Cyber sigurnost postaje sve važnija

Prema PwC-ovim istraživanjima predsjednika Uprava, cyber sigurnost drži drugo mjesto na svjetskoj razini, a 5 mjesto na ljestvici rizika za odvijanje poslovanja u regiji jugoistočne Europe, moglo se čuti na seminaru Cyber Security Seminar - Creating Digital Trust koji  se u organizaciji PwC Hrvatska.

„Vrijeme rješavanja problema kad je on već izbio, odavno je iza nas. Revizija informacijskih sustava unutar kompanija koja podrazumijeva sveobuhvatnu analizu protoka informacija unutar kompanija, uspostavljanje pravila i procedura te upravljanje informacijama na svim organizacijskim razinama, kao i analizu scenarija mogućih hakerskih napada, donosi višestruke koristi za kompanije koje se ponajviše ogledaju u očuvanju prihoda kompanije kao i zadržavanju konkurentske prednosti te izgradnje i održavanja ugleda kompanije“, ističe RafaÅ‚ JaczyÅ„ski voditelj usluga cyber sigurnosti u regiji srednje i istočne Europe.

Da bi se uspješno upravljalo cyber sigurnošću i revizijom informacijske sigurnosti potrebno je odrediti IT rizike i njihov odnos prema poslovanju kompanije i njezinoj svrsi, definirati opseg ovlasti, infrastrukture, aplikacija i baza podataka.

„Jednom kada kompanija iznevjeri povjerenje svojih klijenta ili kupaca zbog neuspješne zaštite podataka koje su kupci ili klijenti dobrovoljno ustupili kompaniji, ona preko noći gubi svoj dugo izgrađivan ugled što se izravno ogleda i u financijskoj vrijednosti kompanije (npr. pad cijene dionica, otkazivanje postojećih poslovnih ugovora, troškova sanacije problema itd.),“ istakao je prilikom izlaganja“, pojašnjava  JaczyÅ„ski.

Prilikom izrade strategije upravljanja cyber sigurnošću potrebno je korporativno i financijsko poslovanje uskladiti s načinom razmišljanja IT svijeta, dok je metodologija definirana standardima poput COBIT-a (Control Objectives for Information and Related Technology) i ISO 27001 koji je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u kompaniji. Upravo ISO27001 podrazumijeva uspostavu organizacijskih propisa koji su neophodni da bi se spriječilo narušavanje sigurnosti, a još se definiraju i potrebni revizijski programi, scenariji i alati.

Glavne značajke pregleda rezultata i kvalitete u sklopu revizije informacijske sigurnosti su razina rizika identificiranih problema, definiranje kompenzirajućih faktora, provjera, tijek aktivnosti, sveobuhvatni izvještaji, a dodatna korist leži u činjenici da to sve predstavlja odličan alat za poticanje inicijativa IT sigurnosti.

„Potrebno je odrediti prioritete, izgraditi obranu zasnovanu na podacima i analizama, što omogućava brz odgovor na cyber napad - naglasak pritom nije na ako, nego na kada se on dogodi; zatim iskoristiti tehnologiju kao svoju prednost te tako ostvariti maksimalan povrat na investiciju u tehnologiju. Nadalje, potrebno je iskoristiti prednosti digitalnog, razumjeti i upravljati rizicima u umreženom poslovnom ekosustavu. A najvažniji čimbenik su ipak ljudi - potrebno je izgraditi i održavati kulturu sigurnog poslovanja u kojoj su ljudi svjesni svojih odluka koje su za to kritične. Rizičnost veza koje kompanija ima sa svojim partnerima, dobavljačima i kupcima je ujedno i rizik same kompanije“, Armin Dinar, voditelj usluga cyber sigurnosti u regiji jugoistočne Europe.

Novi prijedlog EU direktive o cyber sigurnosti podupire Digitalnu agendu za Europu čiji je cilj pomoći europskim građanima i poduzećima iskoristiti digitalne tehnologije u najvećoj mogućoj mjeri. Usklađivanjem poslovanja kompanija prema toj Direktivi osigurala bi se minimalna razina sigurnosti digitalnih tehnologija, mreža i usluga u svim državama članicama. Njome se također predlaže uvođenje obveza da određene kompanije i organizacije prijave značajne cyber incidente.

Potreba uvođenja EU direktive o cyber sigurnosti nastala je zbog činjenice da je korištenje digitalnih mreža i infrastrukture za pružanje usluga postalo conditio sine qua non poslovanja. Pojava cyber incidenata može kompromitirati usluge i ugroziti rad kompanije, međutim problemi ne staju samo na razini pojedinačne kompanije. Razvojem unutarnjeg tržišta EU-a, mnogi mrežni i informacijski sustavi funkcioniraju preko granica pa cyber incident u jednoj zemlji može proizvesti učinak u drugim zemljama. Stoga Nova EU direktiva o cyber sigurnosti posebno regulira protok podataka unutar EU, ali i protok podataka koji se odvija između zemalja članica EU i onih izvan EU.