Úvod
Digitální transformace nabyla v posledních několika letech na popularitě a nyní je skloňována vedoucími pracovníky firem v téměř každém odvětví. Díky lepším uživatelským možnostem, pružnosti, pohodlí a nižším režijním nákladům je atraktivní zejména pro malé a střední firmy. Malé a střední firmy stále častěji využívají digitální transformaci, aby zlepšily své podnikání a vyhnuly se během svého rozvoje mnohem větším změnám.
Digitální transformace bude vždy představovat křehkou rovnováhu mezi zlepšením procesů a zvýšením rizika. Především malé a střední firmy jsou během digitální transformace vystaveny riziku úniků dat a vyzrazení informací, pokud současně nezvýší své zabezpečení. Služby spravovaného zabezpečení nabízejí příležitost k ochraně citlivých informací pomocí špičkových řešení poskytovaných z cloudu s úplnou ochranou.
Prvním krokem k zajištění úplného zabezpečení je vymezení slabých míst tradičních metod zabezpečení a řešení jejich plánované digitální transformace. Jakmile jsou identifikovány potenciální problémy, spočívá další krok v nalezení nejlepších nástrojů, které zajistí optimální úroveň ochrany. Správná úroveň ochrany značně omezí zranitelná místa a současně bude fungovat v rámci rozpočtu a procesů menší firmy. V tomto technickém dokumentu budou probrána současná rizika digitální transformace, kvůli kterým jsou malé a střední firmy obzvláště zranitelné vůči útokům, a také tři nezbytné kroky služeb spravovaného zabezpečení za účelem jejich zmírnění. Správná úroveň proaktivního zabezpečení a monitorování zabrání tomu, aby zákazníci utratili příliš mnoho peněz za zabezpečení nebo aby měli vysoké náklady v případě úniku dat. Tento dokument se bude věnovat konkrétně těmto tématům:
- Proč se malé a střední firmy stávají při digitální transformaci atraktivním cílem osob s nekalými úmysly
- Kritická zranitelná místa různých aspektů rozšířené technologie
- Jak chránit zákaznická data a také zařízení a lidi
Proč jsou firmy při digitální transformaci zranitelné
Každý rok stále více firem vkládá své zdroje a velkou část rozpočtu do digitální transformace. Dopad však často není takový, jaký by si vedoucí pracovníci představovali; podle průzkumu nedosáhne 70 % všech digitálních transformací zamýšlených cílů.
Zatímco některé články označují za příčinu neúspěchů organizační problémy nebo myšlení zaměstnanců, samotné firmy uvádějí, že mnoho problémů jim způsobuje zabezpečení. V jedné studii, které se zúčastnilo více než 270 firem, označili vedoucí pracovníci za nejvýznamnější překážku úspěšné digitální transformace problémy se zabezpečením. Pouze 34 % těchto firem však uvedlo, že problémy s kybernetickým zabezpečením braly v úvahu během fáze vývoje. Firmy, které během digitální transformace nezohlední zabezpečení, riskují, že celý plán bude ohrožen ještě před dosažením zamýšlených cílů.
Kybernetičtí zločinci rádi útočí na malé a střední firmy, protože ty mají obvykle volnější standardy zabezpečení a menší rozpočet na ochranu dat než velké podniky. Dokážou cílit na velké množství z nich současně a získat zneužitelná data, která jsou často stejně cenná jako v případě větších společností. Zatímco malé a střední firmy chtějí pomocí digitální transformace dosáhnout snížení nákladů, mohou naopak skončit s vyššími náklady, pokud se stanou obětí úniku dat. Zpráva společnosti IBM ohledně nákladů na únik dat zjistila, že průměrné náklady na únik dat činí v USA 8,19 milionu dolarů. Také zjistila, že malé a střední firmy platí v průměru více než velké podniky: Společnosti s 500 až 1000 zaměstnanci stál únik dat 3 533 dolarů na zaměstnance, zatímco velké podniky s více než 25 000 zaměstnanci 204 dolarů na zaměstnance.1
Malé a střední firmy, které projdou digitální transformací, jsou obzvláště zranitelné vůči útokům, protože jejich zabezpečení nemusí vždy odpovídat jejich technologickému rozvoji. Útoky jsou také stále důmyslnější, na což malé a střední firmy nemusí být připraveny. Malé a střední firmy se stávají obětí ransomwaru, phishingu, útoků DDoS a útoků využívajících sociální inženýrství. Rozvíjející se útoky a následné finanční důsledky by měly znepokojovat každou malou a střední firmu.
