Většina diskusí o bezpečnosti je rámována kolem hrozeb. Mluví se o phishingu, ransomwaru, útocích řízených umělou inteligencí, vnitřních hrozbách a podobně. Hlavní otázky, které si vedoucí pracovníci v oblasti bezpečnosti kladou, jsou:
- „Je organizace/podnik účinně chráněn před těmito hrozbami?“
- „Dokáže podnik dostatečně chránit sám sebe před více rizikovými faktory?“
Příliš často jsou tyto rizikové faktory zaměřeny výhradně na hrozby. Existuje však jedno zásadní riziko, které vedoucí bezpečnosti nemohou ignorovat – operační riziko.
Operační riziko může mít významný dopad na bezpečnostní oddělení. Například nedostatečná provozní efektivita může způsobit, že i ten nejschopnější tým bude pracovat pod svou optimální úrovní. To pak vede ke zvýšené expozici riziku a pomalejším reakcím.
Opomenutí operačních rizik může být důvodem, proč se společnost stane obětí narušení dat nebo jiného bezpečnostního incidentu – i přes investice do nespočtu špičkových technologií. Operační riziko může vzniknout z několika důvodů. Organizace nemusí používat správné nástroje podle identifikovaného rizika, nemusí brát v úvahu dostupnost zdrojů svých týmů nebo používají nástroj, který neodpovídá jejich prostředí.
„Vedoucí pracovníci v oblasti bezpečnosti často padají do pasti, kdy se příliš spoléhají na reaktivní opatření místo proaktivní prevence hrozeb, což vede k vyčerpání zdrojů a mezerám v obraně,“ říká Milos Blata, ředitel pro Sales Engineering ve společnosti Safetica. „Další častou chybou je nedostatečné stanovení priorit na základě rizika, což vede k přetíženým týmům a nevyužitým zdrojům.“
Tento článek přesouvá pozornost od vnějších hrozeb k vnitřním operacím a popisuje tři klíčová operační rizika, která musí vedoucí bezpečnosti zvládnout, pokud chtějí, aby obrana jejich společnosti v oblasti kybernetické bezpečnosti obstála pod tlakem.
Operační riziko 1: Nedostatek zdrojů
Mnoho společností jednoduše postrádá zdroje k vybudování robustního systému kybernetické bezpečnosti. Nedostatek zdrojů může mít podobu personálu, rozpočtu nebo i chybějícího specializovaného talentu.
Nedostatek zaměstnanců
Nedostatek personálu v oblasti kybernetické bezpečnosti je rozšířený jev. Nedávné poznatky ukazují, že téměř všichni CISO uvádějí, že jejich týmy kybernetické bezpečnosti jsou poddimenzované, přičemž hlavními příčinami jsou zmrazení náboru a rozpočtová omezení. CISO rovněž tvrdí, že nedostatek zaměstnanců vede ke zpožděním a rušení bezpečnostních iniciativ.
Nedostatek personálu ztěžuje pokrytí rozšiřujícího se spektra hrozeb.
Mezery ve zdrojích mohou rovněž vést k mezerám ve správě nástrojů. Samotné nástroje nestačí, pokud nemáte lidi, kteří by je spravovali. I ty nejlepší bezpečnostní nástroje selžou, pokud je nikdo neprovozuje a nesleduje. Čím složitější je prostředí – například v silně regulovaných odvětvích – tím větší tento problém je.
„Jednou z nejčastějších chyb je zavádění kontrol bez vyhodnocení konkrétních případů použití nebo bez zvážení rozsahu,“ říká Daniel Garzon, technický konzultant ve společnosti Safetica. „Důležitost dokumentování procesů a školení týmu pomocí reálných scénářů je často podceňována.“
Nedostatek rozpočtu
Navzdory tomu, že je kybernetická bezpečnost hlavní prioritou organizací, rozpočtové alokace často nestačí. Zpráva o kybernetické bezpečnosti společnosti Mimecast 2024 zjistila, že pouhých 9 % rozpočtu IT bylo určeno na kybernetickou bezpečnost. Třicet šest procent respondentů uvedlo, že nedostatečné financování vedlo k „významným mezerám“ v obraně organizace, a dalších 40 % uvedlo, že rozpočtová omezení je přinutila dělat kompromisy při výběru nástrojů pro sledování hrozeb.
