Nowoczesne organizacje zdają sobie sprawę, że cyberbezpieczeństwo jest kluczowym problemem. Częstotliwość i stopień zaawansowania cyberataków wzrosła, a w pierwszej połowie 2019 roku odnotowano 3813 naruszeń danych, co stanowi wzrost o 54% w porównaniu z rokiem poprzednim. W świetle zmian struktury siły roboczej związanych z COVID-19 i nieplanowanego przejścia do środowisk pracy zdalnej, które mogą nie być obsługiwane przez odpowiednią infrastrukturę, firmy stały się jeszcze bardziej podatne na ataki w 2020 r. Chociaż przedsiębiorstwa wiedzą, że ochrona cyberbezpieczeństwa jest niezbędna do chronią swoje firmy, wielu wyobraża sobie protokoły cyberbezpieczeństwa jako podejście zorientowane na zgodność z przepisami branżowymi i rządowymi, zamiast patrzeć na nie z poziomu analizy ryzyka.
Wiele branż podjęło już odpowiednie środki w celu określenia minimalnych norm zgodności z przepisami, by chronić dane online firm i konsumentów. Jednak inteligentne organizacje idą jeszcze dalej, wdrażając skoncentrowane na ryzyku podejście do monitorowania i zarządzania cyberbezpieczeństwem. Co więc oznacza przyjęcie bardziej opartego na ryzyku podejścia do cyberbezpieczeństwa, zamiast skupiania się na zgodności? Koncentrując się na zgodności, przyglądamy się swoim zasadom, standardom, umowom, przepisom i wymaganiom prawnym przez określony obiektyw, aby ocenić, czy spełniają one standardy zgodności. To podejście ma kilka zalet: jest łatwe do naśladowania, łatwe do zrozumienia oraz istnieje możliwość skorzystania z listy kontrolnej, aby sprawdzić, jak dobrze działa dana organizacja.
Zamiast tego jednak, stosując podejście analizy ryzyka, można użyć wzoru do budowania programu, który koncentruje się na takich sprawach jak:
- Profil ryzyka: Jak podatna jest dana firma na ryzyko i jakiego rodzaju jest to ryzyko?
- Apetyt na ryzyko: jaki poziom ryzyka jest akceptowalny i ile jest się skłonnym zainwestować, aby je ewentualnie ograniczyć?
- Zobowiązania dotyczące zgodności: jakie przepisy branżowe powinny zostać wprowadzone?
Należy jednak mieć na uwadze, że ryzyko cybernetyczne nie powinno opierać się na silosach. Inne działy często potrzebować będą odpowiednich szkoleń i edukacji w zakresie rozwiązywania problemów związanych z cyberbezpieczeństwem. Solidny proces zarządzania ryzykiem cybernetycznym opiera się na narzędziach do automatyzacji i analizy danych, aby mieć pewność, że zespół przez cały czas świadomy będzie stanu istniejących zagrożeń i że będzie możliwe natychmiastowe wdrożenie strategii łagodzenia skutków działania.
Jak można łatwo dostrzec, w przypadku nagłych zmian w kulturze pracy wywołanych przez COVID-19, ważne jest, aby zdawać sobie sprawę z potencjalnych zagrożeń i słabych punktów. Pozwoli to ustalić priorytety monitorowania i łagodzenia skutków niespodziewanego zdarzenia, zamiast tworzenia planu ad hoc.
Pełna publikacja na dany temat jest już dostępna i można ją pobrać online całkowicie bezpłatnie. Publikacja jest w j. angielskim.
Zapraszamy do lektury!