Novinky
6/8/2021

Mýty o kybernetickej bezpečnosti

Vedieť, že „mýty o kybernetickej bezpečnosti sú iba ilúzie“, je prvým krokom k rozvoju zrelosti v oblasti kybernetickej bezpečnosti.

1) Investovali sme do sofistikovaných bezpečnostných nástrojov, takže sme v bezpečí

Organizácie sa bežne mýlia, že investície do špičkových bezpečnostných nástrojov a riešení im môžu pomôcť vybudovať neporaziteľný štít medzi ich sieťami a počítačovými zločincami. Sofistikované riešenia kybernetickej bezpečnosti sú určite nevyhnutnou súčasťou zabezpečenia vášho podnikania, ale nebudú vás chrániť pred všetkým. Bezpečnostné nástroje a riešenia sú plne účinné iba vtedy, ak sú vhodne nakonfigurované, monitorované, udržiavané a integrované do celkových bezpečnostných operácií.

2) Pravidelne vykonávame penetračné testy

Mnoho podnikateľov predpokladá, že môžu predchádzať rizikám kybernetickej bezpečnosti, pretože pravidelne vykonávajú penetračné testy. Ale penetračný test je neefektívny, pokiaľ organizácia nedokáže zvládnuť a napraviť zraniteľné miesta a medzery v ich bezpečnostnom postoji zistené počas testu. Organizácia by navyše mala zvážiť rozsah testu, či už pokrýva celú sieť, a umožňuje presnú replikáciu najbežnejších kybernetických hrozieb .

 

3) Na zaistenie bezpečnosti podnikania stačí zostať v súlade s priemyselnými predpismi

Dodržiavanie predpisov o priemyselných údajoch je nevyhnutné pre podnikanie, budovanie dôvery a predchádzanie právnym následkom. Predpisy však často prispievajú iba minimálnym počtom bezpečnostných postupov. Dodržiavanie predpisov neznamená, že ste v bezpečí. Organizácie musia zvážiť, či sú predpisy dostatočne významné a ich rozsah zahŕňa všetky kritické systémy a údaje.

 

4) Poskytovateľ zabezpečenia tretej strany zabezpečí všetko

Aj keď firma v oblasti kybernetickej bezpečnosti preberá zodpovednosť za vykonávanie a prehodnocovanie bezpečnostných politík s cieľom zaistiť bezpečnosť spoločnosti, je nevyhnutné, aby ste pochopili kybernetické riziká pre vašu organizáciu a spôsob ich riešenia. Bez ohľadu na schopnosti a poverenia poskytovateľa zabezpečenia máte právnu a etickú zodpovednosť za zabezpečenie kritických aktív. Zaistite, aby vás poskytovateľ zabezpečenia informoval o svojich bezpečnostných rolách, zodpovednostiach a schopnostiach a akýchkoľvek porušeniach.

 

5) Mali by sme zabezpečiť iba aplikácie orientované na internet

Organizácie musia zabezpečiť svoje aplikácie orientované na internet. Nemalo by to byť však ich jediné zameranie. Napríklad môže dôjsť k ohrozeniu celého IT systému vašej organizácie, ak zamestnanec omylom použije infikovanú jednotku flash. Organizácie by preto mali mať primerané kontroly na predchádzanie a riešenie zasvätených osôb.

 

6) Nikdy sme nezažili kybernetický útok, takže naša bezpečnostná pozícia je dostatočne silná

Kybernetické hrozby neustále rastú v zložitosti a organizácie sa musia neustále usilovať o kybernetickú bezpečnosť. Cieľom nie je dosiahnuť dokonalé zabezpečenie, ale mať strategickú výhodu ktorá pomôže rýchlo reagovať na bezpečnostný incident a zmierniť ho skôr, ako spôsobí veľké škody.

7) Za bezpečnosť zodpovedá oddelenie IT

Je nesporné, že IT oddelenie má veľkú zodpovednosť za riadenie kybernetickej bezpečnosti organizácie. Nemalo by však niesť výlučnú zodpovednosť za bezpečnosť. Pretože narušenie bezpečnosti môže mať potenciálne a dlhodobé účinky na celé podnikanie, je za skutočnú pripravenosť na kybernetickú bezpečnosť zodpovedný každý zamestnanec.

8) Dosiahli sme úplnú kybernetickú bezpečnosť

Kybernetická bezpečnosť je skôr prebiehajúcim procesom ako výsledkom. Nové, inovatívne a sofistikované kybernetické útoky sa vyvíjajú v priebehu času a vašu organizáciu neustále vystavujú riziku. Musíte teda neustále monitorovať kritické aktíva, vykonávať interné audity a kontrolovať bezpečnostné politiky. Organizácia by mala začleniť postupy kybernetickej bezpečnosti do kľúčových obchodných procesov a investovať do neustáleho aktualizovania.

9) Je nepravdepodobné, že by sme boli svedkami narušenia bezpečnosti

Mnoho organizácií predpokladá, že je nepravdepodobné, že by došlo k narušeniu bezpečnosti kvôli odvetviu, v ktorom sa pohybuje, alebo kvôli svojej obchodnej povahe. Naproti tomu je veľmi pravdepodobné, že každý podnik v určitej fáze utrpí narušenie bezpečnosti, takže buďte pripravení. Každá organizácia musí byť pripravená rýchlo reagovať na kybernetické útoky a mať plán reakcie na incidenty, aby sa mohol znížiť vplyv na podnikanie.