Rozpočtové nedostatky se promítají do bezpečnostních mezer, které mají reálné důsledky. Nejméně 15 % společností po celém světě utrpělo bezpečnostní incidenty přímo v důsledku nedostatečných investic do bezpečnostních nástrojů.
Poslední obětí rozpočtových škrtů bývá školení. Průzkum mezi 600 000 CISO v Evropě, USA, Austrálii a Japonsku ukázal, že 36 % zaznamenalo omezení školení, přičemž 45 % z nich utrpělo narušení dat právě kvůli těmto škrtům.
Při diskusi o rozpočtu je důležité mluvit o nákladech příležitostí a potenciálních ztrátách. V určitém smyslu je přiměřený rozpočet na kybernetickou bezpečnost jako pojištění – bolest pocítíte až tehdy, když ho nemáte.
Vedoucí bezpečnosti musí pracovat na tom, aby tato rizika správně komunikovali, aby jim vedení a finance porozuměli při příštím přehodnocování rozpočtů.
Nedostatek specializovaných odborníků
Nedostatek specializovaných odborníků bývá často přehlíženým faktorem. I společnosti s plně obsazeným týmem pro kybernetickou bezpečnost mohou postrádat odpovídající dovednosti pro zvládnutí moderních útoků. Bezpečnostní týmy musí rozumět rizikům spojeným s AI, pokročilému malwaru a novým taktikám útočníků. Znalosti rychle zastarávají a je stále obtížnější je získat.
Podle studie Workforce 2024 Mezinárodního konsorcia pro certifikaci informační bezpečnosti (ISC2) se 64 % odborníků a rozhodovatelů v oblasti kybernetické bezpečnosti domnívá, že mezery v dovednostech jsou závažnější než nedostatek personálu. Studie také zjistila, že 90 % týmů kybernetické bezpečnosti má nedostatek dovedností.
Nedostatek dovedností v oblasti kybernetické bezpečnosti zvyšuje riziko pro organizaci. Společnost IBM uvádí, že tyto mezery zvýšily průměrné náklady na narušení dat o 1,76 milionu USD.
Jak se mezera v dovednostech dále prohlubuje – a může do roku 2030 dosáhnout 85 milionů pracovníků – měly by se organizace přizpůsobit a investovat do svých stávajících týmů, aby se mezery ve znalostech neproměnily v mezery v bezpečnosti.
Operační riziko 2: Příliš mnoho nástrojů
Všechny nástroje vyžadují čas a zdroje pro správnou správu. Rozrůstání nástrojů kybernetické bezpečnosti zavádí složitost, protože organizace žonglují s desítkami samostatných řešení. Mnoho z nich nabízí překrývající se funkce, což přináší zbytečné výdaje a odčerpává rozpočet z důležitějších oblastí.
Nedostatek integrace mezi nástroji zvyšuje čas potřebný k řízení bezpečnosti organizace, čímž se týmy stávají méně efektivními.
„Aby vedoucí bezpečnosti našli správný nástroj, měli by se zaměřit na řešení, která se dobře integrují s existujícími systémy a pracovními postupy, zajišťují hladké nasazení a minimalizují složitost,“ říká Blata. „Upřednostnění použitelnosti, škálovatelnosti a možností automatizace před funkcemi pro samotné funkce pomáhá vyhnout se přetížení nástroji a snižuje zbytečný hluk.“
Mnoho dodavatelů bezpečnostních řešení o tom mluví jen zřídka, protože jde o třecí bod. Čím méně nástrojů společnost používá, tím méně prodejů dodavatel získá. Roztříštěná prostředí s více dodavateli brzdí automatizaci a vynucují manuální správu, což nutí týmy vyrovnávat se s rostoucí režií. Dodavatelé však tuto nevýhodu zřídka přiznávají.
