BUSINESS BYTES

Ako môžu informační riaditelia nájsť rovnováhu medzi znižovaním bezpečnostných opatrení a prijatím rizík?

How can CIOs strike a balance between security reduction and accepting risk?

Na základe správy Gartner CIO insights Agenda Report dochádza k zmene investičných priorít informačných riaditeľov. Na zozname priorít sa bezpečnosť dostáva na spodné priečky na úkor analytiky, spravodajských informácií a mobilnej a cloudovej infraštruktúry. Na prvý pohľad je táto zmena pochopiteľná – pre firmy je logickejšie investovať do oblastí, v ktorých majú zabezpečenú vysokú alebo okamžitú návratnosť. Bezpečnosť informácií nikdy nebola takouto oblasťou. Míňanie prostriedkov na tradičné ochranné nástroje, napríklad firewally, nástroje na zabezpečenie e-mailovej komunikácie a zariadenia na filtrovanie webu, len podporujú názor, že bezpečnosť je preventívnou investíciou a nie hmatateľným benefitom.

Vzhľadom na hroziace nebezpečenstvo z kyberpriestoru však tento prístup nemusí byť úplne nesprávny. Ako vyplýva zo zistení spoločnosti Gartner, mnohí informační riaditelia si začínajú uvedomovať, že vyhranený prístup k bezpečnostným hrozbám je efektívnejší na dlhodobé riadenie rizík. V praxi sa tento prístup začína detailným porozumením rizík kybernetickej bezpečnosti a hrozieb, ktoré z nich vyplývajú pre firmy.

Bezpečnostní odborníci by sa mali vnímať ako firemní aktivátori, mali by sa od začiatku zúčastňovať príslušných procesov a snažiť sa o ochranu najdôležitejších aktív pred a po narušení bezpečnosti. Riziká súvisiace s informačnou bezpečnosťou je potrebné vnímať ako riziká, ktoré je možné riadiť a ktoré svojou povahou nepresahujú iné formy podnikateľských rizík. Inak povedané, riadenie bezpečnostných rizík si vyžaduje akceptovanie skutočnosti, že niektoré riziká sú permanentné, k istým typom narušenia bezpečnosti bude dochádzať vždy a firmy by mali byť na ne pripravené. Namiesto dôrazu na redukciu rizík sa mnohí informační riaditelia zameriavajú na edukáciu v tejto oblasti.

Prvým krokom na riadenie rizík je ich pochopenie. Začať efektívne riadenie rizík je potrebné identifikáciou okamžitých rizík pre vašu firmu a edukáciou správnej rady a vrcholového manažmentu spoločnosti o povahe rizík a hrozbách, ktoré z nich vyplývajú. Efektívne riadenie rizík je zodpovednosťou každého z nás. Krádež údajov môže mať ďalekosiahle finančné následky a poškodiť povesť firmy, pričom výkonní riaditelia a zamestnanci firiem by mali poznať potenciálne náklady a kroky, ktoré je potrebné podniknúť v prípade úniku dôverných informácií.

V niektorých organizáciách sa na tento účel používa simulácia incidentov alebo krízových situácií. Nielenže je pomocou nej možné identifikovať slepé miesta, no pracovné tímy si môžu vďaka nej prehĺbiť sebadôveru a lepšie sa pripraviť na potenciálne bezpečnostné hrozby.

Druhým krokom je uvedomiť si, že riadenie rizík nekončí dohodou o spôsobe reakcie v krízovej situácii. Rovnako, ako sa vyvíja bezpečnostná hrozba, vyvíjať by sa malo aj naše riadenie a príslušná politika, ktorú používame v jej súvislosti. Úlohou osôb v riadiacich pozíciách by mala byť modifikácia stratégie na riadenie rizík, svojimi návrhmi na tvorbu najideálnejších mechanizmov na riešenie rizík by však mali prispievať všetci zamestnanci. Nezabúdajme, že širšia podnikateľská stratégia sa môže kedykoľvek zmeniť. Vstup na nové trhy môže viesť k novým informačným a finančným rizikám. Používanie digitálnej technológie, napríklad sociálnych médií a cloudových služieb, môže tiež prispievať celkovej situácii. Stratégiu na riadenie rizík je potrebné prispôsobiť expanzií vašej spoločnosti.

Na záver si uvedomme, že chuť riskovať sa môže v jednotlivých firmách výrazne odlišovať. Z tohto dôvodu je v bezpečnostnej politike potrebné akceptovať istú mieru rizika na dosiahnutie súdržnosti organizácie. K bezpečnostným útokom bude dochádzať vždy, no spoločne prijatý proces na ich riešenie, ktorý je založený na dôkladnom pochopení príslušných procesov, je rovnako dôležitý, ako prevencia bezpečnostných útokov.  Riadenie rizík by malo byť súčasťou komplexného programu na hodnotenie chuti riskovať, aplikáciu princípov na riadenie rizík a v neposlednom rade edukáciu, že výskyt rizika nie je pre firmu zlyhaním, ale potvrdením odsúhlaseného procesu.