A legjobb biztonsági stratégiák kellően rugalmasak, és
alkalmazkodni tudnak az aktuális körülményekhez és piaci
feltételekhez. A koronavírus járvány kikényszerítette azt, hogy
a szakértők módosítsák és újra priorizálják biztonsági
terveiket. A koronavírus járvány legszembetűnőbb
következményeként új munkamódszerek jöttek létre, felerősödtek
az online csatornák és felgyorsult a felhőbe való migráció.
Ezzel együtt megváltoztak a kibertámadások célpontjai,
csökkentek a költségvetések, és így a biztonságra fordított
összeg is, illetve az elbocsátásokkal megnőtt a humán kockázati
faktor – hívta fel a figyelmet közleményében a Deloitte.
Az IT biztonsági szakértők a fentiekből adódóan több
kihívással is szembesülnek. A távoli munkavégzéssel bevezetett
új platformok, megoldások kiterjesztik a vállalatok biztonsági
határvonalait és növelik a támadási felületet, illetve az
ügyfelek online csatornákra terelése megnövelheti a forgalom
kapacitási problémákat.
Az ellátási láncok akadozása, a fogyasztói szokások
megváltozása és a vészhelyzet okozta kényszerű bezárások
gazdasági recessziót indítottak el. Sokéves növekedés után
bizonytalanná válnak a jövőbeli kilátások. Számos vállalat
elkezdte csökkenteni minden olyan költségét, amely nem döntő
jelentőségű az üzlet szempontjából. Az általános
költségcsökkentés kihatással lehet a biztonságra fordítandó
kiadásokra is – mondta dr. Marton Károly, a Deloitte
Információbiztonsági szakértője.
Az egészségügyi szolgáltatók és létesítmények elleni
zsarolóprogram támadások mellett célponttá váltak az otthoni
munkát végzők is, akik sebezhetőbbek és fogékonyabbak az ún.
social engineering típusú támadásokra. A leépítések során
elbocsátott emberek elveszíthetik a vezetőségbe és a szervezetbe
vetett bizalmukat, a munkahelyi morál és lojalitás csökkenhet –
ez pedig akár rosszindulatú tevékenységekre is ösztönözheti
őket.
Az üzleti és informatikai vezetők olyan kihívásokkal
szembesültek tehát, amelyekkel még nem találkoztak korábban,
ezért túlélési üzemmódba kapcsoltak: arra koncentrálnak, hogy
az üzleti működés életképes maradjon, az ideális folyamatok és
biztonsági követelmények pedig ilyenkor könnyebben háttérbe
szorulhatnak – mondta Szöllősi Zoltán, a Deloitte IT kockázati
tanácsadási csoportjának igazgatója.
A vállalkozásoknak alkalmazkodniuk kell az új valósághoz és
hozzá kell igazítaniuk IT biztonsági stratégiájukat a
megváltozott üzleti körülményekhez. Ennek biztosítása
érdekében a következő lépéseket érdemes figyelembe venni:
Értsük meg az üzleti környezetet!
Felül kell vizsgálni az
üzletágat érintő piaci feltételeket. Beszélgetni kell az üzleti
vezetőkkel az új szervezeti vagy üzleti stratégiákról és
célkitűzésekről. Egyeztetni kell a műszaki vagy IT vezetőkkel,
hogy milyen változások voltak vagy lesznek, és milyen megoldások
várhatók a már meglévő infrastruktúrában, architektúrában.
Alaposan meg kell érteni, hogy melyek a kritikus eszközök a
jelenlegi helyzetben. Át kell tekinteni a fenyegetettségi térképet
annak érdekében, hogy megértsük, milyen típusú fenyegetettségek
a legvalószínűbbek, és melyek lehetnek legnagyobb hatással a
kritikus eszközeinkre. Javasolt az IT kockázatértékelés
végrehajtása, frissítése.
Gondoljuk újra a kiberbiztonsági területek fontossági sorrendjét! Tekintsük át a szervezet biztonsági keretrendszerében a védendő területeket. Gondoljuk át, hogy mely képességeket kell csökkenteni vagy megszüntetni. Gondoljuk át, hogy mely képességeket kell továbbfejleszteni, vagy újonnan kiépíteni. A döntések meghozatalakor figyelembe kell venni az üzleti körülményeket.
A stratégia újradefiniálása
Biztonsági stratégiánkban
tekintsük át a célkitűzéseket és a védelmi intézkedéseket.
Az új prioritásokhoz kell igazítani őket. Figyelembe kell venni a
biztonsági kontrollok költségeit, erősségeit és üzleti
hatásait. Nem csak a bevált „jógyakorlatok” keretein belül
érdemes gondolkodni. Át kell gondolni, hogy mi működik a
legjobban a jelenlegi, valós helyzetben. Eljött a „Lean Security”
ideje, az a megközelítés, amikor meg kell szabadulni attól, ami
nem jelent értéket a biztonság fenntartása szempontjából. Az
összes szükségtelen költséget vitatni fogja a vezetőség, ezért
IT biztonsági vezetőként okos döntéseket kell hoznunk.
Ezek mindössze csak az alapvető lépések, amelyeket meg lehet
tenni a kiberstratégia jelenlegi és jövőbeli piaci feltételekhez
történő igazítása érdekében.
