Informačná bezpečnosť je zodpovednosťou celej organizácie

Téma informačnej bezpečnosti je v posledných rokoch často skloňovaná. Netýka len zabezpečenia informácií a informačných systémov, ale aj prístupu vedenia a potrebnej edukácie zamestnancov vo firmách. Z praxe je totiž známe, že za únik informácií z podniku až v 80 % prípadoch môže práve ľudský faktor; ďalších 20 % predstavujú útoky zvonku.

Je to pochopiteľné, nakoľko vo firmách exponenciálne narastá objem poskytnutých a spracovaných informácií a taktiež aplikácií na prácu s nimi. Je dôležité si uvedomiť aj to, že zamestnanci často pracujú s citlivými údajmi, ktoré môžu podliehať zákonom (ochrana osobných údajov, ochrana utajovaných skutočností, priemyselná bezpečnosť...) či obsahovať firemné know-how. Nejde pritom o zodpovednosť len radových zamestnancov, ale komplexne celej organizácie vrátane vedenia.

Modernizácia predstavuje stále širšiu škálu hrozieb z vonku

Trendy informačnej bezpečnosti hovoria o tom, že zavádzanie inovácií vo firmách môže spôsobovať ich väčšiu zraniteľnosť. Podľa Intel Security sa dokonca v roku 2017 môžeme stretnúť s kybernetickými hrozbami zameranými na:

• hardvér – inovácie, rozvoj, nové oblasti nasadenia,
• vydieračský malware,
• internet vecí – (Priemysel 4.0),
• útoky prostredníctvom systémov pre zamestnancov,
• Cloud (rozvoj využívania týchto služieb),
• automobilový priemysel (technológie, dáta),čierny trh s odcudzenými dátami,
• útoky na integritu (najmä vo finančnom sektore).

Príkladom podcenenia informačnej bezpečnosti je čoraz častejší výskyt prípadov, keď firma doplatila na dôverčivosť zamestnancov a prostredníctvom malware niekto zašifroval firemné súbory. S odstupom času od takto napadnutej firmy za sprístupnenie zašifrovaných dokumentov požadoval útočník nemalú čiastku peňazí.

Ako sa vo firmách najčastejšie podceňuje informačná bezpečnosť?

• Vo firme je zaužívaná predstava zamestnancov, že problém zmizne, pokiaľ je ignorovaný.
• Uplatňujú sa krátkodobé reaktívne riešenia bez analýzy príčin, čo má za dôsledok opätovné objavenie sa problému v relatívne krátkom čase.
• Podceňuje sa hodnota podnikových informácií a toho, akým aktívom je dobrá povesť organizácie.
• Zamestnanci sa spoliehajú na technické riešenia (napr. firewall).
• Nezvládnu sa prevádzkové aspekty bezpečnosti: zavádzanie nedostatočných riešení a nesledovanie výsledkov riešení.
• Manažment podceňuje následky zabezpečenia informačnej bezpečnosti.
• Bezpečnosť informácií, resp. správa infraštruktúry, sa zverí neškoleným pracovníkom.

Ako vyriešiť otázku bezpečnosti informácií? Myslite systémovo.

Ľudia predstavujú najväčšiu hodnotu firmy, ale z pohľadu bezpečnosti informácií tak isto aj veľké riziko. Logicky tak v rozrastajúcich sa spoločnostiach vzniká dopyt po riešeniach, ktoré ho eliminujú. Nie je žiadnou novinkou, že jedným z efektívnych riešení, ako tomu zabrániť, je mať vo firme správne zavedený systém manažérstva.

Zavedenie štandardov je celosvetovým trendom v riadení informačnej bezpečnosti. Uznávanou normou pre túto oblasť je ISO/IEC 27001, ktorú firmy a verejný sektor využívajú čoraz častejšie. Práve zaužívanie pravidiel môže pomôcť organizácii spravovať a chrániť všetky cenné informačné aktíva. Či už sa jedná o útoky z vonku organizácie, alebo škody z úniku informácií zapríčinené ľudským faktorom.

 „Podľa prieskumu magazínu Computer Weekly takmer 90 % spoločností, ktoré implementovali princípy ISO/IEC 27001 do svojich procesov, uviedlo, že formálna certifikácia zlepšila zachovanie kontinuity ich prevádzky, 85 % uviedlo, že sa minimalizovali škody z bezpečnostných udalostí a 53 % uviedlo, že zavedenie normy prispelo k vyššej návratnosti investícií.“

Norma ISO/IEC 27001

Normu ISO/IEC 27001 celosvetovo implementujú spoločnosti, pre ktoré je ochrana informácií rozhodujúca. Okrem interných prínosov tým zvyšujú aj dôveryhodnosť voči obchodným a technologickým partnerom.

Prínosy zavedenia a certifikácie podľa normy ISO/IEC 27001:

• prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti,
• zlepšuje porozumenie obchodných aspektov, dáva istotu, že investície do bezpečnosti informácií boli nasmerované efektívne,
• nezávisle potvrdzuje, že organizačné riziká sú náležite identifikované prostredníctvom posudzovania obchodných rizík,
• pravidelné hodnotenie procesov vám pomôže zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje výkon,
• najviac zo všetkého prináša dôvernosť, motivuje vedenie a tiež tým môžete podporiť vnímanie bezpečnosti a ochrany zverených informácií a citlivých údajov vašimi zákazníkmi.