Pasak Nacionalinio kibernetinio saugumo centro Kibernetinės gynybos departamento Incidentų valdymo skyriaus Kompiuterių sistemų inžinierius Tomo Laurinavičiaus dažniausios priežastys, kodėl įmonės neskiria pakankamai dėmesio savo saugumui, yra rizikų nežinojimas ir žmogiškasis faktorius.
„Prieš pasirenkant kibernetinio saugumo priemones ypač svarbu atlikti išsamų rizikos vertinimą, kurio metu būtų identifikuotas organizacijos turtas bei potenciali kibernetinio incidento žala bei tikimybė. Didžioji dalis atakų yra paremtos socialine inžinerija, kurių metu išnaudojamos tokios darbuotojų emocijos, kaip patiklumas. Taip pat dažnai noras, sustiprinti savo pozicijas rinkoje ar tiesiog joje išsilaikyti, dažnai nusveria norą užtikrinti įmonės kibernetinį saugumą, jam neskiriant pakankamai lėšų ir laiko darbuotojų mokymams“, – sako T. Laurinavičius.
Tam, kad įmonė žinotų kokių apsaugos priemonių jai reikia, svarbu atlikti išsamią įmonės grėsmių ir rizikų analizę ir įvertinti kokią žalą įmonė gali patirti, įvykus kibernetinio saugumo incidentui. Įmonė, kuri nesiima jokių kibernetinių incidentų prevencijos priemonių, rizikuoja prarasti savo vidinius bei klientų duomenis. Kibernetinės atakos taip pat gali sustabdyti įvairius procesus įmonėje, pažeisti įmonės reputaciją ir taip pakenkti įmonės augimui ateityje.
„Neatlikus išsamaus vertinimo organizacijos dažnai prisiima nepakeliamas rizikas arba atvirkščiai – yra linkusios investuoti perteklinius išteklius, tiek materialius, tiek žmogiškuosius, siekdamos suvaldyti problemas, kurios galbūt nėra tokios reikšmingos organizacijos turto atžvilgiu. Atlikus išsamų rizikų vertinimą galima struktūriškai nustatyti, kokios rizikos galbūt yra priimtinos, o kurias galima perkelti arba valdyti taikant prevencines, atpažinimo ir korekcines rizikos kontrolės priemones“, – komentuoja kompiuterių sistemų inžinierius.
Kiekviena įmonė turi savo silpnųjų saugumo spragų, kurias kiekvienas įmonės darbuotojas turėtų gebėti atpažinti ir nedelsiant imtis priemonių, kurios sumažintu kibernetinių incidentų grėsmę. Kad galėtumėte įsivertinti kokios kibernetinio saugumo rizikos kyla jūsų įmonei, turite gerai išmanyti kokias vidines ir išorines sistemas naudojate. Žinodami kokie procesai atliekami naudojamose sistemose, bei kur saugote įmonės duomenis, galėsite lengviau atrasti ir saugumo spragas. Išsiaiškinkite, kokia sistema ar duomenų saugojimo platforma yra svarbiausia, jūsų įmonės veiklai.
Įvertinę kokios sistemos yra svarbiausios jūsų įmonei, pereikite prie galimų grėsmių identifikavimo. Kibernetinės grėsmės yra skirstomos į tris rūšis: grėsmė informacijos konfidencialumui, vientisumui arba prieinamumui. Rizikos turėtų būti klasifikuojamos pagal neigiamo poveikio įmonės veiklai tikimybę ir įtaką. Svarbu atkreipti dėmesį į tai, kad rizikos negali būti visiškai pašalintos, tačiau jas reikia nuolat vertinti, stebėti ir sumažinti iki jūsų įmonei priimtino lygio.
Įvardinę galimas grėsmes galėsite lengviau įvertinti ir numatomą incidentų žalą įmonei. Pasak Nacionalinio kibernetinio saugumo centro eksperto incidentai skirstomi pagal patiriamos žalos apimtį nuo minimalios (kai nėra sutrikdomi verslo procesai) iki kritinės įtakos (kai įmonės veikla nutraukiama).
„Kibernetinio incidento žala gali ne tik tiesiogiai paveikti įmonę, pavyzdžiui, nutekėjus svarbiems dokumentams ar praradus pajamas, bet ir netiesiogiai, kuomet yra pakenkiama įmonės reputacijai ar klientams, gaunamos baudos dėl bendrojo duomenų apsaugos reglamento pažeidimo. Tad įmonė turėtų įvertinti galimus incidentus ir nustatyti jų galimą poveikį organizacijai“, – teigia Tomas Laurinavičius.
Tik pažinę savo vidines ir išorines sistemas, įvertinę jų pažeidžiamumą ir įvardiję grėsmes ir rizikas galėsite apskaičiuoti galimą žalą ir imti racionalių priemonių kibernetinių atakų prevencijai ir nuolatinio saugumo užtikrinimui. Atlikta išsami saugumo analizė taip pat padės geriau suprasti kiek įmonės turės investuoti į kibernetinio saugumo priemones, kad išlaikytų balansą tarp investicijų į saugumo priemones ir jų grąžos. Įmonės saugumo rizikų analizė turėtų tapti nuolatos atliekamu veiksmu ir daroma ne rečiau nei kartą per dvejus metus.
Išsamų vadovą, kaip įmonėje atlikti rizikos analizę, galite rasti čia. Vadove pateikiama informacija apie rizikos analizės strategiją ir metodus, kuriais galite sumažinti rizikas iki priimtino lygio. Taip pat dėl kibernetinio saugumo rizikų valdymo visuomet rekomenduojama pasikonsultuoti su ekspertais ir įmonėmis, kurios teikia kibernetinių rizikų audito ir vertinimo paslaugas. Jos jums galės patarti ir kaip šias rizikas sumažinti.
Užsakymo nr.: PT_85286049