Mýty o kybernetickej bezpečnosti

1) Investovali sme do sofistikovaných bezpečnostných nástrojov, takže sme v bezpečí

Organizácie sa bežne mýlia, že investície do špičkových bezpečnostných nástrojov a riešení im môžu pomôcť vybudovať neporaziteľný štít medzi ich sieťami a počítačovými zločincami. Sofistikované riešenia kybernetickej bezpečnosti sú určite nevyhnutnou súčasťou zabezpečenia vášho podnikania, ale nebudú vás chrániť pred všetkým. Bezpečnostné nástroje a riešenia sú plne účinné iba vtedy, ak sú vhodne nakonfigurované, monitorované, udržiavané a integrované do celkových bezpečnostných operácií.

2) Pravidelne vykonávame penetračné testy

Mnoho podnikateľov predpokladá, že môžu predchádzať rizikám kybernetickej bezpečnosti, pretože pravidelne vykonávajú penetračné testy. Ale penetračný test je neefektívny, pokiaľ organizácia nedokáže zvládnuť a napraviť zraniteľné miesta a medzery v ich bezpečnostnom postoji zistené počas testu. Organizácia by navyše mala zvážiť rozsah testu, či už pokrýva celú sieť, a umožňuje presnú replikáciu najbežnejších kybernetických hrozieb .

3) Na zaistenie bezpečnosti podnikania stačí zostať v súlade s priemyselnými predpismi

Dodržiavanie predpisov o priemyselných údajoch je nevyhnutné pre podnikanie, budovanie dôvery a predchádzanie právnym následkom. Predpisy však často prispievajú iba minimálnym počtom bezpečnostných postupov. Dodržiavanie predpisov neznamená, že ste v bezpečí. Organizácie musia zvážiť, či sú predpisy dostatočne významné a ich rozsah zahŕňa všetky kritické systémy a údaje.

4) Poskytovateľ zabezpečenia tretej strany zabezpečí všetko

Aj keď firma v oblasti kybernetickej bezpečnosti preberá zodpovednosť za vykonávanie a prehodnocovanie bezpečnostných politík s cieľom zaistiť bezpečnosť spoločnosti, je nevyhnutné, aby ste pochopili kybernetické riziká pre vašu organizáciu a spôsob ich riešenia. Bez ohľadu na schopnosti a poverenia poskytovateľa zabezpečenia máte právnu a etickú zodpovednosť za zabezpečenie kritických aktív. Zaistite, aby vás poskytovateľ zabezpečenia informoval o svojich bezpečnostných rolách, zodpovednostiach a schopnostiach a akýchkoľvek porušeniach.

5) Mali by sme zabezpečiť iba aplikácie orientované na internet

Organizácie musia zabezpečiť svoje aplikácie orientované na internet. Nemalo by to byť však ich jediné zameranie. Napríklad môže dôjsť k ohrozeniu celého IT systému vašej organizácie, ak zamestnanec omylom použije infikovanú jednotku flash. Organizácie by preto mali mať primerané kontroly na predchádzanie a riešenie zasvätených osôb.

6) Nikdy sme nezažili kybernetický útok, takže naša bezpečnostná pozícia je dostatočne silná

Kybernetické hrozby neustále rastú v zložitosti a organizácie sa musia neustále usilovať o kybernetickú bezpečnosť. Cieľom nie je dosiahnuť dokonalé zabezpečenie, ale mať strategickú výhodu ktorá pomôže rýchlo reagovať na bezpečnostný incident a zmierniť ho skôr, ako spôsobí veľké škody.

7) Za bezpečnosť zodpovedá oddelenie IT

Je nesporné, že IT oddelenie má veľkú zodpovednosť za riadenie kybernetickej bezpečnosti organizácie. Nemalo by však niesť výlučnú zodpovednosť za bezpečnosť. Pretože narušenie bezpečnosti môže mať potenciálne a dlhodobé účinky na celé podnikanie, je za skutočnú pripravenosť na kybernetickú bezpečnosť zodpovedný každý zamestnanec.

8) Dosiahli sme úplnú kybernetickú bezpečnosť

Kybernetická bezpečnosť je skôr prebiehajúcim procesom ako výsledkom. Nové, inovatívne a sofistikované kybernetické útoky sa vyvíjajú v priebehu času a vašu organizáciu neustále vystavujú riziku. Musíte teda neustále monitorovať kritické aktíva, vykonávať interné audity a kontrolovať bezpečnostné politiky. Organizácia by mala začleniť postupy kybernetickej bezpečnosti do kľúčových obchodných procesov a investovať do neustáleho aktualizovania.

