Wielu respondentów biorących udział w niedawnym badaniu wyraziło zaufanie wobec stosowanych przez nich strategii cyberbezpieczeństwa. Jeśli jednak spojrzeć na skalę niedawnych przypadków naruszenia bezpieczeństwa danych, zaufanie to wydaje się nie mieć odzwierciedlenia w rzeczywistości. Na szczęście jeszcze nie wszystko stracone: zarówno przedsiębiorstwa, jak i rządy państw zaczęły przykładać większą wagę do tego zagadnienia, a świadomość problemu wśród dużych firm cały czas rośnie (choć nie w równym stopniu).
W ramach badania o nazwie „Building Confidence – Facing the Cybersecurity Conundrum” firma Accenture przeprowadziła wśród 2000 dyrektorów ds. bezpieczeństwa ankietę na temat sposobu postrzegania zasad bezpieczeństwa ich firm. Niezwykle duża liczba respondentów wyraziła zaufanie wobec zasad stosowanych przez ich przedsiębiorstwa. Zdaniem ankietowanych w większości firm pomyślnie przebiegła zmiana kultury korporacyjnej uwzględniająca względy bezpieczeństwa. Równie duże było także wsparcie ze strony zarządu/kierownictwa wyższego szczebla w całym procesie.
Zgodność a bezpieczeństwo
Pomimo usprawnień liczba przypadków naruszenia bezpieczeństwa danych wciąż rośnie w alarmującym tempie, osiągając aktualnie punkt krytyczny. Istotny dysonans pomiędzy postrzeganym poczuciem bezpieczeństwa a rzeczywistą zdolnością firm do przeciwdziałania zagrożeniom wynika prawdopodobnie z błędnej interpretacji planu zarządzania bezpieczeństwem oraz nieprawidłowej alokacji budżetu. Wydaje się, że w krytycznych momentach przedsiębiorstwa zadają niewłaściwe pytania, a następnie szukają na nie odpowiedzi. Najpilniejsze wydają się być pytania o stawkę podejmowanych działań i potencjalne obszary inwestycji, przy czym odpowiedzi na nie muszą uwzględniać aspekty bezpieczeństwa. W efekcie możemy dostrzec, że firmy mają spore problemy z całkowitym blokowaniem złośliwych ataków i zapobieganiem naruszeniom bezpieczeństwa. Jak wynika z badania, około jedna trzecia ukierunkowanych ataków prowadzi do pomyślnego naruszenia zabezpieczeń. Najczęstsze problemy są związane ze strategią inwestowania i wynikającym z niej podejściem do bezpieczeństwa: w niektórych przypadkach pilna potrzeba osiągnięcia zgodności kłóci się z działaniami na rzecz zmniejszenia ryzyka, co w efekcie może mieć negatywny wpływ na samą działalność. Warto przy tym pamiętać, że sama zgodność – mimo iż pochłania ogromne zasoby finansowe i organizacyjne – nie zapewnia firmom ochrony.
Skuteczne strategie
Co zatem mogą zrobić organizacje w obliczu istniejących problemów? Jak zostało podkreślone już wcześniej, bardzo duży problem stanowi stosowana często kultura doraźnego „łatania” luk w zabezpieczeniach. Jedynym sposobem na skuteczne rozwiązanie problemu jest przeprowadzenie gruntownej oceny ryzyka, stanowiącej przeciwieństwo podejścia, w którym brane są pod uwagę pojedyncze rozwiązania działające w punktach końcowych – mówi Marketing Manager w G DATA – Robert Dziemianko. Co ciekawe, większość firm nie zna nawet rzeczywistej wartości posiadanych aktywów i nie wie, które z nich należy objąć ochroną – dodaje. Nowoczesna kultura zarządzania ryzykiem może pomóc zespołom ds. bezpieczeństwa zidentyfikować istniejące zagrożenia, a następnie przeprowadzić prostą analizę kosztów i korzyści związanych z inwestycją w poszczególne środki zabezpieczeń.
Co jednak powinno najbardziej dać nam do myślenia, to brak solidnych inicjatyw szkoleniowych. Cyberbezpieczeństwo należy traktować jako jeden z filarów działalności – obszar, w którym duże inwestycje są w stanie zwiększyć poziom świadomości każdego pracownika. Samych pracowników można w tym przypadku nazwać „konsumentami zabezpieczeń” – należycie przygotowani mogą również wspierać zespoły ds. bezpieczeństwa i przyczyniać się do wzrostu poziomu świadomości w obrębie organizacji. Jeśli pracownicy będą na przykład odpowiednio przeszkoleni i świadomi istniejących zagrożeń, ich praca może wspomagać wykrywanie naruszeń i zapobieganie im. Aktywny udział w procesach związanych z bezpieczeństwem przyczyni się tym samym do znacznej poprawy ogólnego stanu zabezpieczeń firmy.
Podsumowując: sam wzrost świadomości zagadnień bezpieczeństwa może znacząco wpłynąć na bezpieczeństwo organizacji, o ile ta jest gotowa, aby skutecznie radzić sobie z zagrożeniami i osiągać coraz większą dojrzałość w tym obszarze.