Cyberbezpieczeństwo firmy: jak tworzyć i skutecznie egzekwować strategię cybersecurity?

Ataki cyberprzestępców stwarzają zagrożenie dla przychodów, reputacji i działalności operacyjnej przedsiębiorstw. Stąd cyberbezpieczeństwo firmy trzeba traktować jako priorytet. Chcąc zapewnić bezpieczeństwo cybernetyczne, należy przygotować dobrze zdefiniowaną strategię. Równie ważne jest to, by ustalone zasady bezpieczeństwa były faktycznie respektowane.

Świadomość zagrożeń podstawą cyberbezpieczeństwa firmy

Fundamentem cyberbezpieczeństwa jest świadomość zagrożeń. W pełni świadomy powinien być cały personel zatrudniony w przedsiębiorstwie. Choć bowiem o ryzykach cybernetycznych mówi się dużo, to jednak wielu ludzi wciąż nie ma o nich wystarczającej wiedzy.

Poznaj program konferencji “Cybersecurity Management” >>

Przykładowo niektórzy zatrudnieni w firmach MŚP sądzą, że ich firma jest zbyt mała, by mogła zostać celem ataków hakerskich. Statystyki ukazują jednak co innego. Internetowi przestępcy najczęściej atakują właśnie najmniejsze podmioty, których zabezpieczenia często są niewystarczające.

Tymczasem system bezpieczeństwa jest tak silny, jak jego najsłabsze ogniwo.

Czasem wystarczyć może nieświadomość i błąd tylko jednego pracownika, by atak cyberprzestępców przyniósł całej organizacji ogromne szkody. Wszakże starty finansowe będące efektem ataków np. na łańcuchy dostaw technologii informacyjnych i komunikacyjnych sięgają niebotycznych sum.

Chcąc zapewnić bezpieczeństwo cybernetyczne, należy przygotować dobrze zdefiniowaną strategię.
Chcąc zapewnić bezpieczeństwo cybernetyczne, należy przygotować dobrze zdefiniowaną strategię.
canva.com

Do tego trzeba przecież doliczyć starty wizerunkowe wynikające np. z wycieku baz danych klientów. Nierzadko ataki cybernetyczne walnie przyczyniają się do upadku przedsiębiorstw. Dane wskazują, że aż 60% małych firm upada w ciągu 6 miesięcy od cyberataku.

Cyberbezpieczeństwo wpisane w całą strategię firmy

Świadomość cyberzagrożeń powinna być powszechna w całej firmie, a zwłaszcza wśród osób zarządzających. Cyfrowa rewolucja i powiązana z nią digitalizacja przedsiębiorstw staje się przecież coraz szybsza. Implementacja nowych technologii to zaś szansa dla przedsiębiorców. Mogą oni uzyskać kolejnych klientów, zwiększać przychody i minimalizować koszty.

Trzeba tu jednak pamiętać, że nowe technologie to nie tylko szanse, ale i zagrożenia. Stąd konieczne jest, by strategię cyberbezpieczeństwa firmy traktować jako priorytet. Osoby decyzyjne przy podejmowaniu każdej decyzji powinny zwracać uwagę na cyberbezpieczeństwo. Pamiętać należy o tym, zwłaszcza podczas wprowadzania nowości technologicznych i usprawniania procesów.

Cele systemu cyberbezpieczeństwa

By móc tworzyć strategię cybersecurity, trzeba określić kilka kluczowych kwestii. Przede wszystkim trzeba odpowiedzieć na następujące pytania:

  • Co ma być przedmiotem ochrony? Z pewnością będą to bazy danych, stacje robocze i inne urządzenia podjęte do sieci. Należy jednak wszystko określić w precyzyjny i zrozumiały sposób.
  • Przed jakimi zagrożeniami trzeba się chronić? Strategia powinna być kompleksowa i zapewniać ochronę przed wszystkimi zagrożeniami. Dotyczy to zwłaszcza phishingu, smishingu, zgubienia dokumentów, ataków DoS i DDoS, ransomware, botów, trojanów i innego złośliwego oprogramowania. Należy jednak przeanalizować jaki typ ataków w przypadku danej firmy jest szczególnie niebezpieczny.
  • Jakie sposoby ochrony zostaną zastosowane? W strategii należy określić wszystkie metody, jakie są stosowane do zapewnienia ochrony. Jednocześnie należy się upewnić, czy są one wystarczające.

Samą strategię cyberbezpieczeństwa należy traktować jako tajemnicę przedsiębiorstwa. System będzie tym skuteczniejszy, im mniej osób z zewnątrz zna jego tajniki.

