Nije upitno hoće li neka organizacija postati meta hakerskog napada, nego kada. Prema PwC-ovim istraživanjima predsjednika Uprava, cyber sigurnost drži drugo mjesto na svjetskoj razini, a 5. mjesto na ljestvici rizika za odvijanje poslovanja u regiji jugoistočne Europe.
Na današnjem seminaru Cyber Security Seminar – Creating Digital Trust koji se u organizaciji PwC Hrvatska održao u hotelu Westin, Rafał Jaczyński, voditelj usluga cyber sigurnosti u regiji srednje i istočne Europe i Armin Dinar, voditelj usluga cyber sigurnosti u regiji jugoistočne Europe ukazali su na važnost upravljanja cyber sigurnošću za svaku kompaniju, istaknuvši da je za uspješno upravljanje cyber sigurnošću potrebno na vrijeme predvidjeti moguće incidente cyber sigurnosti, te unaprijed postaviti određene standarde i procedure. Živimo u dobu kada je nemoguće postići potpunu zašititu, rečeno je, jer za to malo tko ima dovoljno financijskih i ljudskih resursa. No, za to bi se trebalo fokusirati i napraviti sve što je moguće da se zaštite najbitniji podaci i imovina.
„Vrijeme rješavanja problema kad je on već izbio, odavno je iza nas. Revizija informacijskih sustava unutar kompanija koja podrazumijeva sveobuhvatnu analizu protoka informacija unutar kompanija, uspostavljanje pravila i procedura te upravljanje informacijama na svim organizacijskim razinama, kao i analizu scenarija mogućih hakerskih napada, donosi višestruke koristi za kompanije koje se ponajviše ogledaju u očuvanju prihoda kompanije kao i zadržavanju konkurentske prednosti te izgradnje i održavanja ugleda kompanije. Jednom kada kompanija iznevjeri povjerenje svojih klijenta ili kupaca zbog neuspješne zaštite podataka koje su kupci ili klijenti dobrovoljno ustupili kompaniji, ona preko noći gubi svoj dugo izgrađivan ugled što se izravno ogleda i u financijskoj vrijednosti kompanije (npr. pad cijene dionica, otkazivanje postojećih poslovnih ugovora, troškova sanacije problema itd.),“ istakao je prilikom izlaganja Rafał Jaczyński voditelj usluga cyber sigurnosti u regiji srednje i istočne Europe.
Da bi se uspješno upravljalo cyber sigurnošću i revizijom informacijske sigurnosti potrebno je odrediti IT rizike i njihov odnos prema poslovanju kompanije i njezinoj svrsi, definirati opseg ovlasti, infrastrukture, aplikacija i baza podataka. Prilikom izrade strategije upravljanja cyber sigurnošću potrebno je korporativno i financijsko poslovanje uskladiti s načinom razmišljanja IT svijeta, dok je metodologija definirana standardima poput COBIT-a (Control Objectives for Inormation and Related Technology) i ISO 27001 koji je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u kompaniji. Upravo ISO27001 podrazumijeva uspostavu organizacijskih propisa koji su neophodni da bi se spriječilo narušavanje sigurnosti, a još se definiraju i potrebni revizijski programi, scenariji i alati.
Glavne značajke pregleda rezultata i kvalitete u sklopu revizije informacijske sigurnosti su razina rizika identificiranih problema, definiranje kompenzirajućih faktora, provjera, tijek aktivnosti, sveobuhvatni izvještaji, a dodatna korist leži u činjenici da to sve predstavlja odličan alat za poticanje inicijativa IT sigurnosti.
Armin Dinar, voditelj usluga cyber sigurnosti u regiji jugoistočne Europe je kao najvažnije zaključke vezane uz upravljanje cyber rizicima istaknuo: „Potrebno je odrediti prioritete, izgraditi obranu zasnovanu na podacima i analizama, što omogućava brz odgovor na cyber napad - naglasak pritom nije na ako, nego na kada se on dogodi; zatim iskoristiti tehnologiju kao svoju prednost te na taj način ostvariti maksimalan povrat na investiciju u tehnologiju. Nadalje, potrebno je iskoristiti prednosti digitalnog, razumjeti i upravljati rizicima u umreženom poslovnom ekosustavu. A najvažniji čimbenik su ipak ljudi – potrebno je izgraditi i održavati kulturu sigurnog poslovanja u kojoj su ljudi svjesni svojih odluka koje su za to kritične. Rizičnost veza koje kompanija ima sa svojim partnerima, dobavljačima i kupcima je ujedno i rizik same kompanije.“
Novi prijedlog EU direktive o cyber sigurnosti podupire Digitalnu agendu za Europu čiji je cilj pomoći europskim građanima i poduzećima iskoristiti digitalne tehnologije u najvećoj mogućoj mjeri. Usklađivanjem poslovanja kompanija prema toj Direktivi osigurala bi se minimalna razina sigurnosti digitalnih tehnologija, mreža i usluga u svim državama članicama. Njome se također predlaže uvođenje obveza da određene kompanije i organizacije prijave značajne cyber incidente. Potreba uvođenja EU direktive o cyber sigurnosti nastala je zbog činjenice da je korištenje digitalnih mreža i infrastrukture za pružanje usluga postalo conditio sine qua non poslovanja. Pojava cyber incidenata može kompromitirati usluge i ugroziti rad kompanije, međutim problemi ne staju samo na razini pojedinačne kompanije. Razvojem unutarnjeg tržišta EU-a, mnogi mrežni i informacijski sustavi funkcioniraju preko granica pa cyber incident u jednoj zemlji može proizvesti učinak u drugim zemljama. Stoga Nova EU direktiva o cyber sigurnosti posebno regulira protok podataka unutar EU, ali i protok podataka koji se odvija između zemalja članica EU i onih izvan EU. Organizacije trebaju uložiti više sredstava u cyber zaštitu na više razina, uključujući i svoje proširene djelatnosti, kako bi se osiguralo sigurno čuvanje ključnih informacija, bez obzira gdje su pohranjeni.