Na vrhu liste za proveru sajber bezbednosti svake kompanije treba da bude osiguranje da strategija sajber bezbednosti uzima u obzir sve promene u operativnom okruženju, tvrdi firma BAE Systems. Razmatranjem pet ključnih područja, preduzeće može da obezbedi da je dobro zaštićeno i spremno za sajber napade, tvrdi firma BAE Systems (vazduhoplovstvo i odbrana).
1. Razumeti sajber rizike
“Nove tehnologije donose nove mogućnosti, ali takođe uvode i nove rizike,” rekao je Nil Votkins (Neal Watkins), glavni rukovodilac proizvodnje u BAE Systems. “Kako kompanija pribavlja i uključuje druge kompanije i tehnologije, mi moramo da uočavamo i nove rizike koje to donosi,” rekao je on u jednom videu namenjenom poslovnim rukovodiocima.Tu spada oprez pred potencijalnim rizicima koje uvode drugi dobavljači, drugi preduzimači i promene u lancu snabdevanja. Na vrhu liste za proveru sajber bezbednosti svake kompanije treba da bude osiguranje da strategija sajber bezbednosti uzima u obzir sve promene u operativnom okruženju. “Da biste obuhvatili sve te nove rizike, važno je imati živu aktivnu strategiju sajber bezbednosti koju redovno pregledate i ažurirate,” rekao je Votkins.
2. Ispravna kontrola bezbednosti
Pošto se prepoznaju ranjivosti, BAE Systems kaže da preduzeće mora da bude spremno na velike odluke ako su te ranjivosti kritične. “Potrebna nam je hrabrost da donesemo pravu poslovnu odluku da bismo obezbedili ne samo da preduzeće posluje, već i da budu zaštićene najkritičnije vrednosti,” rekao je Votkins. “Mora postojati hrabrost u donošenju teških odluka o tome koji sistemi i usluge treba da budu zaštićeni, i na kojem nivou, što bi moglo da bude presudno za zadržavanje potrošača ili klijenta,” rekao je.
3. Balans poslovnosti i rizika
Kao apsolutni minimum, direktori preduzeće moraju da znaju koje su najkritičnije vrednosti i koja su ključna područja ranjivosti. “Preduzeće mora da donese ispravnu odluku kojom se postiže ravnoteža između bezbednosnih rizika i komercijalnih potreba i kojom se dugoročno osigurava interes kako preduzeća, tako i klijenata,” rekao je Votkins. Rukovodioci bi trebalo da diskutuju o tome koje sajber rizike su spremni da prihvate, i koliko su spremni da investiraju u njihovo kontrolisanje. “Mora postojati hrabrost u donošenju teških odluka o tome koji sistemi i usluge treba da budu zaštićeni, i na kojem nivou,” rekao je Votkins.
4. Izgradnja defanzivne kulture sa bezbednošću-kao-ciljem
Bezbednost mora da bude ukorenjena u kulturu kompanije, smatra BAE Systems. Bezbednost kao cilj, rekao je Votkins, podrazumeva da svako vodi računa da radi bezbedno, bez obzira na to koja mu je uloga u kompaniji. “Reč je o tome da svako vodi računa da zadaci koje izvršava budu bezbedni u smislu procedure i u smislu izvršavanja, bilo da piše aplikacije, pruža neku uslugu ili odgovara nekom klijentu ili rukuje njegovim podacima,” rekao je. Kako smatra BAE Systems, analitika bezbednosti, prepoznavanje pretnji i svest o situaciji mogu da pomognu da se otkrije gde se nalaze ranjivosti.
5. Priprema reagovanja
Na kraju, bezbednosna firma napominje da ne postoji potpuno efikasna bezbednost, i da uvek postoji mogućnost uspelog napada. Iz tog razloga, ako imate plan za reagovanje i popravku, nećete se naći u potpunoj krizi, već ćete imati problem kojem se može suprotstaviti. “Treba da postoji temeljan, uvežban i testiran plan odgovora poznat klijentima i vašim zaposlenima, za sve sisteme i procese,” rekao je Votkins. “U slučaju napada ili krize, ljudi će se meriti po tome kako reaguju, pa će biti bitno da imate dobro osmišljen, uvežban i testiran plan odgovora,” rekao je. Način na koji ljudi reaguju na sajber napad ili incident, tvrdi BAE Systems, imaće veliki uticaj na funkcionisanje operacija i gubitak produktivnosti, kao i na poverenje klijenata.