Kako je prilikom otvaranja seminara istakla Tamara Maćašović, direktorica PwC Croatia, cyber sigirnost je u posljednjih nekoliko godina nešto o čemu se uvelike priča, a svjedoci smo sve brojnijih hakerskih napada. PwC već duži niz godina nudi usluge sigurnosti informacijskih sustava s obzirom da je cyber sigurnost danas jedan od najvećih izazova s kojima se susreću vodeći ljudi kompanija diljem svijeta i koji izaziva sve veću zabrinutost svih uključenih u upravljačke procese u kompanijama.
Ignoriranje važnosti cyber sigurnosti može se izrazito negativno odraziti na poslovanje tvrtke bez obzira na njenu veličinu i to od financijskog troška koji se odnosi na izgubljene poslovne prilike do troškova zapošljavanja vanjskog IT stručnjaka za popravak štete te potencijalno nabavu nove opreme pa sve do gubitka imidža i ugleda tvrtke koji na taj način može biti uništen preko noći. Gubitkom podataka kompanija gubi i percepciju pouzdanosti i povjerenje svojih klijenata. Cyber rizici danas spadaju među top pet vodećih rizika u poslovanju.
PwC-ovi stručnjaci Rafał Jaczyńsk i Armin Dinar, u svojim su predavanjima ukazali na važnost upravljanja cyber sigurnošću za svaku kompaniju, istaknuvši da je za uspješno upravljanje cyber sigurnošću potrebno na vrijeme predvidjeti moguće incidente cyber sigurnosti, te unaprijed postaviti određene standarde i procedure.
"Vrijeme rješavanja problema kad je on već izbio, odavno je iza nas. Revizija informacijskih sustava unutar kompanija koja podrazumijeva sveobuhvatnu analizu protoka informacija unutar kompanija, uspostavljanje pravila i procedura te upravljanje informacijama na svim organizacijskim razinama, kao i analizu scenarija mogućih hakerskih napada, donosi višestruke koristi za kompanije koje se ponajviše ogledaju u očuvanju prihoda kompanije kao i zadržavanju konkurentske prednosti te izgradnje i održavanja ugleda kompanije. Jednom kada kompanija iznevjeri povjerenje svojih klijenta ili kupaca zbog neuspješne zaštite podataka koje su kupci ili klijenti dobrovoljno ustupili kompaniji, ona preko noći gubi svoj dugo izgrađivan ugled što se izravno ogleda i u financijskoj vrijednosti kompanije“ istaknuo je prilikom izlaganja Rafał Jaczyński.
Da bi se uspješno upravljalo cyber sigurnošću i revizijom informacijske sigurnosti potrebno je odrediti IT rizike i njihov odnos prema poslovanju kompanije i njezinoj svrsi, definirati opseg ovlasti, infrastrukture, aplikacija i baza podataka.
Prilikom izrade strategije upravljanja cyber sigurnošću potrebno je korporativno i financijsko poslovanje uskladiti s načinom razmišljanja IT svijeta, dok je metodologija definirana standardima poput COBIT-a (Control Objectives for Inormation and Related Technology) i ISO 27001 koji je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u kompaniji. Upravo ISO27001 podrazumijeva uspostavu organizacijskih propisa koji su neophodni da bi se spriječilo narušavanje sigurnosti, a još se definiraju i potrebni revizijski programi, scenariji i alati.
Glavne značajke pregleda rezultata i kvalitete u sklopu revizije informacijske sigurnosti su razina rizika identificiranih problema, definiranje kompenzirajućih faktora, provjera, tijek aktivnosti, sveobuhvatni izvještaji, a dodatna korist leži u činjenici da to sve predstavlja odličan alat za poticanje inicijativa IT sigurnosti.
Armin Dinar je pak istaknuo: "Potrebno je odrediti prioritete, izgraditi obranu zasnovanu na podacima i analizama, što omogućava brz odgovor na cyber napad - naglasak pritom nije na ako, nego na kada se on dogodi; zatim iskoristiti tehnologiju kao svoju prednost te na taj način ostvariti maksimalan povrat na investiciju u tehnologiju. Nadalje, potrebno je iskoristiti prednosti digitalnog, razumjeti i upravljati rizicima u umreženom poslovnom ekosustavu. A najvažniji čimbenik su ipak ljudi – potrebno je izgraditi i održavati kulturu sigurnog poslovanja u kojoj su ljudi svjesni svojih odluka koje su za to kritične. Rizičnost veza koje kompanija ima sa svojim partnerima, dobavljačima i kupcima je ujedno i rizik same kompanije."
Novi prijedlog EU direktive o cyber sigurnosti podupire Digitalnu agendu za Europu čiji je cilj pomoći europskim građanima i poduzećima iskoristiti digitalne tehnologije u najvećoj mogućoj mjeri. Usklađivanjem poslovanja kompanija prema toj Direktivi osigurala bi se minimalna razina sigurnosti digitalnih tehnologija, mreža i usluga u svim državama članicama. Njome se također predlaže uvođenje obveza da određene kompanije i organizacije prijave značajne cyber incidente.
Potreba uvođenja EU direktive o cyber sigurnosti nastala je zbog činjenice da je korištenje digitalnih mreža i infrastrukture za pružanje usluga postalo conditio sine qua non poslovanja. Pojava cyber incidenata može kompromitirati usluge i ugroziti rad kompanije, međutim problemi ne staju samo na razini pojedinačne kompanije. Razvojem unutarnjeg tržišta EU-a, mnogi mrežni i informacijski sustavi funkcioniraju preko granica pa cyber incident u jednoj zemlji može proizvesti učinak u drugim zemljama. Stoga Nova EU direktiva o cyber sigurnosti posebno regulira protok podataka unutar EU, ali i protok podataka koji se odvija između zemalja članica EU i onih izvan EU.
Organizacije trebaju uložiti više sredstava u cyber zaštitu na više razina, uključujući i svoje proširene djelatnosti, kako bi se osiguralo sigurno čuvanje ključnih informacija, bez obzira gdje su pohranjeni.