Aktuální témata kybernetické bezpečnosti
S H. Erkingerem a Ch. Mondlem o příležitostech a rizicích New Work
Harald Erkinger, generální ředitel společnosti CIS, a Christoph Mondl, jeden z CEO společnosti Quality Austria, zahájili 19. září 2023 letošní summit CIS Compliance Summit na téma "New Work - potenciál nebo hrozba pro bezpečnost a soukromí".
Oba dva jsme pozvali k virtuálnímu kulatému stolu, kde jsme hovořili o New Work, příležitostech a tipech.
"New Work" - co přesně se za tímto pojmem skrývá a má skutečně budoucnost?
Harald Erkinger: Jak všichni víme, digitalizace poznamenala mnoho oblastí - trh práce není výjimkou a "new work" tu rozhodně zůstane. "New work" je jakýmsi souhrnným označením pro mnoho změn v každodenním pracovním životě, které stále více vyžadují zejména mladí pracovníci. Patří k nim flexibilní práce nezávislá na místě výkonu práce, velká míra sebeurčení a rozhodovacích pravomocí a také individuální úprava volna. Pokud chtějí podniky na trhu práce obstát a zabodovat u mladé generace, musí držet krok s požadavky a tepem doby - zejména v současné době nedostatku kvalifikovaných pracovníků
Jaký vliv má " New Work" na kybernetickou bezpečnost a ochranu soukromí?
Harald Erkinger: S odklonem od tradiční hierarchie, pracovní doby a místa představuje " New Work" výzvu pro mnoho společností a jejich vedoucí pracovníky informační bezpečnosti nebo CISO (Chief Information Security Officers). Zaměstnanci jsou zde příležitostí, ale také rizikovým faktorem: odpovídající osvěta, zvyšování povědomí a sociální inženýrství na všech stupních hierarchie jsou základem všeho. Kybernetické útoky a hackeři se neustále přizpůsobují "tepu času", např. doba, kterou útočníci potřebují ke vstupu do sítě, je stále kratší (podle zprávy Global Threat Report to v roce 2022 bylo v průměru asi 1 hodina a 24 minut).
Ale také odpovídající bezpečnostní kultura, systematicky podporovaná například systémy řízení a normami, jako je ISO 27001 pro bezpečnost informací, ISO 27701 pro ochranu dat nebo ISO 27017 či ISO 27018 pro cloudové služby, pomáhá rozvíjet a optimalizovat potenciál.
BYOD (Bring your own device) je také často zmiňován jedním dechem s udržitelnými koncepty. Jak to vidíte vy, jaké jsou výhody, ale i rizika, když zaměstnanci používají svá vlastní zařízení?
Christoph Mondl: Zkratka "BYOD" znamená "Bring your own Device" a znamená, že lidé pracují na svých soukromých zařízeních, nikoli na zařízeních poskytnutých firmou. Na jedné straně to pro zaměstnance znamená větší flexibilitu, pokud mohou pracovat na zařízeních, na která jsou zvyklí, ale na druhé straně je to pro firmu obtížnější, pokud se používá mnoho různých soukromých zařízení a uložená data je nakonec obtížné kontrolovat.
Určitou střední cestou by byl systém "COPE" (Corporate Owned, Personally Enabled) nebo CYOD (Choose Your Own Device) - kdy zařízení zůstávají majetkem společnosti, ale lze je používat i pro soukromé účely - tato metoda by takříkajíc kombinovala to nejlepší z obou světů.
Bez ohledu na to, jaká technická opatření jsou v souvislosti s ochranou údajů přijata, nakonec vždy záleží na lidském faktoru. A zde je obzvláště důležité vytvořit takovou kulturu zabezpečení, aby byl celý tým pravidelně informován o aktuálních hrozbách a bezpečnostních opatřeních.
Na jaké základní tipy by firmy měly pamatovat, pokud jde o kybernetickou bezpečnost?
Christoph Mondl: Často hovoříme o procesu neustálého nebo průběžného zlepšování, tedy o jakési pravidelné inventuře: jak si aktuálně stojíme jako firma nebo jak jsou na tom naše procesy? Kam chceme směřovat, jaké jsou naše silné stránky, ale kde jsou naše slabiny? A neméně důležité je šířit zdravou skepsi a uvědomělost. To jde ruku v ruce se zásadou "přemýšlej, pak klikej!
Zaměstnanci, ale i manažeři musí mít povědomí o nebezpečích na síti a naučit se jim čelit. Proaktivním opatřením - pokud by došlo k mimořádné události - je havarijní plán, kterého lze nejsnáze dosáhnout zavedením řízení kontinuity provozu podle normy ISO 22301.