BUSINESS BYTES

Jak CIO mohou najít rovnováhu mezi snížením bezpečnosti a přijetím rizika?

How can CIOs strike a balance between security reduction and accepting risk?

Podle poslední zprávy Gartner CIO insights Agenda Report se priority pro investice u pracovníků CIO mění. Bezpečnost na seznamu nejdůležitějších priorit poklesla na spodní příčky na úkor analytiky, zpravodajských informací a mobilní a cloudové infrastruktury. Na první pohled je to pochopitelné – je daleko logičtější, aby firma investovala do oblastí, které jí přinesou vysokou nebo okamžitou návratnost. Zabezpečení informací k těmto oblastem nikdy nepatřilo. Vynakládání větších prostředků na tradiční zabezpečovací nástroje, například firewally, nástroje pro zabezpečení e-mailů a filtrování webu, jen přispívá k tomu, že na investice do zabezpečení se pohlíží jako na preventivní činnost, nikoli jako na investici přinášející hmatatelný užitek.

To však nutně nemusí představovat špatný přístup ke kybernetickým hrozbám. Jak vyplývá ze zjištění společnosti Gartner, mnozí CIO si již uvědomují, že cílenější přístup k zabezpečení by mohl být účinnějším způsobem, jak z dlouhodobého hlediska snižovat rizika. V praxi tento přístup začíná jasnějším pochopením rizik pro kybernetickou bezpečnost a s tím spojených hrozeb, které z nich pro firmy vyplývají.

Odborníci na zabezpečení by měli být firemní aktivátoři, měli se už od začátku účastnit příslušných procesů a snažit se o ochranu nejdůležitějších aktiv před prolomením bezpečnosti i po něm. Rizika spojená s informační bezpečností je potřeba vnímat jako rizika, která je možné řídit a která svojí povahou nepřesahují jiné formy podnikatelských rizik. Jinými slovy řízení bezpečnostních rizik vyžaduje přijmout fakt, že určitá rizika budou existovat vždy a k určitému narušení bezpečnosti bude docházet v každé době. Je proto mít třeba připravenou a zavedenou strategii, jak se s riziky vypořádat. Mnozí CIO se nezaměřují ani tak na snížení rizik, ale na vzdělávání související s riziky.

Prvním krok k řízení rizika spočívá v porozumění mu. Nejprve je proto nutné rozpoznat bezprostřední rizika hrozící vaší firmě a začít se školením správní rady a vrcholového managementu, který musí mít povědomí o tom, o jaká rizika se jedná a co mohou znamenat. Účinné řízení rizik je odpovědností každého z pracovníků firmy. Únik dat totiž může způsobit obrovské finanční škody a poškodit pověst firmy. Výkonní ředitelé i další zaměstnanci by proto měli chápat, jaké potenciální náklady jsou s takovým únikem dat spojeny i jaké kroky by v takovém případě měli podniknout.
V některých společnostech se k tomu využívají simulace incidentů nebo krizových situací. Tím se nejen odhalí slabá místa, ale týmy dostanou i možnost získat sebedůvěru a lépe se na případné úniky připravit.

Druhým krok spočívá v pochopení toho, že řízení rizik nekončí tím, že máte vypracovanou a odsouhlasenou metodiku, jak v takových případech postupovat. S tím, jak se kybernetické hrozby vyvíjejí, by se měla vyvíjet i ochrana proti nim a zásady, které s tím souvisejí. Pracovník vyššího managementu by měl stát v čele snah o úpravu strategie řízení rizik a každý další pracovník v dané firmě by měl být schopen přispět svými návrhy, které pomohou vytvořit co nejlepší mechanismus zvládání těchto hrozeb. Pamatujte, že širší strategie firmy se může rychle změnit. Pronikání na trhy v nových zemích může vést k novým finančním a informačním rizikům. Vliv na to má i používání digitální techniky, například sociálních sítí a cloudů. Vaše strategie řízení rizik musí odpovídat tempu růstu vaší firmy.

V úvahu je třeba brát i to, že míra ohrožení se může v jednotlivých obchodních odděleních velmi lišit. Proto se v zásadách bezpečnosti musí s určitou mírou rizika počítat, aby se v rámci organizace udržela jistá soudržnost. K únikům informací docházet může a bude. Existence schváleného postupu, jak se s takovým únikem vypořádat, je stejně důležitá jako prevence. K tomu je ovšem třeba mít zkušenosti ohledně toho, co je s takovým únikem spojeno.  Řízení rizik by mělo být součástí komplexního programu pro vyhodnocení pravděpodobnosti rizik, uplatnění zásad pro řízení rizik a nakonec pro vzdělávání firmy v tom, že výskyt rizika není selháním, ale ověřením účinnosti schváleného postupu.