W obszarze cyberbezpiecze?stwa dost?pno?? odpowiednich specjalistów zawsze stanowi?a pewien problem. Traktowanie zabezpiecze? tak, jak to cz?sto ma miejsce w przypadku szybkiego tworzenia nowych aplikacji biznesowych, nie zawsze uchodzi firmom na sucho. Efektem jest zwykle nadmierne obci??enie specjalistów ds. bezpiecze?stwa, których i tak jest zbyt ma?o. Jednocze?nie pracownicy specjalizuj?cy si? w cyberbezpiecze?stwie s? bardzo poszukiwani na rynku pracy, a na zajmowanych przez nich stanowiskach wida? du?? rotacj?.
W przypadku cyberbezpiecze?stwa braki personalne mog? by? wi?kszym zagro?eniem ni? sami przest?pcy, którzy obior? sobie za cel kradzie? danych, pieni?dzy i czasu oraz zniszczenie reputacji firmy. Tak jest od dawna, pandemia COVID-19 zmieni?a jednak to wyzwanie kadrowe w pe?nowymiarowy problem, przez co bezpiecze?stwo nierzadko jest zaniedbywane.
W najlepszych czasach – a przynajmniej w normalniejszych czasach – trudno jest znale?? specjalistów w tej dziedzinie. Ich pozyskanie jest kosztowne, a ich samych trudno zatrzyma? w firmie. Pandemia zaostrzy?a niedobór specjalistów w zakresie cyberbezpiecze?stwa, poniewa? przedsi?biorstwa skupi?y si? na podtrzymywaniu – lub budowaniu od podstaw – narz?dzi do pracy z domu i w?a?nie do tych zada? przesun??y swój personel. Proaktywne zabezpieczenia zesz?y w wielu firmach na dalszy plan, a w zespo?ach ds. cyberbezpiecze?stwa pojawi?y si? olbrzymie luki.
W badaniu przeprowadzonym przed pandemi? przez ISC (mi?dzynarodowe stowarzyszenie non-profit zrzeszaj?ce mened?erów odpowiedzialnych za bezpiecze?stwo informacji) niedobór specjalistów w dziedzinie cyberbezpiecze?stwa w Stanach Zjednoczonych oszacowano na prawie 500 000 pracowników. Stowarzyszenie po??czy?o te? swoje szacunki dotycz?ce liczebno?ci kadr i niedoborów personalnych w tym obszarze. Na tej podstawie dosz?o do wniosku, ?e aby zaspokoi? aktualne potrzeby ameryka?skich firm, liczba pracowników wyspecjalizowanych w cyberbezpiecze?stwie musi wzrosn?? o 62%. W 11 gospodarkach obj?tych analiz? stowarzyszenia liczba pracowników tego segmentu si?ga szacunkowo 2,8 miliona osób, a ich globalny niedobór to wed?ug szacunków 4,07 miliona. Oznacza to, ?e na ca?ym ?wiecie kadry wyspecjalizowane w cyberbezpiecze?stwie musia?yby by? liczniejsze o 145%.
Respondenci stwierdzili, ?e brak wykwalifikowanych/do?wiadczonych specjalistów w zakresie cyberbezpiecze?stwa to jeden z ich najwi?kszych problemów i czynnik ?redniego lub nawet ekstremalnego ryzyka dla ich firm. Badania na potrzeby raportu Ponemon Institute Cost of a Data Breach Report na rok 2020 rozpocz??y si? kilka miesi?cy przed pandemi? COVID-19, lecz pytania dodatkowe zwi?zane z potencjalnym wp?ywem pracy zdalnej w trakcie pandemii wykaza?y, ?e 76% przedsi?biorstw spodziewa si? utrudnionego reagowania na potencjalne naruszenia ochrony danych.
W badaniu Ponemon Institute oszacowano, ?e przeci?tny ??czny koszt naruszenia ochrony danych wynosi 3,86 mln USD, zapobieganie incydentom w zakresie cyberbezpiecze?stwa ma wi?c kluczowe znaczenie. Nie wszystko jednak stracone. O ile nie da si? b?yskawicznie rozwi?za? problemu z brakiem specjalistów ds. cyberbezpiecze?stwa, to przedsi?biorstwa mog? podj?? pewne dzia?ania wykraczaj?ce poza próby zatrudnienia nowych pracowników. Oto sposoby na zwi?kszenie cyberbezpiecze?stwa firmy.
