Firmy nie potrafią walczyć cyberzagrożeniami?

Przeczytaj także: Cyberbezpieczeństwo: co 4. firma nie wie, że dyrektywa NIS2 ją dotyczy

Budowanie cyberodporności firmy jest złożonym procesem angażującym ludzi oraz technologie. Jego celem jest podniesienie zdolności organizacji do zapobiegania, wykrywania i reagowania na cyberataki.

Zarządzanie cyberbezpieczeństwem jest długofalowym procesem, który zmienia się w czasie i dostosowuje do aktualnej sytuacji firmy oraz do ewoluującego krajobrazu cyberzagrożeń. Ciągła ocena ryzyka, aktualizowanie zabezpieczeń i polityk, szkolenia pracowników są niezbędne do tego, by chronić systemy, dane i tajemnice handlowe.

To dlatego zarządzanie cyberbezpieczeństwem powinno być traktowane priorytetowo i stać się ważnym elementem strategii całej organizacji – wyjaśnia Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Skuteczne zarządzanie bezpieczeństwem obejmuje między innymi przygotowanie i wdrożenie spójnych polityk i programów bezpieczeństwa oraz strategii reagowania na incydenty, a także inwestycje w szkolenia i podnoszenie umiejętności pracowników w zakresie identyfikowania cyberzagrożeń. Z międzynarodowego badania Barracuda Networks „Cybernomics 101” wynika, że wiele organizacji ma dziś trudności z osiągnięciem tych celów.

Cybernomics 101 – jak firmy radzą sobie z cyberryzykiem?

• Tylko 43% ankietowanych organizacji uważa, że skutecznie potrafi radzić sobie z ryzykiem cybernetycznym.
• Około 10% firm nie ma planu reagowania na incydenty, do którego mogłyby sięgnąć w przypadku udanego włamania.
• 35% ankietowanych z mniejszych firm twierdzi, że kadra zarządzająca nie postrzega cyberzagrożeń jako istotnego ryzyka.
• 25% ankietowanych z mniejszych podmiotów przyznaje, że kadra zarządzająca nie jest na bieżąco informowana o zagrożeniach stojących przed organizacją.
• 49% przedsiębiorstw z sektora MSP ma trudności z wdrażaniem elementów polityk bezpieczeństwa w swojej firmie, takich jak silne uwierzytelnianie czy kontrola dostępu.
• 38% większych organizacji zmaga się z problemami budżetowymi w zakresie zarządzania bezpieczeństwem.
• W 35% większych firm brakuje wykwalifikowanych profesjonalistów, którzy mogliby skutecznie zarządzać bezpieczeństwem.
• Jedynie 23% największych firm jest gotowych przetestować swoje plany reagowania na cyberzagrożenie.

Z naszego badania wynika, że w procesie zarządzania bezpieczeństwem w firmach problemem nie są technologie, a ludzie. W organizacjach często brakuje przepływu informacji oraz świadomości sytuacji i ryzyk. Pewną trudnością jest też przyzwyczajenie pracowników do utartych schematów działania. To dlatego przedsiębiorstwa borykają się z wdrożeniem choćby wieloskładnikowego uwierzytelniania. Wyjściem z tej sytuacji jest przede wszystkim budowanie cyberświadomości wśród liderów biznesowych, którzy mogą wpływać na swoje zespoły i dbać o przekazywanie najważniejszych informacji – dodaje Mateusz Ossowski.

Jak ocenić ryzyko?

Firma, które chce zrozumieć, jakim ryzykom w zakresie bezpieczeństwa podlega, powinna zidentyfikować:

• Zagrożenia: Okoliczności lub wydarzenia, które mogą zaszkodzić jej działalności oraz integralności jej zasobów. Należą do nich między innymi cyberataki czy naruszenia danych.
• Słabe punkty: Słabości w systemach i procedurach, które narażają organizację lub jej aktywa i mogą zostać wykorzystane przez atakujących.
• Prawdopodobieństwo: Prawdopodobieństwo wystąpienia danego zagrożenia.
• Ryzyko: Potencjalne niekorzystne skutki, w tym między innymi straty finansowe, utrata danych czy szkody wizerunkowe.

Na tej podstawie organizacja może ustalić, jakiego poziomu ochrony potrzebuje. Może też wskazać priorytety, wytypować ryzyka, które wymagają natychmiastowej uwagi, oraz zaplanować dalsze działania i podjąć świadome decyzje dotyczące zarządzania ryzykami i łagodzenia ich skutków.