9) Je nepravdepodobné, že by sme boli svedkami narušenia bezpečnosti

Mnoho organizácií predpokladá, že je nepravdepodobné, že by došlo k narušeniu bezpečnosti kvôli odvetviu, v ktorom sa pohybuje, alebo kvôli svojej obchodnej povahe. Naproti tomu je veľmi pravdepodobné, že každý podnik v určitej fáze utrpí narušenie bezpečnosti, takže buďte pripravení. Každá organizácia musí byť pripravená rýchlo reagovať na kybernetické útoky a mať plán reakcie na incidenty, aby sa mohol znížiť vplyv na podnikanie.

10) Naše heslá sú dostatočne silné, aby sa zabránilo narušeniu údajov

Organizácie často veria, že ich bežné heslá sú dostatočne silné na to, aby zabezpečili bezpečnosť ich podnikania. Silné postupy pri heslách sú však iba začiatkom. Robustný bezpečnostný systém prichádza s viacvrstvovou obranou. Organizácie musia využívať dvojfaktorovú autentifikáciu a pravidelné sledovanie údajov.

11) Kybernetickí zločinci sa nezameriavajú na malé a stredné podniky

Väčšina malých a stredných podnikov (SMB) si často myslí, že je imúnna voči kybernetickým útokom a porušeniam údajov. Toto je jeden z najlepších mýtov o kybernetickej bezpečnosti, ktorý je potrebné v súčasnosti odhaliť. Podľa nedávnej správy spoločnosti Verizon o vyšetrovaní porušenia údajov je 58 % obetí kybernetických útokov práve malý podnik.

12) Kybernetické hrozby pochádzajú od externých aktérov

Nepopierateľne sú vonkajšie hrozby najdôležitejším záujmom organizácie a mali by sa dôkladne monitorovať. Rovnako nebezpečné sú však aj interné hrozby. Nedbanlivosť, nevedomosť a zlomyseľné správanie zamestnancov robia z vnútorných hrozieb vyššie bezpečnostné riziko ako z vonkajšej strany. V nedávnom indexe spravodajstva o kybernetickej bezpečnosti spoločnosť IBM odhalila, že interní zamestnanci uskutočnili 60% všetkých kybernetických útokov.

Organizácie teda musia intenzívne monitorovať a predchádzať vnútorným hrozbám.

13) Na zaistenie bezpečnosti podnikania stačí antivírusový a antimalvérový softvér

Antivírusový a antimalvérový softvér je bezpodmienečne nevyhnutný na zaistenie bezpečnosti siete a systémov organizácie. Softvér však nebude chrániť celú vašu IT infraštruktúru pred všetkými kybernetickými rizikami. Pre vyspelú kybernetickú bezpečnosť musí organizácia prijať komplexný plán kybernetickej bezpečnosti, ktorý zahŕňa všetko od plánu reakcie na incidenty až po detekciu zasvätených osôb a školenie zamestnancov.

14) Heslo zaisťuje bezpečnú sieť Wi-Fi

V prostrediach vzdialeného pracovného prostredia alebo zdieľaného pracovného priestoru si zamestnanci často myslia, že heslo zaisťuje bezpečnosť ich siete Wi-Fi. Všetky verejné siete Wi-Fi však môžu byť ohrozené, dokonca aj pomocou hesla. Heslá obmedzujú počet používateľov na sieť Wi-Fi. Používatelia v sieti môžu potenciálne získať prístup k citlivým údajom, ktoré sa prenášajú. Zamestnanci by teda mali na zabezpečenie svojich údajov využívať virtuálne súkromné ​​siete (VPN).

15) Okamžite budeme vedieť, či je niektorý z našich systémov napadnutý

V súčasnej digitálnej ére môže trvať mesiace alebo dokonca roky, kým si uvedomíte, že bola narušená vaša kybernetická bezpečnosť a váš počítač bol napadnutý malvérom. Trvalo napríklad štyri roky, kým si gigant Marriott všimol masívneho narušenia údajov, ktoré zverejnilo osobné a finančné informácie ich 500 miliónov hostí.