Rizika související s digitální transformací
Výraz „digitální transformace“ je experty a vedoucími pracovníky poněkud kritizován, protože jde o nejasný a široký pojem zahrnující širokou škálu technologií. V tomto technickém dokumentu se zaměříme na nejběžnější technologii používanou při digitální transformaci malých a středních firem.
Mezi běžné aspekty digitální transformace malých a středních firem patří:
Internet věcí
Internet věcí poskytuje malým a středním firmám značné výhody. Schopnost senzorů plnit úkoly, analyzovat a komunikovat bez lidského zásahu nabízí firmám způsoby, jak přinést zákazníkům hodnotu. Řada z nich však není navržena s ohledem na zabezpečení a vystavují firmy potenciálním únikům dat.
Schopnost internetu věcí propojit málo riziková a vysoce riziková zařízení může firmám, které odpovídajícím způsobem nepřizpůsobily své zabezpečení, způsobit značné problémy s kybernetickým zabezpečením. Zařízení, které bývalo málo rizikovou součástí systému, je nyní propojeno s nejcitlivějšími daty. Hackerům stačí najít jeden vstupní bod, aby získali přístup ke všemu.
Podle organizace NIST (National Institute of Standards and Technology)2 má internet věcí tyto tři největší problémy se zabezpečením:
- Zařízení internetu věcí spolu vzájemně komunikují a provádějí změny ve fyzických systémech takovými způsoby, které tradiční technologie neumožňuje.
- K internetu věcí nelze přistupovat ani ho řídit stejným způsobem jako tradiční technologii.
- Dostupnost, účinnost a efektivita kybernetického zabezpečení se v případě internetu věcí liší od tradičního IT.
Protože internet věcí nefunguje stejně jako IT, vyžaduje odlišný přístup ke kybernetickému zabezpečení. Pokud malé a střední firmy neupraví odpovídajícím způsobem své zabezpečení, hrozí jim potenciální únik jejich dat.
Používání vlastních zařízení zaměstnanců (BYOD)
Ve snaze snížit režijní náklady a zlepšit spokojenost zaměstnanců se v malých a středních firmách stále častěji používají vlastní zařízení zaměstnanců. Zaměstnanci tak mohou pracovat ze svých osobních zařízení, jako jsou chytré telefony, tablety či notebooky.
Firmy, které nezavedly oficiální zásady BYOD, mohou dojít k závěru, že jejich zaměstnanci stejně používají osobní zařízení. Vzhledem k rozšíření internetových zařízení by firma jen těžko hledala zaměstnance, kteří si do práce nenosí svůj mobilní telefon. Zatímco telefony, které se používají pouze k osobním účelům, nepředstavují bezpečnostní hrozbu, může vykonávání práce z takových zařízení ohrozit zabezpečení celé firmy.
Při používání vlastních zařízení zaměstnanců jsou firmy obzvláště zranitelné vůči útokům DDoS. Dalším rizikem, které s tím souvisí, je krádež dat. Pokud zaměstnanec odešle soubor přes nezabezpečenou síť, například v kavárně nebo na letišti, mohou být takové informace snadno zneužity osobami s nekalými úmysly. Problémem je také infiltrace malwaru. Zaměstnanci si mohou stáhnout mobilní hru, jejíž součástí je malware, a prostřednictvím jejich zařízení může dojít k útoku na vaše informace.
