1. Hledejte způsoby, jak konsolidovat bezpečnostní nástroje

I když často jde o kompromis, průzkumy ukazují, že ve firmách lze vyškrtat až čtvrtinu softwarových nástrojů a chybět nebudou. Přístup je jednoduchý – zaměřte se na plné využití stávajících. Například menší firmy s licencí Microsoft 365 E3 nebo E5 mohou nasadit řadu již obsažených bezpečnostních produktů za velmi nízké dodatečné náklady. A když už na něco máte licenci, proč to nevyužít? Ujistěte se, pokud již máte řešení typu EDR nebo XDR, že jsou správně nasazena na každém serveru. Zkuste se zastavit, přestat hledat stále pokročilejší nástroje a ptejte se, kdo využívá nástroje, které už máte, a zda se jejich funkce nezdvojují.

2. Identifikujte zranitelná místa vašeho IT provozu

Klasický příklad – firma se rozhodne pro velkou migraci do cloudu. A jejím výsledkem jsou nejen nižší náklady, ale i vyšší chybovost a ros­tou­cí zranitelnost. Jako obvykle stojí i v tomto případě za většinou průšvihů lidská chyba a opomenutí dávno známého. Sledujte proto operační týmy IT – zda dodávají úroveň kvality, jakou jste očekávali. Může se například stát, že nedokončí aplikaci poslední sady záplat v době, kdy přijdou další, že nejsou schopny uplatnit stejnou úroveň důslednosti při výměnách firewallů třeba jen kvůli jejich zastaralosti. Totéž platí na samotná pravidla na firewalech nastavená. Sledujte metriky postupů, u každého kroku zvažujte jeho dopad na bezpečnost a definujte přijatelnou úroveň rizika pro váš podnik.

3. Prověřte a případně projednejte současné smlouvy s externími IT dodavateli

Některé organizace již nyní spoléhají na externí správce své IT bezpečnosti, v různých úrovních a záběru těchto činností. Kromě snižování nákladů a konsolidace dodavatelů je dobré mít partnery, kteří jsou smluvně zainteresováni na plnění domluvených bezpečnostních metrik. V současné době je příznivé klima pro vyjednávání lepších smluv s dodavateli. Jednou z největších nákladových položek v oblasti bezpečnosti je pouhé zachycení všech logů, které potřebujete, a jejich smysluplná správa. V této oblasti mnoho z licenčních nákladů na potřebný software nebo nákladů na správu zůstalo stejných nebo vzrostlo.

4. Věnujte svůj čas kontrole dodavatelského řetězce

Kontrolu dodavatelského řetězce snad letos ve firmách pomohou narovnat nová pravidla evropské směrnice NIS2. Opatrnost se ale vyplácí, a proto doporučujeme jít nad rámec nařízení, a kromě ověřování dodavatelů z hlediska jejich bezpečnostních postupů je vzdělávat a pomáhat jim posilovat jejich programy informační bezpečnosti.

5. Ve školeních neustávejte ani na domácí půdě

Každý den je odesláno průměrně 3,4 miliardy phishingových e-mailů cílících zejména na získání přihlašovacích údajů – aby útočník získal přístup k datům nebo spustil ransomware útok. Děsivé číslo. Relativně levným a osvědčeným způsobem, jak zde kybernetickou obranyschopnost posílit, zůstává pravidelné testování uživatelské pozornosti sofistikovanými nástroji pro simulaci kyberútoků.

6. Posilte svoji ochranu e-mailové komunikace

Pokud jste školení zorganizovali, pravděpodobně jste měli možnost si i vyzkoušet, jak vaši kolegové na typický phishing reagují a jak pokročilé útoky jsou schopni odhalit. Jednou z investic, jejíž rozpočet proto pravděpodobně nebudete chtít snižovat, je licencovaný produkt zaměřený na identifikaci hrozeb phishingu založených na e-mailovém obsahu. Nepodceňte ale ani čas věnovaný konfiguraci tohoto softwaru, aby bylo jeho využití co největší a rizika co nejmenší.

7. Zaměřte se na reakci na incidenty a odolnost firmy

Pokud plán A nevyjde a školení ani systémy nepomohou, je nutný plán B. Aktualizujte proto své postupy pro reakci na incidenty, neváhejte je pravidelně ověřovat a do tréninku nezapomeňte zahrnout celý Emergency Response Team – IT týmy, právní týmy, komunikaci, HR, finance i členy vrcholového vedení.

8. Bezpečnostní procesy automatizujte

A automatizujte, co půjde. Kvalitní software a jasně definované procesy výrazně urychlí vaši detekci hrozeb i reakci na ohrožení. Průměrné reakce detekce hrozby se u kvalitních produktů pohybují v řádu jednotek minut, řešení externím týmům pak trvá do 1 hodiny.

9. Nebojte se žádat výhodnější pojištění

Pojištění kybernetických rizik je náklad, kterému se nevyhnete. A protože pojišťovny vědí, jak vysoká jsou rizika, v posledních letech své sazby často navyšovaly. Kyberpojištění se tak v podstatě zněkolikanásobilo a vzrostla i spoluúčast. Na druhé straně některé pojišťovny „odměňují“ organizace, které investují do kybernetické bezpečnosti a řízení rizik. Systém je podobný tomu, co zná i váš šéf u svého havarijního pojištění vozu. Proto se nebojte smlouvat – díky jasně definované strategii a vhodným investicím nakonec výdaje na pojištění můžete výrazně snížit.

10. Školte víc, nabírejte míň

Mzdové náklady rostou, najít kvalitní lidi není snadné, a tak je ještě důležitější pracovat s těmi, které máte. Investujte častěji do školení než do rozšiřování týmu. Dovolte svým lidem být skutečnou součástí společnosti a posilujte jejich loajalitu. A nebojte se práci outsourcovat. Důležité je ale ve vlastních řadách najít schopné jedince, kteří mají skutečnou chuť se rozvíjet a růst v oblasti IT bezpečnosti a nebojí se například řídit práci dodavatelů.

Co k tomu dodat na závěr?

Nezapomeňte, že ekonomické podmínky se zase změní. Je v pořádku reagovat na krátkodobé potřeby, ale myslete i na ty dlouhodobé. Pokud se rozhodnete výrazně redukovat svůj tým nebo systémy, může to mít pro vás nepříjemné důsledky. Je třeba mít na mysli nejen obranu vůči kybernetickým hrozbám, ale druhotně i vaši schopnost v budoucnu přilákat nové odborníky do týmu. Na druhé straně ani neomezený rozpočet není řešením. Řešením je mít někoho, kdo ví, jak s tímto rozpočtem pracovat, a tým, který chce pracovat sám na sobě.

Karel Fišnar Autor textu zastává roli head of cloud solution and services v poradenské společnosti RSM Czech Republic & Slovakia.