Połączenia międzysystemowe narastają wykładniczo. Niewiele jest przedsiębiorstw i organizacji, które nie polegają na łączności i technologiach cyfrowych. Osoby fizyczne i firmy dokonują rutynowo transakcji o wartości miliardów dolarów i trudno sobie wyobrazić współczesne życie bez obecności w Internecie.
A to sprawia, że każdy może się stać głównym celem działań przestępczych oportunistów i zorganizowanych grup przestępczych. Dane osobowe przechowywane w bazach danych dają dostęp do danych kart kredytowych, aktywów finansowych i własności intelektualnej. Można je wykraść bez żadnego fizycznego ryzyka dla przestępcy. A takie ataki typu ransomware mogą generować duże wypłaty od ofiar zdesperowanych, aby odzyskać kontrolę nad swoimi zasobami.
Jednocześnie przedsiębiorstwa i organizacje są oceniane nie tylko na podstawie jakości swoich produktów i usług, jak to miało miejsce w przeszłości. Są one oceniane na podstawie tego, jak dobrze zarządzają m.in. kwestią bezpieczeństwa, równości i różnorodności, środowiska i zrównoważonego rozwoju, a także bezpieczeństwa informacji. Spółki notowane na giełdzie podlegają ocenie ESG, obejmującej wyżej wymienione i inne kryteria.
Dlatego właśnie organizacje - aby być konkurencyjnymi i odnieść sukces w dzisiejszych czasach - muszą wykazać się zaangażowaniem i zarządzaniem wszystkimi tymi obszarami. Bezpieczeństwo informacji było kiedyś uważane za obowiązujące tylko dla firm z branży ICT. Dziś, kiedy każdy jest narażony na ryzyko, a dowód zarządzania nim staje się coraz częściej wymagany, sposób podejścia do tego tematu w naturalny sposób pojawia się w strategiach korporacjyjnych.
Nikt nie jest odporny na ataki
Osoby fizyczne dają się nabrać na kilka złotych, korzystając z fałszywych ofert otrzymywanych w e-mailach i mediach społecznościowych. Rządy, służby edukacyjne, instytucje zdrowotne i sieci energetyczne są szantażowane koniecznością płacenia ogromnych sum pieniędzy, aby uchronić najważniejsze systemy przed zniszczeniem. Organizacjom komercyjnym kradnie się cenne aktywa, a dostawcy usług teleinformatycznych i komunikacyjnych znajdują się na wysokiej pozycji na liście celów hakerksich, ponieważ umożliwiają dostęp do organizacji korzystających z ich usług.
Siła ataku zmieniła się od indywidualnych hakerów czerpiących przyjemność z infiltracji sieci dla czystej zabawy, poprzez złośliwe zakłócenia, aż po działalność przestępczą generującą duże sumy pieniędzy poprzez uszczknięcie małych kwot od dużej liczby osób, aż po żądanie dużej zapłaty od jednego podmiotu.
Mając tak wiele do stracenia, wszystkie firmy muszą ocenić swój obraz ryzyka oraz rodzaj zagrożeń i ataków, na które są podatne. Dokonując takiej oceny, firmy muszą również zbadać, jak bardzo są narażone na ataki pochodzące od ich klientów lub dostawców oraz jak atak na ich własne systemy może wpłynąć na ich łańcuch wartości
Chociaż nadal istnieją, proste wirusy i ataki z dawnych lat mogą być najmniej skomplikowane, w porównaniu do tych, z którymi trzeba sobie radzić dziś. Organizacje prowadzą obecnie wyścig z cyberprzestępczością, ale nieuchronnie zawsze są o krok z tyłu. Podczas gdy zajmują się obroną przed ostatnim zagrożeniem, działania hackerskie już ewoluują w kierunku kolejnego etapu.
Budowanie odporności biznesu i zaufania interesariuszy
Każde uniknięte zagrożenie może być lekcją i wiedzą wykorzystywaną do rozwoju i przewidywania obrony przed atakami. Jednak w zarządzaniu bezpieczeństwem informacji chodzi o coś więcej niż ograniczanie krótkoterminowego ryzyka. Chodzi również o budowanie długoterminowej odporności. Wprowadzenie solidnych ram do identyfikacji, zarządzania i ograniczania ryzyka będzie motorem ciągłego doskonalenia, stworzy zorganizowane zarządzanie i wzmocni ciągłość biznesową.
System zarządzania bezpieczeństwem informacji (ISMS) zgodny z międzynarodowymi najlepszymi praktykami, takimi jak ISO/IEC 27001, pomaga każdej firmie zrozumieć rzeczywisty obraz ryzyka, wdrożyć środki zapobiegające naruszeniom bezpieczeństwa oraz procesy obsługi wszelkich incydentów. Ponadto zapewnia on ustrukturyzowane ramy dla opracowywania i wdrażania procesów i kontroli bezpieczeństwa, zapewniając zaangażowanie kierownictwa i szkolenia pracowników.
Rozwój ISMS organizacji to praca małego zespołu, jednak do jego wdrożenia wymagane jest zaangażowanie wszystkich pracowników. Większość ataków jest inicjowana przez nieostrożne działanie jednego pracownika - kliknięcie na link w e-mailu phishingowym, użycie zainfekowanej pamięci USB, ustawienie słabego hasła lub udostępnienie go obcej osobie. Takie działania rzadko są celowe, ale mogą być szkodliwe. Dzięki odpowiedniemu szkoleniu można ich uniknąć, ale firmy muszą zadbać o to, aby szkolenie miało strukturę ogólnofirmową i obejmowało wszystkich pracowników przez cały czas.
Organizacja może opracować system zarządzania bezpieczeństwem informacji w oparciu o własny system lub normę ISO/IEC 27001, przeprowadzając własne lub zewnętrzne audyty w celu weryfikacji zgodności. Nie ma jednak możliwości niezależnego wykazania klientom i innym zainteresowanym stronom, że system został wdrożony i działa skutecznie.
Certyfikacja na zgodność z normą ISO/IEC 27001 stanowi niezależny dowód, że system zarządzania bezpieczeństwem informacji jest zgodny z wymaganiami normy. Buduje zaufanie wewnętrzne i umożliwia wiarygodne informowanie klientów, dostawców i innych zainteresowanych stron, że system zarządzania bezpieczeństwem informacji został oceniony i uznany za spełniający wymagania przez zewnętrzną jednostkę certyfikującą. Certyfikacja wymaga również corocznych audytów systemu zarządzania oraz dowodów, że pozostaje on dostosowany do celu, co buduje odporność przedsiębiorstwa i zaufanie zainteresowanych stron.