Většina organizací se více zaměřuje na zabezpečení svých dat před kybernetickými útoky než na strategii a politiky zabezpečení informací.
Pouhé vytvoření strategie a zásad však nestačí. Takové dokumenty, stejně jako bezpečnostní opatření, musí procházet pravidelnou revizí a kontrolou, zda stále pasují na současný stav a prostředí organizace a zda stále pokrývají aktivní hrozby.
Kybernetické hrozby se neustále vyvíjejí a proto je nesmírně důležité snažit se být stále o krok napřed před těmito hrozbami a zavádět nejnovější postupy a pravidla pro zabezpečení dat.
„Nedílnou součástí je pak také pravidelné vzdělávání zaměstnanců, kterým jsou bezpečnostní zásady a pravidla připomínány. Bez toho budou bezpečnostní zásady pouze pár dokumenty, které nemají žádný dopad.“
Pár základních kroků ke stanovení správné bezpečnostní strategie
Určete odpovědnou osobu za ochranu informací
Jmenujte do čela týmu pro bezpečnost informací člověka, který s touto oblastí již má zkušenosti. On pak zaručí, že propast mezi potřebami společnosti a technologickým pokrokem bude přemostěna. Tato role by měla pravidelně vyhodnocovat bezpečnostní opatření, zásady a postupy a průběžně informovat generálního ředitele – tím bude zajištěno průběžné informování nejvyššího vedení o stavu bezpečnosti v organizaci.
Poznejte prostředí společnosti, klienty, další zainteresované strany a budoucí plány
Pro správné uchopení bezpečnostní strategie je nezbytně nutné znát a rozumět prostředí společnosti, ve které se nacházíte, její interní vazby a vztahy, procesy a postupy, informační systémy a vše, co souvisí se zpracováváním informací. Dále je pak důležité znát své klienty, jejich potřeby a požadavky v oblasti bezpečnosti a další zainteresované strany. Rozhodující pro budoucí bezpečností opatření a zásady je také pochopení budoucího směřování společnosti, na jaké trhy a segmenty se chystá a jaké jsou plánované služby a produkty na následujících 5 let. A v neposlední řadě je nutné znát aktuální platnou legislativu a případně technické normy, které se na vaši organizaci vztahují. To vše je nezbytné pro správný vstup do tvorby bezpečnostní strategie.
Určete reálné hrozby
Jakmile se pustíte do budování bezpečnostní strategie, je důležité rozumět hrozbám, které vaší organizaci a informacím hrozí. Problémy neoprávněného přístupu, neúčinného šifrování dat až po neschválený oběh dat mezi zaměstnanci mohou vést k vážným následkům. To je důvod, proč je nezbytné vysvětlovat tyto hrozby zaměstnancům a minimalizovat tak důsledky lidských chyb.
Úroveň zabezpečení by měla odpovídat riziku
Zavedené bezpečnostní opatření by měly odrážet hrozby. Nic se však nesmí přehánět. Bezpečnostní opatření musí být v rovnováze s potřebami vašeho podnikání. Nadměrné nadšení může zároveň vést k plýtvání zdroji, ať už finančními nebo lidskými. Stejně tak je důležité, aby opatření byla realistická a vytvořená ohledem na skutečnou úroveň hrozeb, kterým společnost čelí. Bezpečnostní zásady by pak měly být dostatečně podrobné, aby jste mohli zajistit jejich důkladné dodržování.
Zajistěte, že jsou všichni na stejné „lodi“
Při vytváření strategie bezpečnostní informací je nutné získat souhlas a podporu všech členů vedení. Jinak to může později vést k následným kompromisům v pravidlech. Zaměstnanci mohou například preferovat snadný přístup k informacím nebo jejich ne zcela bezpečné zpracovávání.
Jedná se o velmi náročnou aktivitu, kdy musíte přesvědčit jednotlivé vedoucí oddělení a provozů, že bezpečnost informací je důležitá a vámi navržena strategie je správná.
Vzdělávejte své zaměstnance
Je důležité, aby zaměstnanci plně chápali dopady potenciálních rizik. A aby byla straegie účinná, musí se všichni řídit stejnými pravidly. Školení mohou pomoci lépe porozumět a objasnit případné dotazy zaměstnanců. Mohou dokonce odhalit nedostatky nebo nejednoznačnosti v konkrétních bezpečnostních pravidlech a zásadách, což vede k jejich průběžnému zlepšování.
Podrobná bezpečnostní strategie může společnostem usnadnit cestu k prosperitě a úspěchu. A její neexistence může společnost přivést k bezpečnostním incidentům, které budou mít na její budoucnost negativní vliv.
Pravidelně přezkoumávejte svou strategii
Je nezbytné průběžně kontrolovat vaši bezpečnostní strategii a z ní vyplývající bezpečnostní zásady, pravidla a pokyny z pohledu, zda jsou stále aktuální a odpovídají současnému stavu ve vaší organizaci.
Ten se mění průběžně. Neustále se objevují nové bezpečnostní hrozby, získáváte nové klienty, vytváříte nové produkty a služby a v neposlední řadě se mění i vaše společnost. Například pokud rostete a najdete si novou, lepší a větší kancelář, vždy je nutné po takových změnách znova přezkoumat vaše bezpečnostní opatření, pravidla a pokyny, zásady a v neposlední řadě vaši bezpečnostní stategii.
