie veľa ľudí naozaj rozumie, čo kybernetická bezpečnosť vlastne je. A táto nevedomosť prináša so sebou mnohé, dnes už pevne zakorenené mýty. Nanešťastie, sú to práve nesprávne domnienky, ktoré tvoria hlavnú prekážku k správnemu prístupu spoločností ku kybernetickej bezpečnosti.
Nasledovný zoznam objasňuje, čo kybernetická bezpečnosť rozhodne nie je.
Mýtus č.1: Všetko je to o IT
Predstavte si nasledovný scenár: Nespokojný systémový administrátor úmyselne znefunkční kľúčovú aplikáciu, čím spôsobí vymazanie najdôležitejších databáz.
Je toto IT problém? Rozhodne nie. Skôr je to problém HR. Dalo sa tomu zabrániť IT ochranou? Ťažko, osoba v tejto pozícii potrebovala priamy prístup k databázam. Riešenie ako zamedziť takémuto problému leží mimo sféry technológií a týka sa skôr toho, ako zamestnávateľ vyberá pracovníkov, ako na nich dohliada, aké zmluvy podpísal, ako sa k zamestnancovi správajú vo firme, atď.
Nechápte to však nesprávne – informačné technológie a ochrana sú extrémne dôležité v rámci kyberbezpečnosti, ale sami osebe nie sú dostatočné. Kľúčové je, aby boli správne kombinované s ďalšími nástrojmi ochrany.
Mýtus č.2: Top manažmentu sa kybernetická bezpečnosť netýka
Pravdepodobne ste si vedomí, že ochranné prvky nemôžu byť implementované bez peňazí a pracovnej sily. Ak ale manažéri vo firme nie sú presvedčení, že táto ochrana stojí za tie investície, nebudú do nej investovať. Iniciatíva tak stroskotá.
Okrem toho, ak vrcholoví predstavitelia nedodržiavajú bezpečnostné pravidlá, a napríklad zabudnú na letisku laptop (kde majú osobné údaje alebo detaily kľúčových projektov), všetky ostatné nástroje ochrany budú márne.
Top manažéri sú veľmi dôležitou súčasťou kybernetickej bezpečnosti.
Mýtus č.3: Najväčšia časť investícií pôjde do technológií
Omyl. Väčšina spoločností už má všetky potrebné technológie. Čo väčšina spoločností ale nemá sú pravidlá, ako používať technológie bezpečne. Je to ako kúpiť si úplne nové krásne BMW a používať ho len ako luxusný prostriedok na doručovanie pizze.
Informácia je chránená vtedy, keď každý, kto má ku nej prístup vie, čo povolené je a čo povolené nie je, a kto presne je zodpovedný za ktorú časť informácie alebo časť zariadenia. Toto sa dá dosiahnuť formuláciou jasných pravidiel a postupov, tréningom, vzdelávaním, atď.
Zo skúseností sa dá povedať, že investície do technológií predstavujú menej ako polovicu potrebných investícií. V niektorých prípadoch to môže byť dokonca menej ako 10% zdrojov. Najviac zdrojov smeruje do formulácie pravidiel a postupov, tréningov a osvety.
Mýtus č.4: Investície do kyberbezpečnosti sú nenávratné
Áno, bezpečnosť stojí peniaze a je veľmi ťažké vyčísliť, koľko ušetríte na útoku, ktorý sa nestal. Ale celá myšlienka kyberbezpečnosti spočíva v znížení nákladov spojených s bezpečnostnými incidentmi. Ak sa podarí znížiť počet a rozsah bezpečnostných incidentov, ušetríte peniaze. Vo väčšine prípadov sú úspory oveľa väčšie ako cena za ochranu, takže z kyberbezpečnosti budete “profitovať”.
Mýtus č.5: Kyberbezpečnosť je jednorazová záležitosť
Nesprávne. Kyberbezpečnosť je neustály proces. Ak napríklad vo firme zavediete mechanizmus reakcie na incidenty, kde zamestnanec musí hlásiť každý bezpečnostný útok vedúcemu informačnej bezpečnosti a tento pracovník odíde, očividne nedáva zmysel, aby takéto telefonáty chodili na jeho mobil. Musíte aktualizovať procedúru, software, zariadenie, dohody atď. A toto je práca, ktorá nekončí.
Mýtus č.6: Pravidlá riešia problém
Ani kopa protokolov, pravidiel a procedúr neznamená, že zamestnanci sa im automaticky podriadia.
Bezpečnosť je zvyčajne veľká vec a úprimne, ľudia neradi menia zaužívané postupy. Miesto starého dobrého hesla “12345”, treba zrazu používať heslo, ktoré má 8 písmen, aspoň jednu číslicu a jedno veľké písmeno. A meniť ho každých 90 dní. Je veľmi pravdepodobné, že zamestnanci sa budú brániť zmenám a budú hľadať spôsoby, ako sa vyhnúť novým pravidlám. Takže treba nájsť spôsob, ako prekonať ich odpor.
Kľúčom sú ľudia
Hlavná myšlienka teda spočíva v tom, že ak premýšľate o kybernetickej bezpečnosti, nemali by ste skočiť rovnými nohami do projektov bez poriadnej predprípravy. Predpríprava znamená aj vysvetliť lídrom (a mnohým ďalším) čo kyberbezpečnost nie je. Ak teda pracujete v oblasti kybernetickej bezpečnosti a chcete dotiahnuť projekt do úspešného konca, budete sa v prvom rade musieť potýkať nie s technológiami, ale s ľuďmi a ich predstavami.
Inými slovami, kyberbezpečnosť je viac o práci s ľuďmi ako s prístrojmi.
Zdroj:
www.defensesystems.com/Articles/2014/03/17/Kosutic-6-myths-of-cybersecurity.aspx?admgarea=DS&Page=1&m=1