Problém pro zabezpečení firmy mohou představovat také zhrzení bývalí zaměstnanci. S využitím informací, které mají ve svých zařízeních, mohou způsobit pěknou paseku a zničit pověst vašich zákazníků i firmy.
Práce na dálku
Obliba práce na dálku prudce rostla dávno předtím, než se stala v některých oblastech nezbytnou. V současném prostředí je však práce na dálku nutností. Firmy, které se dříve práci na dálku bránily, jsou nuceny vyvinout metody, které jejich zaměstnancům umožní pracovat z domova.
Zaměstnanci, kteří nejsou obeznámeni s bezpečnými postupy při práci na dálku, mohou firmě způsobit únik dat. Rovněž sdílení zařízení s neoprávněnými osobami, přístup k informacím přes nezabezpečené sítě (například přes veřejnou Wi-Fi síť) a neopatrné otevírání e‑mailů může ohrozit citlivé informace a vystavit vaši firmu riziku.
Cloudové aplikace
Cloudové aplikace zajišťují malým a středním firmám lepší přístup k jejich datům. Umožňují jim činit rozhodnutí založená na datech a získat důležité poznatky pro rozvoj jejich firmy. Když však firmy nepřijmou vhodná preventivní opatření, mohou být zranitelné vůči útokům.
Cloudové aplikace vystavují firmy riziku napadení účtů, kdy útočníci získají přístup k citlivým informacím pomocí odcizených přihlašovacích údajů. Skupiny pokročilých a trvalých hrozeb se zaměřují na cloudová prostředí a ke svým útokům využívají veřejné cloudové služby. Vstupním bodem, který útočníci mohou zneužít, jsou také nezabezpečená rozhraní API.
Také ztráta dat může být významným problémem pro malé a střední firmy. Bez správného zálohování může nehoda nebo havárie znamenat trvalou ztrátu informací zákazníků. Google a Amazon jsou příkladem toho, že i technicky nejvyspělejší společnosti mohou přijít o data, pokud je nezálohují.
Jak ochránit firmu při digitální transformaci
Služba spravovaného zabezpečení, která chápe složitosti digitální transformace i malých a středních firem, by měla být schopna určit potenciální zranitelná místa, zajistit úroveň zabezpečení potřebnou pro zohlednění případných změn technologie a nadále zajišťovat monitorování firmy.
Identifikace zranitelných míst v plánu digitální transformace
Kybernetické zabezpečení začíná v okamžiku, kdy se začne tvořit plán digitální transformace. Musí být součástí počátečního plánu zvažovanou v každém kroku této cesty. Malé a střední firmy jsou konkrétním cílem, protože jejich zabezpečení ne vždy odpovídá jejich růstu, což má za následek mezery a zranitelná místa. Digitální transformace a zabezpečení musí být koordinovány současně, aby se předešlo této potenciálně katastrofální chybě.
Společnost IBM provedla studii nejúspěšnějších transformací a zjistila, že firmy, které si více uvědomovaly důležitost zabezpečení a kladly na ně důraz, dosáhly úspěšnějšího výsledku.3 U těchto „vysoce úspěšných“ firem, jak je dokument označoval, byla menší pravděpodobnost, že během tohoto procesu dojde k úniku dat.
Zjistěte, jakých digitálních transformací by vaše firma chtěla dosáhnout. Poznačte si, ve kterých oblastech byste chtěli využít internet věcí, BYOD, práci na dálku nebo další cloudové aplikace. Nezapomeňte uvést podrobnosti o svých plánech, abyste zjistili, kde by se mohla nacházet potenciální slabá místa.
Vytvořte také seznam fyzických a virtuálních výpočetních zařízení ve firmě. Do tohoto posouzení je třeba zahrnout pracovní stanice, notebooky, tiskárny, mobilní zařízení, síťové aplikační servery, podnikové firewally a síťové souborové servery.
Určení potřebné úrovně zabezpečení
Jakmile pochopíte, čeho chcete dosáhnout a jaká jsou potenciální zranitelná místa, můžete určit, jaká úroveň zabezpečení je potřebná. Níže jsou uvedeny zásadní bezpečnostní služby pro úspěšnou digitální transformaci.
