CIO Business World: Jak hodnotíte vývoj v oblasti bezpečnosti v poslední době? Očekáváte, že se objeví nějaké nové typy hrozeb?
Miroslav Jeník: Téma bezpečnosti je v současné době na vzestupu – platnost nového zákona o Kybernetické bezpečnosti dostala téma na titulní strany periodik a do priorit nejenom IT manažerů, ale širšího vedení podniků a institucí. V rámci hrozeb spatřujeme velký posun z prvotních útoků na zařízení na útoky na informace/data, což vede zároveň k novým přístupům ke způsobu obrany. Roste počet tzv. „útoků na míru“. Útočníci se zaměří na konkrétní cíl, vyvinou specifické nástroje k útoku, na které běžné vybavení jako standardní antivirové programy nejsou dostatečně připravené. Dále např. napodobení lidského chování (skript zajistí nepravidelnou a pomalejší aktivitu, která působí jako klasická uživatelská činnost) atd.
Které z nich budou znamenat největší nebezpečí pro podniky a instituce, resp. pro soukromé uživatele?
Soukromých uživatelů se dotýkají nejvíce úniky jejich citlivých osobních údajů a financí. Následky mohou být velmi vážné.
Podniky a instituce si nemohou dovolit o data přijít, může to znamenat poškození reputace a důvěryhodnosti, žaloby.
Domníváte se, že je v IT rozpočtech firem a institucí vyčleněna dostatečná kapitola na bezpečnost? Pokud ne, které aspekty se nejčastěji podceňují? Dá se zobecnit či odhadnout, jak velká částka (percentuelně z výdajů na IT) je přiměřená?
Dle každoročního průzkumu Gartner (IT Key Metrics Data) je v rámci EMEA průměrná hodnota výdajů na bezpečnost 4,5% z celkových IT výdajů. V rámci oborů nejvíce (až 10%) investuje finanční a bankovní sektor, pojišťovny, státní instituce a utilitní společnosti. Nejméně pak retail a výrobní společnosti. Ze zkušeností víme, že přiměřená hodnota by neměla být hluboko pod průměrnými hodnotami v daném oboru. Existují-li podstatné rozdíly, je to vždy indikátor nutnosti hlubšího pohledu. Často slýchávám, že CISO manažeři mají problém v komunikaci v rámci alokace budgetu. Prokázat přínos může být obtížné, především kvůli absenci relevantních metrik pro oba tábory. Není snadné kvantifikovat přínos pro business. Prezentovaná KPI jsou často pro představenstvo a finanční ředitele nesrozumitelná. Obtížněji si potom říkáte o vyšší rozpočet, protože argumenty jsou jakoby v jiném jazyce.
Obecně vždy hrozí vyzrazení firemních dat ze strany zaměstnanců (ať již cíleně, či náhodně). Cítíte, že se firmy v poslední době více zajímají o ochranu proti úniku dat? Jakým způsobem? Roste zájem o šifrování dat na mobilních zařízeních, která jsou zvýšeným způsobem ohrožena odcizením?
Firmy v posledních 3 letech významně posílily osvětu a práci s lidským faktorem. Uvědomují si komplexitu ochrany nespočívající v prostém zabezpečení konkrétních koncových zařízení. Povinné a často nudné školení příliš nepomáhá, zaměstnanci chtějí být mobilní, mít přístup a možnost práce mimo kancelář a často si neuvědomují, co se může stát. V praxi se osvědčila kombinace změn v rámci firemní kultury – etika, sociální normy, práva a odpovědnosti, soustavného vzdělávání a možnosti transparentního monitoringu. Je důležité, aby šli manažeři dobrým příkladem.
Mluví se sice hodně o kyberbezpečnosti, ale jak se vyvíjí fyzická ochrana IT infrastruktury?
Výdaje do této oblasti průměrně vzrostly za poslední 3 roky o cca třetinu (v rámci regionu EMEA). Posun směrem k SaaS a IaaS mění dosavadní přístupy. CASB (cloud access security broker) dnes využívá cca 5% společností. Dle predikcí se číslo do r.2018 může až desetinásobně zvýšit.
PŘEDPLATNÉ
ČLÁNKY DO MAILU