Chtěli jste na COMIMPEX print ?www.c-print.cz

Checklist - máte ve firmě pokrytá všechna IT rizika?

Naše podnikání je v době vysoké závislosti na IT technologiích spojené s velkým množstvím rizik. Ať už se jedná o nebezpečí kybernetických útoků, které vás asi napadnou na prvním místě, nebo třeba rizika spojená se selháním hardwaru a nedostupností služeb, která se mnohdy podceňují.
Účelem tohoto článku není vás vystrašit a paralyzovat, ale pomoci vám udělat si přehled, jakým hrozbám už předcházíte a kde by bylo potřeba nějakou prevenci doplnit.

Kybernetické útoky

Tím, jak závažnost a četnost kybernetických hrozeb roste, je dobré tímto tématem začít. Peníze firem jsou mnohem lukrativnějším cílem, než peníze důvěřivých seniorů a i metody internetových podvodníků jsou čím dál záludnější.
  • Malware: do této kategorie řadíme hlavně viry, trojské koně a ransomware. Možností, jak nakazit svůj počítač a potažmo podnikovou síť je větší množství.
  • Phishing: Momentálně nejzávažnější metoda kybernetických útoků na citlivá data, protože využívá lidské psychiky, nepozornosti a možná i nedostatku sebekázně zaměstnanců a nelze mu předcházet jinak, než důsledným nastavením bezpečnostních protokolů ve firmě a školením zaměstnanců.
  • DDoS útoky: Snaha o přetížení serverů a výsledná nedostupnost webu nebo aplikací. Motivace útočníků může být také různá, od vlastního ega až po mezinárodní konflikty. Zejména v tom druhém případě se cílem stávají důležité prvky infrastruktury státu.

Úniky a ztráta dat

Jedná se o situaci, kdy jsou citlivé informace neoprávněně přístupné, jsou ukradeny nebo zveřejněny. Může se to týkat osobních údajů zákazníků, finančních informací, obchodních tajemství a i dalších interních dokumentů.
  • Úniky dat: takto se označují zásahy zvenčí, ať už formou hackerského nebo třeba phishingového útoku. Rizikem je především jejich zneužití.
  • Ztráty dat: dějí se vinou selhání technologií nebo lidskou chybou a nejedná se tak o výsledek vnějšího útoku. Data nejsou zneužita, ale jsou prostě pryč.

Nedostatečná ochrana a zabezpečení

Fyzická příčina, která může vyústit do dalších zmiňovaných hrozeb. Nedostatečná ochrana a zabezpečení IT infrastruktury představují jedno z největších rizik pro firmy. Výsledkem mohou být kybernetické útoky, narušení provozu a úniky nebo ztráty dat.
  • Zastaralé systémy a software: velké a pochopitelné lákadlo pro firmy. Něco funguje, tak proč to draze měnit. Zranitelnost nicméně není vidět očima a přichází dříve, než řekněme pokles výkonu. Zastaralý software nemusí mít podporu vydavatele, může představovat otevřenou vstupní bránu pro útočníky a nemusí být kompatibilní s novými nástroji kybernetické bezpečnosti.
  • Slabé zabezpečení sítě: Nedostatečná konfigurace firewallu, nešifrovaná komunikace mezi interními a externími systémy a slabá nebo výchozí hesla na zařízeních. Opět se jedná o pozvánku nejrůznějším útočníkům.
  • Chybějící aktualizace: pokud nejsou aktualizace systému nastaveny automaticky, hrozí prodlení a zvýšení zranitelnosti. Útočníci se zaměřují na neaktuální programy zejména proto, že jsou výrazně zranitelnější.
  • Nezabezpečené koncové body: pracovní stanice, mobilní zařízení, internet věcí. Víte, jaká všechna zařízení jsou připojena na podnikovou síť? Máte přehled o jejich zabezpečení? Do této kategorie patří i všechna zařízení zaměstnanců se vzdáleným přístupem.

Interní hrozby

Samostatnou kapitolou mohou být hrozby, které na vás číhají přímo u vašich vlastních zaměstnanců, ať už záměrné, nebo neúmyslné.
  • Neúmyslné interní hrozby: často platí, že nejhůře se bojuje proti hrozbám, které nesledují určitý cíl. Takové se těžko předvídají. Přesto se dají alespoň rozdělit na nesprávné zacházení s programy (nastavení, hesla), nechtěná zveřejnění informací, nechtěná smazání dat a potom ztráty nebo krádeže zařízení.
  • Úmyslné interní hrozby mohou být zákeřnější, ale zase většinou sledují jasné cíle a jsou předvídatelné. Zneužití přístupu k informacím, úmyslné sabotáže dat nebo bezpečnosti, prodej informací konkurenci.

Selhání systémů a dostupnosti

Výpadky způsobené poruchou hardware nebo software způsobují nedostupnost IT služeb směrem dovnitř, zaměstnancům, i směrem ven, zákazníkům. V obou případech mohou vést k finančním ztrátám a na straně zákazníků ke škodám na reputaci.

Nedodržení právních předpisů a regulací

Současné nastavení pravidel v souvislosti s ochranou osobních dat představuje pro firmu řadu výzev. V první řadě se jedná o GDPR, pro firmy podnikající mimo EU jsou to ale i jiné místní předpisy. Existuje evropská směrnice týkající se kybernetické bezpečnosti NIS, oblast finančních služeb má své regulace, dalším tématem jsou předpisy týkající se ochrany osobních údajů zaměstnanců.

Selhání v těchto oblastech s sebou nese rizika právních postihů, soudních sporů a v neposlední řadě ztrátu reputace u zákazníků nebo investorů.

Prevence a opatření?

Na prvním místě je potřeba si říci, že se jedná o komplexní problematiku, kterou nelze účinně řešit vlastními silami a nebo po částech. Nejlepším postupem je konzultovat nebo předat celou agendu externímu dodavateli s dostatečnými zkušenostmi, personálním i technickým vybavením.

Správný výsledek bude potom kombinací monitoringu stavu zařízení a aktualizací programů, dostatečné kybernetické ochrany, správného nastavení interních procesů a školení zaměstnanců.

Určitě se obraťte na nás, se zajištěním kompletní ochrany proti všem rizikům spojených s využívání informačních technologií máme mnohaletou praxi.