Nepřetržité monitorování
Závažnou chybou mnoha malých a středních firem je, že utrácejí příliš mnoho peněz za prevenci na úkor schopností detekce a reakce. I když je prevence nezbytným aspektem ochrany citlivých informací, útoky se mění a mohou udeřit kdykoli. Čím rychleji dokáže firma na útok zareagovat, tím snadněji se jí podaří zkrotit a omezit škody, které mohou být napáchány.
Udržujte pevný základ zabezpečení pomocí průběžného vzdáleného monitorování a správy. Vyhledávání a instalace nových oprav a aktualizací softwaru, stejně jako aktualizace bezpečnostních opatření na základě nových hrozeb, zajistí nepřetržitou ochranu před kybernetickými zločinci.
Internet věcí
Antivirus
Instalace a monitorování antiviru na všech zařízeních za účelem zabezpečení všech vstupních bodů.
Pravidelné hledání zranitelných míst
Pravidelné testy zajistí, že antivirus, hesla a jakýkoli jiný software jsou aktuální.
Ochrana před únikem informací
Brání uživatelům ve sdílení citlivých dat a reguluje, jaká data lze přenášet.
Používání vlastních zařízení zaměstnanců (BYOD)
Šifrování e‑mailu
Koncové šifrování přímo v zařízeních uživatelů zajišťuje, že se informace dostanou pouze do správných rukou.
Dešifrování SSL
Zabezpečená internetová brána kontroluje všechny porty a protokoly, aby do sítě nevnikly hrozby, a vyplňuje mezery v zabezpečení, které zůstávají po tradičních zařízeních.
Zabezpečené ověřování
Toho lze dosáhnout několika způsoby, ale mezi první kroky patří pravidla pro vytváření hesel a vícefázové ověření (MFA).
Práce na dálku
Zabezpečení zaměstnanců kdykoli a kdekoli
Poskytněte vzdáleným pracovníkům VPN připojení, které zajistí bezpečný přístup k firemním datům a aplikacím.
Povědomí o zabezpečení a školení
Poučte zaměstnance o postupech, které chrání je i firmu, jako je například rozpoznávání podvodů a vytváření silných hesel.
Vynutitelné procesy a zásady
Zajistěte, aby všichni věděli, jak zajistit bezpečnost firmy. Jasně stanovte, jaká data vyžadují ochranu a jak mají být zabezpečena.
Cloudové aplikace
Zálohování a zotavení po havárii
Zabrání ztrátě citlivých a cenných dat v případě nehody nebo nouzové situace.
Zabezpečená webová brána
Funguje jako virtuální ochranka, kdy jakákoli detekce z cloudu okamžitě zablokuje všechny hrozby pro všechny zákazníky v síti.
Správa oprav
Instalace oprav a jejich neustálé aktualizace pomohou vyřešit základní zranitelná místa cloudových aplikací.
Shrnutí
Digitální transformace je pro malé a střední firmy nevyhnutelnou změnou. Firmy jsou ale kvůli ní zranitelné vůči novějším a důmyslnějším hrozbám. Internet věcí, BYOD, práce na dálku a cloudové aplikace – to vše představuje jedinečné výzvy, kterých si firmy musí být vědomy. Služby spravovaného zabezpečení mohou malým a středním firmám pomoci identifikovat potenciální ohrožení a omezit zranitelná místa a současně zlepšit jejich procesy za účelem posílení podnikání. Tyto služby vám pomohou přizpůsobit se změně a technologii s vědomím toho, že máte k dispozici ochranu pro sebe i své zákazníky.
1 Ponemon Institute. 2019 Cost of a Data Breach Report, červenec 2019.
2 NIST (National Institute of Standards and Technology). Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. Červen 2019.
3 Ponemon Institute. Bridging the Digital Transformation Divide: Leaders Must Balance Risk and Growth. Březen 2018.