Firmy a organizace musí používat různá technická, tak i organizační bezpečnostní opatření v oblasti bezpečnosti a kyberbezpečnosti, aby udržely svá obchodní data a další informační aktiva v bezpečí. Udržení informací, obchodních a dalších informačních aktiv v bezpečí jde v ruku v ruce s udržením vaší organizace v chodu a vyžaduje kombinaci jak technických, tak také organizačních bezpečnostních opatření. Jedno bez druhého nemůže fungovat.
Sama technická opatření nestačí, stejně tak nestačí pouze organizační. Oba typy opatření musí fungovat společně a musí směřovat k prevenci, předcházení různých kybernetických hrozeb.
Zde je několik praktických tipů pro opatření v oblasti kybernetické bezpečnosti
1. Prevence je klíčová
Zaměřte se na předcházení problémům dříve, než nastanou. Řešení následků je vždy nákladné. Začleněním preventivních opatření se můžete v budoucnu vyhnout mnoha problémům.
2. Vždy kombinujte tvrdá a měkká opatření
- Zvyšte svou bezpečnost pomocí kombinace technických, organizačních, právních a vzdělávacích opatření a strategií
- Zásadní je synergie mezi všemi typy opatření. Ani jeden nemůže efektivně fungovat izolovaně
- Jen společně mohou vytvořit efektivní štít proti kybernetickým hrozbám a zajišťují bezpečnost obchodních operací a cenných aktiv.
3. Začněte s informovaností zaměstnanců
- Vzdělávání zaměstnanců v oblasti základů kybernetické bezpečnosti je absolutní základ
- Všechno začíná a končí u lidí
4. Opatření vždy přizpůsobte vaší situaci
- Pamatujte, že neexistuje žádné univerzální řešení.
- Vždy přizpůsobte svůj přístup ke kybernetické bezpečnosti vaší situaci, rozpočtu, velikosti a situaci.
- Pouze strategie s ohledem na vaše silné a slabé stránky může pomocí všech typů opatření posílit odolnost vaší organizace vůči neustále se vyvíjejícím kybernetickým rizikům.
Jednodušší je problémům předcházet, než řešit jejich dopady
Velká část opatření je preventivní a pomohou zamezit řadě problémů ještě dříve než vzniknou. Typickým příkladem, kterým zabráníte většině vzniklých problémů je alespoň základní vzdělávání a povědomí vašich lidí v oblasti kyberbezpečnosti. Není o tom, aby vaši se všichni zaměstnanci stali experty na kyberbezpečnost, ale aby měli alespon základní povědomí například o možných rizicích nakažených mailů nebo aby měly základní návyky v podobě zamčených telefonů a používání hesel.
Jaká opatření jsou pro naši firmu vhodná?
Tuto otázku si jistě kladete i vy. Konkrétní opatření musí přirozeně vycházet z konkrétní situace a potřeb vaší firmy. Každá organizace má jiné podmínky, jiné technické vybavení, jiné lidi jinou kulturu i procesy.
Následující seznam nejčastějších opatření a nástrojů berte jako základní a založený na nejlepší praxi. Ta ukazuje, že opatření uvedená v seznamu jsou ty s největším dopadem. Zavedení většiny z nich poměrně snadné a v kombinaci vám poskytnou základní úroveň ochrany a prevence proti nejběžnějším IT rizikům a hrozbám. Měly by být samozřejmostí pro jakoukoliv firmu a organizaci, která chce hladce fungovat.
Jaká preventivní opatření kyberbezpečnosti se v praxi používají?
V zásadě v praxi můžete udělat tyto typy opatření pro zlepšení vaší kyberbezpečnosti
Vzdělávání a povědomí pracovníků ohledně kybernetických rizik
- vzdělávání a zvyšování povědomí o kybernetických hrozbách je rozhodně základ všeho
- lidé, kteří alespoň ví o existenci kybernetických hrozeb jim mohou předcházet
Technická opatření kyberbezpečnosti
- technická opatření znamenají zavedení nebo zlepšení nějaké bezpečnostní informační technologie (bezpečnostní software nebo hardware)
- může se jednat také o fyzické zajištění přístupu do serverovny nebo k počítačům
- patří sem i používání zámků nebo šifrování disků
Organizační a procesní opatření kyberbezpečnosti
- zavedení a dodržování politiky bezpečnosti
- zavedení procesů přidělování a změn oprávnění
- zajištění pravidelné údržby software a hardware
- řízení IT majetku i procesů jako celku
Právní opatření
- zavedení NDA do smluv s dodavateli IT služeb, dodavateli software a hardware
- zavedení mlčenlivosti do pracovních smluv