Základy bezpečnosti: největší slabina organizací
Základy bezpečnosti: největší slabina organizací
Kybernetická bezpečnost je v mnoha organizacích stále vnímána jako sekundární téma. Častým předpokladem je, že společnost není pro útočníky dostatečně atraktivní, a proto není nutné do bezpečnosti systematicky investovat.
Tento přístup je však zásadně chybný. Útočníci dnes ve velké míře nevybírají cíle selektivně, ale využívají automatizované kampaně, které zasahují široké spektrum organizací bez ohledu na jejich velikost či obor.
Mnoho společností se zároveň mylně domnívá, že implementace základních technických opatření – jako jsou firewally, VPN, segmentace sítě nebo zálohování – znamená dostatečnou úroveň ochrany. Ve skutečnosti jde pouze o dílčí prvky, které bez návaznosti na řízení rizik a procesní bezpečnost neposkytují adekvátní ochranu.
Typickým příkladem je oblast záloh. Organizace sice zálohy mají, ale neřeší jejich integritu a odolnost vůči útokům (např. ransomware), ani jejich reálnou použitelnost v krizové situaci.
Zásadní slabinou bývá absence strukturovaného přístupu k řízení dopadů a kontinuity. Mnoho organizací nemá:
Bez těchto prvků organizace nedokáže efektivně reagovat na bezpečnostní incident a minimalizovat jeho dopady.
Z praxe navíc opakovaně vyplývá, že IT a bezpečnostní týmy často narážejí na nedostatečnou podporu ze strany managementu, zejména z pohledu rozpočtu. Investice do bezpečnosti jsou odkládány, protože jejich přínos není okamžitě viditelný. Ve chvíli, kdy dojde k incidentu, však bývají vzniklé škody – finanční, reputační i provozní – násobně vyšší než náklady na preventivní opatření.
Dlouhodobě největší slabinou ale zůstává lidský faktor. Stačí jediný úspěšný phishingový útok nebo nevhodná správa přístupových údajů (např. používání stejného hesla napříč systémy) a útočník získá vstupní bod do infrastruktury organizace.
Bezpečnost proto nelze stavět pouze na technologiích. Klíčová je kombinace:
Organizace, které tuto rovnováhu podcení, zůstávají zranitelné i přes zdánlivě „implementovaná“ bezpečnostní opatření.
Zkušenosti z praxe ukazují, že organizace často vědí, co by měly dělat, ale chybí jim kapacita, know-how nebo strukturovaný přístup k implementaci. Právě v této oblasti může externí partner významně urychlit a zkvalitnit celý proces.
BDO podporuje organizace zejména v těchto oblastech:
Cílem není pouze „splnit požadavky“, ale nastavit bezpečnost tak, aby byla funkční, udržitelná a odpovídala reálným rizikům organizace.
Compliance sama o sobě nezajišťuje bezpečnost. Pokud zůstane pouze na úrovni dokumentace a formálního splnění požadavků, nepřináší organizaci reálnou hodnotu.
V praxi se stále setkáváme s tím, že organizace vnímají implementaci standardů, jako je například ISO 27001, primárně jako „checkbox“ – tedy nástroj pro formální prokázání se vůči zákazníkům nebo regulatorním požadavkům. Výsledkem je často stav, kdy existuje rozsáhlá dokumentace, ale reálné procesy, řízení rizik ani bezpečnostní opatření neodpovídají deklarovanému stavu.
Tento přístup je však zásadně chybný. Útočníci dnes ve velké míře nevybírají cíle selektivně, ale využívají automatizované kampaně, které zasahují široké spektrum organizací bez ohledu na jejich velikost či obor.
Mnoho společností se zároveň mylně domnívá, že implementace základních technických opatření – jako jsou firewally, VPN, segmentace sítě nebo zálohování – znamená dostatečnou úroveň ochrany. Ve skutečnosti jde pouze o dílčí prvky, které bez návaznosti na řízení rizik a procesní bezpečnost neposkytují adekvátní ochranu.
Typickým příkladem je oblast záloh. Organizace sice zálohy mají, ale neřeší jejich integritu a odolnost vůči útokům (např. ransomware), ani jejich reálnou použitelnost v krizové situaci.
Zásadní slabinou bývá absence strukturovaného přístupu k řízení dopadů a kontinuity. Mnoho organizací nemá:
- zpracovanou Business Impact Analysis (BIA)
- definované kritické systémy a procesy
- stanovené parametry RPO a RTO
- připravené a otestované incident response a disaster recovery scénáře
Bez těchto prvků organizace nedokáže efektivně reagovat na bezpečnostní incident a minimalizovat jeho dopady.
Z praxe navíc opakovaně vyplývá, že IT a bezpečnostní týmy často narážejí na nedostatečnou podporu ze strany managementu, zejména z pohledu rozpočtu. Investice do bezpečnosti jsou odkládány, protože jejich přínos není okamžitě viditelný. Ve chvíli, kdy dojde k incidentu, však bývají vzniklé škody – finanční, reputační i provozní – násobně vyšší než náklady na preventivní opatření.
Dlouhodobě největší slabinou ale zůstává lidský faktor. Stačí jediný úspěšný phishingový útok nebo nevhodná správa přístupových údajů (např. používání stejného hesla napříč systémy) a útočník získá vstupní bod do infrastruktury organizace.
Bezpečnost proto nelze stavět pouze na technologiích. Klíčová je kombinace:
- funkčních procesů
- odpovídajících technických opatření
- systematického zvyšování povědomí uživatelů
Organizace, které tuto rovnováhu podcení, zůstávají zranitelné i přes zdánlivě „implementovaná“ bezpečnostní opatření.
Jak může pomoci BDO:
Zkušenosti z praxe ukazují, že organizace často vědí, co by měly dělat, ale chybí jim kapacita, know-how nebo strukturovaný přístup k implementaci. Právě v této oblasti může externí partner významně urychlit a zkvalitnit celý proces. BDO podporuje organizace zejména v těchto oblastech:
- Vzdělávání a zvyšování povědomí zaměstnanců – cílená školení zaměřená na reálné hrozby, včetně simulovaných phishingových kampaní
- Business Impact Analysis (BIA) – identifikace kritických procesů a systémů, stanovení dopadů a priorit
- Nastavení kontinuity podnikání (BCM) a disaster recovery plánů (DRP) – definice postupů pro zvládání krizových situací a obnovu provozu
- Incident response (IR) plány – příprava organizace na efektivní reakci na bezpečnostní incidenty
- Implementace a rozvoj ISMS – tvorba a optimalizace bezpečnostní dokumentace v souladu s požadovanými standardy (např. ISO 27001)
- Interní audity a GAP analýzy – objektivní vyhodnocení aktuálního stavu bezpečnosti a identifikace slabin vůči standardům i best practice
Cílem není pouze „splnit požadavky“, ale nastavit bezpečnost tak, aby byla funkční, udržitelná a odpovídala reálným rizikům organizace.
Závěr: od compliance k reálné odolnosti
Compliance sama o sobě nezajišťuje bezpečnost. Pokud zůstane pouze na úrovni dokumentace a formálního splnění požadavků, nepřináší organizaci reálnou hodnotu. V praxi se stále setkáváme s tím, že organizace vnímají implementaci standardů, jako je například ISO 27001, primárně jako „checkbox“ – tedy nástroj pro formální prokázání se vůči zákazníkům nebo regulatorním požadavkům. Výsledkem je často stav, kdy existuje rozsáhlá dokumentace, ale reálné procesy, řízení rizik ani bezpečnostní opatření neodpovídají deklarovanému stavu.