Firmy nie są pewne swoich strategii walki z cyberzagrożeniami. Jak zarządzać ryzykiem cybernetycznym?

Głównym celem strategii bezpieczeństwa organizacji jest zbudowanie cyberodporności. Dlatego tak ważną rolę odgrywają w nich nie tylko profilaktyka i wykrywanie zagrożeń, ale także przygotowanie do incydentów, reakcja na nie i eliminowanie ich skutków. Tymczasem - jak wynika z raportu Barracuda Networks - tylko 43% firm uważa, że skutecznie radzi sobie z ryzykiem cybernetycznym.

Budowanie cyberodporności firmy jest złożonym procesem angażującym ludzi oraz technologie. Jego celem jest podniesienie zdolności organizacji do zapobiegania, wykrywania i reagowania na cyberataki.

Zarządzanie bezpieczeństwem jest długofalowym procesem, który zmienia się w czasie i dostosowuje do aktualnej sytuacji firmy oraz do ewoluującego krajobrazu zagrożeń. Ciągła ocena ryzyka, aktualizowanie zabezpieczeń i polityk, szkolenia pracowników są niezbędne do tego, by chronić systemy, dane i tajemnice handlowe. To dlatego zarządzanie bezpieczeństwem powinno być traktowane priorytetowo i stać się ważnym elementem strategii całej organizacji

Mateusz Ossowski,

CEE Channel Manager w firmie Barracuda Networks

Skuteczne zarządzanie bezpieczeństwem obejmuje między innymi przygotowanie i wdrożenie spójnych polityk i programów bezpieczeństwa oraz strategii reagowania na incydenty, a także inwestycje w szkolenia i podnoszenie umiejętności pracowników w zakresie identyfikowania zagrożeń. Z międzynarodowego badania Barracuda Networks „Cybernomics 101” wynika, że wiele organizacji ma dziś trudności z osiągnięciem tych celów.

Cybernomics 101 - jak firmy radzą sobie z cyberryzykiem?

• Tylko 43% ankietowanych organizacji uważa, że skutecznie potrafi radzić sobie z ryzykiem cybernetycznym.
• Około 10% firm nie ma planu reagowania na incydenty, do którego mogłyby sięgnąć w przypadku udanego włamania.
• 35% ankietowanych z mniejszych firm twierdzi, że kadra zarządzająca nie postrzega ataków cybernetycznych jako istotnego ryzyka.
• 25% ankietowanych z mniejszych podmiotów przyznaje, że kadra zarządzająca nie jest na bieżąco informowana o zagrożeniach stojących przed organizacją.
• 49% przedsiębiorstw z sektora MSP ma trudności z wdrażaniem elementów polityk bezpieczeństwa w swojej firmie, takich jak silne uwierzytelnianie czy kontrola dostępu.
• 38% większych organizacji zmaga się z problemami budżetowymi w zakresie zarządzania bezpieczeństwem.
• W 35% większych firm brakuje wykwalifikowanych profesjonalistów, którzy mogliby skutecznie zarządzać bezpieczeństwem.
• Jedynie 23% największych firm jest gotowych przetestować swoje plany reagowania na zagrożenie.

Z naszego badania wynika, że w procesie zarządzania bezpieczeństwem w firmach problemem nie są technologie, a ludzie. W organizacjach często brakuje przepływu informacji oraz świadomości sytuacji i ryzyk. Pewną trudnością jest też przyzwyczajenie pracowników do utartych schematów działania. To dlatego przedsiębiorstwa borykają się z wdrożeniem choćby wieloskładnikowego uwierzytelniania. Wyjściem z tej sytuacji jest przede wszystkim budowanie cyberświadomości wśród liderów biznesowych, którzy mogą wpływać na swoje zespoły i dbać o przekazywanie najważniejszych informacji

Mateusz Ossowski,

CEE Channel Manager w firmie Barracuda Networks

Jak ocenić ryzyko?

Firma, które chce zrozumieć, jakim ryzykom w zakresie bezpieczeństwa podlega, powinna zidentyfikować:

Zagrożenia: Okoliczności lub wydarzenia, które mogą zaszkodzić jej działalności oraz integralności jej zasobów. Należą do nich między innymi cyberataki czy naruszenia danych.

Słabe punkty: Słabości w systemach i procedurach, które narażają organizację lub jej aktywa i mogą zostać wykorzystane przez atakujących.

Prawdopodobieństwo: Prawdopodobieństwo wystąpienia danego zagrożenia.

Ryzyko: Potencjalne niekorzystne skutki, w tym między innymi straty finansowe, utrata danych czy szkody wizerunkowe.

Na tej podstawie organizacja może ustalić, jakiego poziomu ochrony potrzebuje. Może też wskazać priorytety, wytypować ryzyka, które wymagają natychmiastowej uwagi, oraz zaplanować dalsze działania i podjąć świadome decyzje dotyczące zarządzania ryzykami i łagodzenia ich skutków.