Zakres strategii cyberbezpieczeństwa

W planie cybersecurity powinno się określić nie tylko bieżące, ale potencjalne przyszłe zagrożenia czyhające na dane przedsiębiorstwo. Wskazane jest więc, by strategię i cele do zrealizowania ustalić dla różnych horyzontów czasowych. Dobra strategia określa, jakie konkretne zmiany zostaną wprowadzone w najbliższych miesiącach. Ponadto powinna ujmować przynajmniej ogólne założenia na najbliższe lata.

Aktywna i zaawansowana strategia cybersecurity wymaga też ustalenia procedur reagowania na ataki cybernetyczne. Czas i sposób reakcji w przypadku tego typu sytuacji ma przecież duże znaczenie. Strategia powinna również określać sposób naprawy potencjalnych szkód.

Ustalenie zasad bezpieczeństwa

Wskazane jest, by strategia zapobiegania atakom cybernetycznym została sporządzona na piśmie. Słowne ustalenia mogą prowadzić do nieporozumień i błędów. Z zasady im więcej metod bezpieczeństwa się korzysta, tym system ochrony skuteczniejszy. Bezpieczeństwo można zwiększyć między innymi przez:

  • Systematyczne aktualizowanie oprogramowania;
  • Uwierzytelnianie silnym hasłem dostępu do stacji roboczych, komputerów, sieci i poczty elektronicznej;
  • Wykonywanie zapasowych kopii danych z przekazywaniem ich do innych lokalizacji;
  • Identyfikację z zastosowaniem metod biometrycznych.

Przy wypracowaniu dobrych praktyk w zakresie cyberbezpieczeństwa trzeba zachować balans. Cyberbezpieczeństwo w żadnym stopniu nie powinno kolidować z rozwojem przedsiębiorstwa.

Określanie budżetu na cyberbezpieczeństwo firmy

Strategia cybersecurity i jej egzekwowanie generuje koszty finansowe i czasowe. Cyberbezpieczeństwo w firmie to jednak inwestycja w długoterminowe bezpieczeństwo. To, jaki konkretnie budżet będzie zasadny, jest uzależnione od specyfiki i etapu rozwoju przedsiębiorstwa.

Wsparciem w rozwijaniu technik cyberbezpieczeństwa, mogą okazać się dotacje unijne. Część z nich umożliwia pozyskanie środków właśnie na zwiększenie bezpieczeństwa cybernetycznego. Jest bardzo prawdopodobne, że wsparcie tego typu będzie coraz szerzej dostępne. W ramach strategii cybersecurity można więc cyklicznie sprawdzać bieżącą dostępność dofinansowań na ten cel.

Egzekwowanie strategii cyberbezpieczeństwa w firmie

By strategia w zakresie cyberbezpieczeństwa przynosiła skutki, konieczne jest monitorowanie i bieżące zarządzenie działaniami. Nadzorowanie i koordynowanie zmian jest równie ważne, co rozwiązania technologiczne wykorzystywane w systemach bezpieczeństwa.

Można się tu posłużyć zasadą SMART. Mówi ona o tym, że cel powinien być sprecyzowany, mierzalny, osiągalny, istotny i określony w czasie. Jeśli więc przykładowo strategia zakłada przeszkolenie pracowników z zakresu phishingu, to powinno się wyznaczyć osobę, która ma być za to odpowiedzialna. Można jej przykładowo ustalić cel, by do określonej daty minimum 90% pracowników firmy zostało przeszkolonych.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Jak tworzyć i skutecznie egzekwować strategię cybersecurity w firmie?

Udoskonalanie strategii cybersecurity w przedsiębiorstwie

Technologia rozwija się w tempie wykładniczym. Niemal pewne jest to, że z każdym rokiem zmiany będą coraz szerzej zakrojone. Przynosi to nie tylko ogromne szanse, ale też i kolejne zagrożenia. Cyberbezpieczeństwo w coraz większym stopniu będzie zaś decydowało o konkurencyjności przedsiębiorstw.

Ze względu na tempo zmian zapewnienie strategii cyberbezpieczeństwa trzeba traktować jako proces. Rozwiązania, które jeszcze kilka miesięcy temu były odpowiednie, dziś mogą okazać się już niewystarczające. Zagrożenia w cyberprzestrzeni ciągle przecież ewoluują. Z kolei cyberprzestępcy są coraz lepiej zorganizowani i działają we wręcz profesjonalny sposób.

