Fragmentuotas kibernetinis saugumas kuria pavojingas spragas: ką svarbu suprasti organizacijoms
Kibernetinis saugumas pastaruosius keletą metų tampa vis svarbesne tema daugelyje organizacijų. Šį aktualumą lemia tiek geopolitinė situacija, tiek sparčiai besivystančios technologijos, tiek pakitęs teisinis reguliavimas – įsigaliojantys Tinklo ir informacinių sistemų saugumo direktyvos (TIS2) reikalavimai. Vis dėlto kasdien dirbant su organizacijomis tenka pastebėti, kad jos dažnai vis dar neturi integruoto ir sisteminio požiūrio į kibernetinį saugumą. Naudojami skirtingi IT įrankiai, atsakomybės paskirstytos tarp kelių komandų, o procesai ir sistemos tarpusavyje ne visada veikia kaip viena visuma. Tai ne tik kuria pavojingas saugumo spragas ir didina kibernetinių incidentų riziką, bet ir apsunkina efektyvų pačios organizacijos veikimą.
Kai namas statomas ne nuo pamatų
Kibernetinis saugumas daugeliui organizacijų vis dar yra sritis, kuri ilgą laiką dažniausiai buvo vystoma tiek, kiek leido pačios organizacijos sąmoningumas, brandumas ar turimi resursai. Tačiau šiandien, įsigaliojant TIS2 reikalavimams, saugumo užtikrinimas tampa privalomu. Todėl daliai organizacijų paprasčiausias sprendimas – tarsi „prilipdyti“ kibernetinį saugumą prie jau veikiančių procesų ir sistemų. Tuomet diegiamos atskiros priemonės, sprendžiamos pavienės problemos, tačiau ne visada žiūrima į bendrą organizacijos IT ir saugumo architektūrą.
Organizacijoms svarbu suprasti, kad šiandien kibernetinis saugumas turi tapti vienu iš organizacijos pamatų – šalia strategijos, vizijos, vertybių ir kasdienės veiklos organizavimo procesų.
Kodėl organizacijoms vis dar trūksta sisteminio požiūrio?
Sisteminio požiūrio į kibernetinį saugumą organizacijoms dažnai trūksta ir dėl kompetencijų stokos bei nepakankamo supratimo, kur iš tiesų prasideda ir baigiasi IT sauga. Dažnai organizacijose visa atsakomybė už saugumą tiesiog perkeliama IT skyriui ar vienam IT vadovui, nors kibernetinis saugumas apima gerokai daugiau nei technologijų priežiūrą.
Situaciją apsunkina ir pačių technologijų įvairovė. Organizacijų IT infrastruktūra dažnai vystėsi etapais: dalis sistemų veikia debesijoje, dalis serveriuose, sprendimus diegė skirtingi tiekėjai ar darbuotojai, trūksta dokumentacijos ir bendro sistemų matymo.
Galiausiai nemažą įtaką daro ir patys vartotojai. Griežtesnės saugumo priemonės dažnai suvokiamos kaip papildomas nepatogumas, trukdantis kasdieniam darbui, todėl organizacijoms tenka ieškoti balanso tarp saugumo ir efektyvaus veikimo.
Tokioje fragmentiškoje aplinkoje organizacijoms tampa sudėtinga ne tik užtikrinti kibernetinį saugumą, bet ir efektyviai valdyti kasdienius procesus. Kuo daugiau atskirų sprendimų, atsakomybių ir nesusietų procesų, tuo sunkiau greitai priimti sprendimus, reaguoti į incidentus ir užtikrinti sklandų darbą. Be to, dubliuojantis sprendimams ir funkcijoms, neefektyviai naudojami tiek žmogiškieji, tiek finansiniai resursai.
Daugiau saugumo priemonių dar nereiškia... didesnio saugumo
Bendraujant su organizacijomis tenka susidurti su keliais kraštutinumais. Jei vienos įsidiegia antivirusinę programą ir mano, kad vien to pakanka kibernetiniam saugumui, tai kitos kreipiasi su prašymu pritaikyti visas įmanomas aukščiausio lygio saugumo priemones. Tuomet juokaujame, kad tikrai taip galime padaryti, bet kitą dieną organizacija tiesiog neveiks. Kalbant rimčiau, jeigu organizacijoje maksimaliai apribotume visas prieigas, įdiegtume griežčiausias kontrolės priemones ir papildomus saugumo žingsnius kiekviename procese, labai tikėtina, kad dalis darbuotojų nebegalėtų efektyviai dirbti savo kasdienių darbų.
Todėl svarbiausia ne siekti maksimalaus saugumo bet kokia kaina, o pirmiausia suprasti, ką organizacija šiandien turi, kokios yra didžiausios rizikos ir kuriose vietose saugumas iš tiesų silpniausias. Tik tuomet galima sistemiškai planuoti tolimesnius sprendimus ir investicijas.
Apibendrinant galima išskirti kelis esminius aspektus, į kuriuos organizacijoms šiandien verta sutelkti dėmesį:
• Kibernetinis saugumas turi būti ne pavienių priemonių rinkinys, o nuosekli kasdienės organizacijos veiklos dalis. Kitaip sakant, kibernetinis saugumas nėra vienkartinis projektas ar kelių technologijų diegimas, o nuolatinis procesas.
• Organizacijoms nereikėtų bandyti visko pakeisti iš karto – nemažą vertę gali sukurti ir vadinamieji „quick wins“, arba „žemai kabantys vaisiai“, leidžiantys pakankamai greitai sustiprinti saugumą ir pamatyti realią pažangą. Tai gali būti aiškesnis prieigų valdymas, kelių lygių autentifikacija ar darbuotojų edukacija.
• Svarbu derinti tiek saugumo, tiek efektyvaus organizacijos veikimo poreikius, atsižvelgiant ir į vartotojų poreikius.
• Šioje kelionėje organizacijos gali pasitelkti išorės partnerius arba stiprinti vidines kompetencijas. Didžiausią vertę kuria specialistai, kurie yra ne tik technologijų ekspertai, bet supranta ir pokyčių valdymo svarbą, geba fasilituoti diskusiją.
Dalintis
