»Informacijska varnost je žgoča tema, niti najmanj ni enostavna, saj gre za kombinacijo ljudi, procesov in tehnologije. Poslovanje, procese in človeka je treba pametno umestiti v digitalni svet,« je uvodoma dejal Pavle Jazbec, izvršni direktor družbe Unistar PRO. S sodelavci je v nadaljevanju predstavil tehnološke in organizacijske smernice, s katerimi se bodo letos in v prihodnjih letih srečevale organizacije. Trendi v svetu kažejo, da večina podjetij digitalno preobrazbo jemlje resno; 93 odstotkov vodstev podjetij namreč v prihodnjih dveh letih načrtuje bolj ali manj temeljito reorganizacijo poslovanja, 77 odstotkov pa jih že koraka po poti lastne digitalne preobrazbe.
Skladnost (še) ni varnost
V letu, ki ga bosta zaznamovali evropski regulativi – uredba GDPR in direktiva NIS –, se podjetja več posvečajo zaščiti in ravnanju s podatki. A pristop, ki ga ubirajo, je pogosto napačen, saj želijo predvsem doseči skladnost z regulativo, namesto da bi izzive reševala celostno ter vpeljala kakovostne rešitve zagotavljanja in upravljanja informacijske varnosti.
Direktor prodaje in marketinga Igor Hostnik je udeležencem konference predstavil vpliv kibernetičnih groženj na poslovanje in pojasnil, da se morajo podjetja tega bolj zavedati, saj se danes njihovo poslovanje srečuje z drugačnimi, novimi varnostnimi tveganji kot pred leti. Udeležence je nato pomiril z izjavo, da kibernetske grožnje vendarle niso neustavljive niti niso znanstvena fantastika.
A sledil je nov »šok«, ko je predstavil povzetek raziskave, ki razkriva, da podjetja v Evropski uniji tedensko v povprečju doletita 2,5 varnostna incidenta, pri katerih so napadalci uspešni. »Podjetje, ki meni, da se mu varnostni incidenti ne dogajajo, laže samo sebi,« je dejal.
Varnostni incidenti po njegovih besedah podjetjem povzročajo stroške, nekatera jih znajo pravilno izračunati, druga ne. Posredni stroški so praviloma višji od neposrednih, saj gre za izgubo ugleda in posla, pa tudi za višje zavarovalne premije in stroške financiranja, motnje poslovnih procesov, slabše odnose s strankami in podobno. »V očeh vodilnih je varnost strošek, a gre za nujen izdatek. Je pa res, da strošek za varnost ni premo sorazmeren z zrelostjo informatike. Kibernetska varnost namreč ni le IT, temveč poslovni izziv,« pojasnjuje Hostnik.
Izziv sta že odkrivanje in komuniciranje varnostnih incidentov
Varnostni strokovnjaki iz družbe Unistar PRO so udeležencem konference RoglIT predstavili, zakaj je pravilno odzivanje na varnostne incidente odločilnega pomena. Prvi izziv je že njihovo odkrivanje, nato pa tudi ustrezno komuniciranje z zaposlenimi, strankami in regulatornimi organi ter organi pregona.
Če naj se podjetja izognejo ali pa vsaj omilijo ohromitev poslovanja, je preventiva sicer učinkovita, a ni vedno izvedljiva. Načrt neprekinjenega poslovanja mora odgovoriti na vprašanje, kaj vse se lahko podjetju zgodi. Podjetje mora zato glede skrbi za varnost poslovanja opredeliti kritične poslovne procese, opraviti analizo vpliva na poslovanje ter analizo upravljanja tveganj, šele nato se lahko loti ustreznih ukrepov varovanja podatkov, procesov in poslovanja.
»Vzpostaviti je treba sistem zaznavanja varnostnih incidentov – te prakse, žal, v slovenskih podjetjih skoraj ni. Odziv je odvisen tudi od kategorizacije oziroma razvrstitve tveganj. Vsako krizo oziroma varnostni incident mora podjetje ustrezno komunicirati, primerno predstaviti. Pometanje pod preprogo in pretvarjanje, da se nič ni zgodilo, ne pride v poštev,« je povedala Alenka Glas, samostojna specialistka s področja informacijske varnosti.
V nadaljevanju konference bodo strokovnjaki podjetja Unistar PRO in partnerskih podjetij predstavili več primerov dobrih praks ter na delavnicah preverili, kako prepoznati varnostne grožnje in se pred njimi učinkovito (u)braniti.