211service.com
Bezpečnost je úkolem každého na pracovišti
scimone hlavní umělecký obraz
Ve spojení s Dell Technologies
Hackeři na celém světě jsou chytří: vědí, že to není jen dobrý kód, který jim pomáhá proniknout do systémů; je to také o pochopení – a kořisti – lidského chování. Hrozba pro podniky v podobě kybernetických útoků jen roste – zvláště když společnosti přecházejí na hybridní práci.
John Scimone, senior viceprezident a hlavní bezpečnostní ředitel společnosti Dell Technologies, však říká, že zabezpečení je úkolem každého. A budování kultury, která to odráží, je prioritou, protože kybernetických útoků nebude ubývat. Vysvětluje: Jak zvažujeme zranitelnost, které čelí průmysl a organizace, technologie a data rychle explodují a roste jejich objem, rozmanitost a rychlost. Nárůst útoků znamená nárůst škod pro podniky, pokračuje: Musel bych říci, že ransomware je pravděpodobně největším rizikem, kterému dnes většina organizací čelí.
A přestože ransomware není novou výzvou, je spojen s přechodem k hybridní práci a nedostatkem talentů, na který odborníci již léta varují. Scimone vysvětluje: Jednou z klíčových výzev, které jsme viděli v oblasti IT, a zejména v oblasti bezpečnosti, je problém s nedostatkem pracovních sil. Pokračuje: Pokud jde o bezpečnost, považujeme nedostatek odborníků na kybernetickou bezpečnost za jednu z hlavních zranitelností v tomto sektoru. Je to skutečně krize, před kterou jak veřejný, tak soukromý sektor roky varuje.
Investice do zaměstnanců a budování silné kultury však mohou sklízet výhody pro úsilí v oblasti kybernetické bezpečnosti. Scimone podrobně popisuje úspěch společnosti Dell. Za poslední rok jsme viděli tisíce skutečných phishingových útoků, které byly zaznamenány a zastaveny v důsledku toho, že je naši zaměstnanci viděli jako první a nahlásili nám je.
A jakkoli se organizace snaží přistupovat ke kybernetické bezpečnosti ze systémového a technického hlediska, Scimone radí zaměřit se také na zaměstnance: Školení je tedy zásadní, ale opět je to na pozadí organizační kultury, kde každý člen týmu ví, že má roli hrát.
Zobrazit poznámky
Úplný přepis
Laurel Ruma : Z MIT Technology Review, jmenuji se Laurel Ruma, a toto je Business Lab, show, která pomáhá obchodním lídrům pochopit nové technologie vycházející z laboratoře a na trh.
Naším dnešním tématem je kybernetická bezpečnost a zátěž, kterou na podniky představuje trend práce odkudkoli. S rostoucím počtem útoků na kybernetickou bezpečnost je naléhavá potřeba zabezpečit širší síť zaměstnanců a zařízení. Udržování bezpečnosti zaměstnanců na prvním místě však vyžaduje investice do kultury. Dvě slova pro vás. Zajištěná pracovní síla.
Mým hostem je John Scimone, senior viceprezident a hlavní bezpečnostní ředitel společnosti Dell Technologies. Před Dellem působil jako globální ředitel informační bezpečnosti pro Sony Group.
Tato epizoda Business Lab je vytvořena ve spolupráci se společností Dell Technologies.
Vítejte, Johne.
John Scimone : Díky, že mě máš, Laurel. Je dobré být tady.
Vavřín : Pro začátek, jak byste popsali současnou oblast zabezpečení dat a co považujete za nejvýznamnější hrozbu zabezpečení dat?
John : Pro každého, kdo si dnes může naladit zpravodajství, vidíme, že tyto útoky zasahují blíže k domovu, ovlivňují veřejné události v tomto roce, hrozí narušení našeho potravinového dodavatelského řetězce a veřejných služeb, a vidíme kybernetické útoky zasahující organizace všech velikostí a napříč všechna průmyslová odvětví. Když přemýšlím o krajině kybernetických rizik, rozkládám ji do tří oblastí. Za prvé, jak moc jsem zranitelný? Dále, jaká je pravděpodobnost, že budu zasažen jedním z těchto útoků? A nakonec, tak co když to udělám? jaké to má následky?
Jak zvažujeme zranitelnost, které čelí průmysl a organizace, technologie a data rychle explodují a roste jejich objem, rozmanitost a rychlost. Opravdu nic nenasvědčuje tomu, že by se to zastavilo, a v dnešní ekonomice na vyžádání se bez dat nic neděje. Naše nedávná studie Data Paradox (kterou jsme provedli se společností Forrester) potvrdila, že podniky jsou zahlceny daty. A že pandemie vytvořila další tlak na týmy a zdroje – nejen v datech, která generují, kde 44 % respondentů uvedlo, že pandemie výrazně zvýšila množství dat, která potřebují ke sběru, ukládání a analýze – ale také v bezpečnostních důsledcích toho, že více lidí pracuje z domova. Více než polovina respondentů musela zavést nouzové kroky, aby byla data v bezpečí mimo firemní síť, zatímco lidé pracovali na dálku.