Postawa reaktywna i reagowanie dopiero po zajściu cyberataku to zbyt mało. Zamiast tego należy działać proaktywnie. Oznacza to przewidywanie możliwych ataków i wprowadzanie środków zapobiegawczych.

Istotne jest to, by określić, w jakich odstępach czasu należy przeprowadzać audyt strategii cybersecurity w firmie. Wtedy to można przeprowadzić redefinicję zagrożeń i wprowadzać stosowne usprawnienia. Można polecić, by takie działania zostały przeprowadzone co najmniej raz w roku.

Szkolenie pracowników z zakresu cyberbezpieczeństwa

W zdecydowanej większości przypadków czynnik ludzki jest przynajmniej częściowo odpowiedzialny za to, że hakerom udało się przeprowadzić atak. Pozornie mały nieświadomy błąd może zaś doprowadzić do powstania ogromnych strat. Stąd tak ważne jest, aby wszyscy pracownicy w firmie byli odpowiednio przeszkoleni.

Należy przy tym zauważyć, że wielu pracowników firmy niechętnie uczestniczy w szkoleniach z cyberbezpieczeństwa. Przykładowo przedstawiciel handlowy może być bardziej zainteresowany szkoleniem z technik negocjacji niż z cybersecurity. Po prostu może uznać to pierwsze szkolenie za bardziej potrzebne w swojej codziennej pracy.

Dlatego też w kwestii realizowania strategii cyberbezpieczeństwa tak ważna jest komunikacja i zarządzanie. Pracownicy powinni być stale uświadamiani, jak duże ryzyko wiąże się z cyberatakami. Ponadto warto ich zachęcać do aktywnego uczestnictwa w szkoleniach dotyczących tej kwestii.

Osoby odpowiedzialne za opracowanie strategii bezpieczeństwa

W realizowanie zasad bezpieczeństwa powinni zostać zaangażowani wszyscy pracownicy firmy. Z kolei to, jakich specjalistów zaangażować w przygotowanie strategii cybersecurity zależy od specyfiki konkretnego przedsiębiorstwa.

Zawsze w opracowywaniu strategii uczestniczyć powinni eksperci ds. cyberbezpieczeństwa oraz szerzej pojmowani specjaliści IT. Większe firmy coraz częściej mają własnych pracowników, a nawet całe działy dedykowane kwestii bezpieczeństwa cybernetycznego. Zawsze jednak warto rozważyć okresowe zaangażowanie kogoś z zewnątrz, kto krytycznym okiem spojrzy na cały system zabezpieczeń.

Trzeba tu też mieć świadomość, że zawód specjalistów ds. cyberbezpieczeństwa jest mocno deficytowy na rynku, a zapotrzebowanie na tego typu ekspertów rośnie niezwykle szybko. Jednym z rozwiązań na braki kadrowe może okazać się reskilling i upskilling.

Dział prawny a strategia cybersecurity

Duże znaczenie może też mieć zaangażowanie w cały proces prawników, zwłaszcza w kwestiach zabezpieczenia baz danych osobowych. Dotyczy to nie tylko RODO i informacji w chmurach. Znaczenia mają też inne dane wrażliwe przetwarzane w e-biznesie oraz handlu elektronicznym.

Tymczasem każdy potencjalny problem z cyberbezpieczeństwem może skutkować konsekwencjami prawnymi. Na uwadze trzeba mieć to, że cyklicznie na poziomie krajowym i międzynarodowym przeprowadzane są zmiany legislacyjne związane z bezpieczeństwem danych osobowych. Dotyczy to choćby unijnych regulacji DORA.

Poznaj program warsztatów online “Rozporządzenie DORA dla zarządów, działów prawnych i compliance”, 30 maja 2023 >>

Ubezpieczenie od cyberryzyk

Polski rynek ubezpieczeniowy oferuje coraz bardziej rozbudowane polisy od ryzyk cybernetycznych. Produkty tego typu mogą zapewnić przynajmniej częściową ochronę przed skutkami ataków cyberprzestępców. Ubezpieczenie od ryzyk cybernetycznych może więc pokryć koszty związane z roszczeniami i naprawą szkód, które powstały w wyniku działań hakerów.

Należy mieć na uwadze, że zakres poszczególnych polis mocno się od siebie różni. Różnice dotyczą zakresu ochrony i poziomu składki ubezpieczeniowej. Kluczem jest to, by dopasować ubezpieczenie od ryzyk cybernetycznych do potrzeb konkretnej organizacji. Tej kwestii warto przyjrzeć się właśnie podczas ustalania strategii cyberbezpieczeństwa firmy.

Autor: Mikołaj Pasecki, Redaktor, Bankier.pl

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.