„Klíčem je zarovnat nástroj s operačními cíli, ne jen s technickými schopnostmi,“ říká Garzon. „Posouzení míry integrace, křivky učení a skutečné hodnoty, kterou týmu přináší, pomáhá vyhnout se řešením, která vytvářejí více hluku než ochrany.“
Příliš mnoho nástrojů nevyhnutelně vede k jednomu ze dvou scénářů:
- Nesoulad s nástroji pro velké podniky. Menší týmy končí používáním nástrojů určených pro velké korporace. Výsledkem je, že utratí 80 % rozpočtu za nástroj, který využijí pouze na 40 %.
- Proliferace bodových řešení. Společnost investuje do více malých řešení, která se zdají vhodná pro menší týmy a rozpočty, ale technologický stack se nafoukne. Správa dodavatelů se pak stává zátěží a tým tráví více času správou nástrojů než jejich používáním.
Operační riziko 3: Nepřipravenost na růst nebo změnu
Organizace musí zajistit, aby se jejich nástroje a platformy kybernetické bezpečnosti rozšiřovaly spolu s růstem společnosti. To musí být součástí strategie od samého počátku, nikoli dodatečně přidávaným prvkem.
Odhadování růstu je vždy náročné, ale váš dodavatel by měl být schopen zvládnout například:
- Expanzi do nových lokalit
- Přidávání infrastruktury
- Velké migrace databází
- Aktualizace nebo změny databází
- Nárůst počtu zaměstnanců
- Zvýšení používání zařízení
Pokud váš dodavatel nedokáže tyto změny zvládnout nebo vyžaduje podepsání nové smlouvy pokaždé, když k nim dojde, vzniknou vám při škálování provozní mezery. Přizpůsobení se těmto změnám zabere více času a vyžaduje více jednání, než je nezbytně nutné. V nejhorším případě budete muset změnit celé řešení, což přináší další problémy.
Mít jistotu, že vaše nástroje a řešení se přizpůsobí a porostou spolu s vaší společností, je zásadní. Volba škálovatelných a adaptivních platforem – například jednotných bezpečnostních platforem – pomáhá tohoto cíle dosáhnout a poskytuje proaktivnější ochranu.
Organizace s jednotnou platformou detekují bezpečnostní incident v průměru o 72 dní dříve a zvládnou jej o 84 dní rychleji, uvádí zpráva společnosti IBM.
Efektivita a sladěný tým by měly být součástí vaší strategie kybernetické bezpečnosti
Hlavními prioritami vedoucího bezpečnosti jsou vždy řízení rizik, proaktivní obrana a zajištění schopnosti reagovat na incidenty. Toho však lze dosáhnout pouze se schopným týmem, jehož výkonnost závisí na tom, jak rychle a efektivně dokáže jednat.
Je snadné upadnout do pasti složitosti dodavatelů, přetížení nástroji nebo jejich nesprávného výběru. Organizace by se měly zaměřit na nástroje, které upřednostňují automatizaci, omezují manuální úkony a poskytují akční data – ne pouze data pro data.
„Přetížení nástroji má tendenci fragmentovat viditelnost a vytvářet redundance,“ říká Garzon. „Stejně tak, pokud je zapojeno více dodavatelů, je zásadní nastavit jasnou architekturu a definovat odpovědnosti.“
Právě proto společnost Safetica vyvinula svou cloudovou, na shodě založenou platformu Intelligent Data Security, která konsoliduje nástroje a řeší nedostatek zdrojů, s nímž se týmy bezpečnosti nevyhnutelně potýkají.
Chcete-li se o naší platformě dozvědět více, kontaktujte nás a získejte bezplatnou ukázku.