Bezpečnostní strategii firem v zásadě vytvářejí média
Spojitost mezi kybernetickými útoky a výdaji na bezpečnost je více než zřejmá.
Krátce po útoku výdaje na bezpečnost vzrostou, rychle se implementují nějaká bezpečnostní řešení a poté, co celé to mediální šílenství odezní, tak začnou výdaje na bezpečnost zase klesat. Ostatně nejsem sám, kdo sdílí tento názor.
Když se nad tím zamyslíte, tak je v podstatě možné konstatovat, že bezpečnost ve většině organizací se neodvíjí od výše rizik a snahy je zvládat, ba dokonce ani od legislativních požadavků a snahy být s nimi v souladu, nýbrž od toho, kolik pozornosti je té či oné kauze věnováno v médiích. Bohužel, protože řízení bezpečnosti postavené na obou těchto přístupech je zpravidla to nejlepší.
Rozhodování vrcholového managementu a to i v těch největších firmách, byť to zní možná trochu absurdně, v mnoha případech podstatě řídí masmédia. Na základě článků a televizních výstupů renomovaných bezpečnostních expertů se formuje přesvědčení managementu o akutnosti daného problému, jeho nutnosti jej řešit a následně padá i impulzivní rozhodnutí o navýšení rozpočtu na bezpečnost a nákupu bezpečnostního řešení, které doporučí nějaká ta narychlo sestavená komise.
Dochází tak k tomu, že jsou medializovány jen některé útoky a je otázka, zda se jedná o náhodu anebo je to marketingově řízená aktivita s cílem nabídnout a prodat konkrétní bezpečnostní řešení. (Vůbec bych se tomu nedivil.) Možná si říkáte, že na tom přeci není nic špatného, že je to naopak dobře, když se na bezpečnost, a třeba i díky nějaké té reportáži, vyčlení více peněz.
Ovšem není tomu tak, protože bezpečnost, pokud má plnit svoji funkci, musí být nedílnou součástí firemní kultury a podnikových procesů, a musí se jí dostávat trvalé podpory ze strany vrcholového managementu a zaměstnanci musí disponovat i odpovídajícím bezpečnostním povědomím.
Jednorázové a tedy krátkodobé navýšení investic do bezpečnosti je v podstatě jen taková dotace a to se všemi negativy, která povede v delším období jedině ke zhoršení stavu a celkovému zaostávání bezpečnosti organizace. Není totiž žádný důvod, proč by tomu mělo být v bezpečnosti jinak.
Organizace, která bezpečnost buduje průběžně a jako nedílnou součást své firemní kultury, a nenechá se ovládat teatrálními mediálními výstupy nejrůznějších bezpečnostních guru, má přibližně vyrovnaný nebo mírně rostoucí rozpočet a je schopna tak pružně reagovat na měnící se situaci v kyberprostoru.
V organizaci, kde došlo k náhlému navýšení rozpočtu na bezpečnost a k nákupu HW, SW a služeb, jejichž provoz také něco stojí a přímo se nepodílí na zisku, pak začne management své výdaje na ni postupně snižovat. Logicky, protože k onomu navýšení došlo jen díky falešnému impulsu zvenčí, nikoliv proto, že by byl o této nutnosti management sám přesvědčen. A až přijde další kybernetický útok, tak na něj opět daná organizace nebude připravena.
Nestačí jen nakoupit (nové) firewally, někdo je musí i spravovat. Nestačí jen provést bezpečnostní školení zaměstnanců, někdo musí jejich odolnost soustavně trénovat. Nestačí jen sepsat bezpečnostní politiku, někdo ji musí i implementovat, kontrolovat a vynucovat. K tomu však mnohdy nedochází a po počátečním nadšení a masivní investici se management ukolébá falešným pocitem bezpečí.
Krátce po dostatečně medializovaném útoku anebo dokonce i po přímém útoku na danou organizaci popadne její management záchvat aktivity a snaha daný bezpečnostní problém řešit. Tato horečnatá aktivita, doprovázená rychlými a nekoncepčními rozhodnutími však naštěstí netrvá dlouho, ale bohužel s jejím poklesem záhy klesají i výdaje na bezpečnost.
Problém spočívá v tom, že management prostě nevnímá situaci v kyberprostoru a v něm probíhající kybernetické útoky jako setrvalý stav, ale stále jen jako jakousi anomálii, jakou je třeba povodeň nebo požár, proti kterému stačí přijmout jednorázové opatření a pak se pojistit, kdyby k němu přeci jen zase došlo a dál to neřešit.
Rozdíl je však v tom, že kybernetické útoky probíhají v kyberprostoru podstatě neustále, a jen se o nich tolik nemluví a jen některým útokům se dostane odpovídající mediální pozornosti. Tuto skutečnost si bohužel plně neuvědomují ani pojišťovny, protože jinak by nemohlo být pojištění kybernetických rizik takové, jaké je.
Schází nám skutečně nezávislé a objektivní zpravodajství ohledně toho, co se děje v kyberprostoru, a něco, čemu se říká cyber threat intelligence, zkr. CTI. A byť je na trhu spousta firem, co CTI umí, tak příslušné informace z nejrůznějších důvodů nesdílí, informace se tak nikde nesoustředí a i stát v této roli selhává.
ČERMÁK, Miroslav, 2020. Bezpečnostní strategii firem v zásadě vytvářejí média. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bezpecnostni-strategii-firem-v-zasade-vytvareji-media/. [citováno 08.12.2024].
Štítky: kybernetická bezpečnost
K článku “Bezpečnostní strategii firem v zásadě vytvářejí média” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.