1. Wewn?trzne programy szkole? i certyfikacji w dziedzinie bezpiecze?stwa
Perspektywicznie my?l?ce firmy zdaj? sobie spraw? z faktu, ?e prawdziwe cyberbezpiecze?stwo wymaga zmiany kulturowej. Na pewnym poziomie musi by? ono po prostu obowi?zkiem ka?dego pracownika. Nie chodzi tu oczywi?cie o to, ?e dyrektor dzia?u marketingu mia?by stan?? na pierwszej linii walki z cyberprzest?pcami. Ka?dy pracownik powinien jednak uczestniczy? w programach edukacyjnych i certyfikacyjnych w tym obszarze. Nie oznacza to równie?, ?e wystarczy stworzy? prezentacj? w programie PowerPoint i zmusi? pracowników do jej biernego zaliczenia, aby uzna?, ?e maj? to z g?owy raz na zawsze. Chodzi raczej o opracowanie odpowiednich, dostosowanych do sytuacji programów, które zainteresuj? pracowników i pomog? im zrozumie? cyberzagro?enia oraz w?asn? rol? w ich powstrzymywaniu. W tym celu mo?na wykorzysta? na przyk?ad szkolenia prowadzone podczas lunchu, symulacje narusze? bezpiecze?stwa, a nawet zabawy typu escape room.
2. Rozpowszechnianie zabezpiecze?
Skoro bezpiecze?stwo nale?y do obowi?zków ka?dego pracownika, personel specjalizuj?cy si? w zabezpieczeniach nie powinien pracowa? wy??cznie w dziale informatycznym. Dlatego warto zastanowi? si?, jak rozpowszechni? zabezpieczenia w ca?ej firmie. Ze wzgl?du na wzrost popularno?ci modelu DevSecOps zabezpieczenia w coraz wi?kszym stopniu przenikaj? do procesów programowania. Jednak powinny równie? zosta? zintegrowane z innymi obszarami. Pozwoli to nie tylko zaznajomi? ca?y personel przedsi?biorstwa z kwestiami dotycz?cymi bezpiecze?stwa, lecz tak?e zach?ci do wspó?pracy i b?dzie szans? na w??czenie zabezpiecze? w procesy, produkty i us?ugi od samego pocz?tku.
3. Dok?adna analiza posiadanych narz?dzi zabezpieczaj?cych
Wiele przedsi?biorstw dysponuje narz?dziami, których tak naprawd? nie potrzebuje lub które s? przestarza?e i nie obs?uguj? nowych technologii, takich jak chmura, kontenery czy Kubernetes. To strata czasu i pieni?dzy. Du?o firm korzysta na przyk?ad z przestarza?ych zabezpiecze? stworzonych z my?l? o ochronie nieu?ywanych ju? systemów.
Przedsi?biorstwa cz?sto maj? równie? zbyt wiele narz?dzi, nad którymi nie potrafi? zapanowa?, co prowadzi do zduplikowanych rozwi?za? i trudno?ci z zarz?dzaniem rosn?c? liczb? produktów. Wiele firm nie wykorzystuje te? w pe?ni funkcji, które s? wbudowane w istniej?ce systemy, takie jak system operacyjny, platforma kontenerowa czy zabezpieczenia udost?pniane przez dostawc? chmury. Szczegó?owy przegl?d istniej?cych narz?dzi wyka?e, co jest potrzebne, a co nie, aby mo?na by?o stawi? czo?a aktualnym problemom w dziedzinie bezpiecze?stwa.
4. Spójna strategia automatyzacji
Przy tak licznych zmiennych ?aden cz?owiek ani grupa ludzi nie b?dzie w stanie za?ata? ka?dej luki w zabezpieczeniach. ?rodowiska informatyczne i ?wiat wokó? nas staj? si? coraz bardziej z?o?one, podobnie jak incydenty zwi?zane z bezpiecze?stwem, z którymi zmagaj? si? dzia?y IT. Spójna strategia automatyzacji pozwala firmom skuteczniej niwelowa? ryzyko przez zmniejszenie liczby b??dów ludzkich, jak równie? rozwi?zywa? problemy, szybko reagowa? na alerty bezpiecze?stwa oraz tworzy? powtarzalne przep?ywy pracy w zakresie bezpiecze?stwa i zgodno?ci z przepisami.
Warto jednak zauwa?y?, ?e automatyzacja nie jest jednym produktem ani nawet zbiorem produktów. Przedsi?biorstwa powinny szuka? rozwi?zania, które umo?liwia zastosowanie spójnej strategii automatyzacji do tworzenia aplikacji, infrastruktury, zabezpiecze? itd. W opracowanym przez Ponemon Institute dokumencie Cost of Data Breach Report stwierdzono wr?cz, ?e firmy, które wdro?y?y automatyzacj? na pe?n? skal?, odnotowuj? o 3,58 mln USD ni?sze ca?kowite koszty przypadaj?ce ?rednio na naruszenie ochrony danych ni? przedsi?biorstwa bez wdro?onej automatyzacji.
Czy problem z niedoborem specjalistów w dziedzinie cyberbezpiecze?stwa jest niemo?liwy do rozwi?zania?
Có?, patrz?c realnie, braku pracowników nie da si? wyeliminowa? ca?kowicie. Problemowi mo?na jednak skutecznie stawi? czo?a przez proaktywne planowanie, implementacj? strategicznych technologii oraz realizowane w ca?ej firmie, ci?g?e, atrakcyjne szkolenia i wspólne projekty zwi?kszaj?ce ?wiadomo?? w zakresie bezpiecze?stwa.