Navázali jsme další studií konkrétně o ochraně údajů proti těmto pozadím. V letošním globálním indexu ochrany dat jsme zjistili, že organizace spravují více než desetinásobek množství dat než před pěti lety. Alarmující je, že 82 % respondentů se obává, že stávající řešení ochrany dat jejich organizace nebudou schopna splnit všechny jejich budoucí obchodní výzvy. A 74 % věří, že jejich organizace je vystavena zvýšenému riziku ztráty dat v důsledku kybernetických hrozeb s nárůstem počtu zaměstnanců pracujících z domova.
Celkově vidíme, že zranitelnost výrazně roste. Ale co pravděpodobnost? Jaká je pravděpodobnost, že nás tyto věci zasáhnou? Když přemýšlíme o pravděpodobnosti, je to opravdu otázka toho, jak motivované a schopné hrozby tam venku jsou. A z hlediska motivace je riziko pro tyto zločince nízké a odměna zůstává extrémně vysoká. Odhaduje se, že kybernetické útoky budou letos stát svět biliony dolarů a realita je taková, že jen velmi málo zločinců bude čelit zatčení nebo následkům. A stávají se stále schopnějšími a nástroje a know-how k provádění těchto útoků jsou stále více komoditizované a široce dostupné. Hrozby jsou stále sofistikovanější a rozšířenější.
A konečně, z hlediska důsledků, náklady neustále rostou, když jsou zasaženy organizace, ať už jde o náklady na reputaci značky, provozní výpadky nebo dopady nákladů na soudní spory a pokuty. Náš nedávný globální index ochrany dat ukazuje, že za posledních 12 měsíců byly průměrné náklady na ztrátu dat milion dolarů. A něco přes půl milionu dolarů byly průměrné náklady na neplánované odstávky systémů za poslední rok. A letos bylo veřejně hlášeno mnoho případů, kdy společnosti čelily požadavkům na výkupné přesahující 50 milionů dolarů.
Obávám se, že tyto důsledky budou jen narůstat. Ve světle toho bych musel říci, že ransomware je pravděpodobně největším rizikem, kterému dnes většina organizací čelí. Ve skutečnosti je vůči němu většina společností zranitelná. Stává se to s rostoucí prevalencí – některé studie ukazují, že útok ransomwaru probíhá tak často, jako každých 11 sekund – a následky narůstají a některé organizace zasáhnou až do výše desítek milionů dolarů požadavků na výkupné.
Vavřín : S ohledem na globální posun k práci kdekoli a na nárůst kybernetických bezpečnostních útoků, na jaké druhy bezpečnostních rizik musí společnosti myslet? A v čem jsou útoky jiné nebo neobvyklé než před dvěma nebo třemi lety?
John : Jak jsme viděli masové hnutí mobility s mnoha společnostmi, zaměstnanci přecházející na vzdálenou práci, zaznamenali jsme nárůst míry rizika, protože organizace měly zaměstnance, kteří používají své podnikové notebooky a podnikové systémy mimo své tradiční bezpečnostní hranice. Je to bohužel tak, že bychom viděli zaměstnance používat svůj osobní systém pro pracovní účely a svůj pracovní systém pro osobní účely. Ve skutečnosti mnoho organizací nikdy nenavrhlo od samého začátku uvažování o masové mobilitě vzdálené pracovní síly. V důsledku toho se výrazně zvýšila zranitelnost těchto prostředí.
Navíc, když přemýšlíme o tom, jak zločinci fungují, zločinci se živí nejistotou a strachem, bez ohledu na to, zda jde o kyberzločin nebo zločin ve fyzickém světě, nejistota a strach vytváří zralé prostředí zločinu všeho druhu. Bohužel, nejistoty a strachu bylo za posledních 18 měsíců mnoho. A viděli jsme, že počítačoví zločinci toho využili a využili nedostatečné připravenosti společností s ohledem na rychlost narušení a šíření dat, k nimž docházelo. Bylo to vhodné prostředí pro šíření kybernetické kriminality. V našem vlastním průzkumu jsme viděli, že 44 % dotázaných podniků zažilo během tohoto minulého roku více kybernetických útoků a ztrát dat.
Vavřín : No, to je určitě důležité. Jak je to tedy nyní interně z hlediska podpory IT – musí podporovat všechny tyto dodatečné uzly od lidí pracujících na dálku a zároveň řešit další rizika sociálního inženýrství a ransomwaru. Jak tato kombinace zvýšila ohrožení bezpečnosti dat?
John : Jedním ze zajímavých vedlejších produktů pandemie a tohoto masivního přechodu k práci na dálku je, že sloužila jako významný akcelerátor tradičních IT iniciativ. Viděli jsme zrychlení digitální transformace v IT iniciativách, které mohly být dříve plánovány nebo probíhající. Ale jak jste zmínil, zdroje jsou napjaté. Jednou z klíčových výzev, které jsme viděli v oblasti IT a zejména v oblasti bezpečnosti, je problém související s nedostatkem pracovních sil. Pokud jde o bezpečnost, nedostatek odborníků na kybernetickou bezpečnost považujeme za jednu z hlavních zranitelností v tomto sektoru. Je to skutečně krize, před kterou jak veřejný, tak soukromý sektor roky varuje. Ve skutečnosti loni ISC2 provedla studii pracovních sil v oblasti kybernetické bezpečnosti, která odhaduje, že nám 3,1 milionu vyškolených profesionálů v oblasti kybernetické bezpečnosti chybí, co průmysl skutečně potřebuje k ochraně před kyberzločinem.
Jak se díváme dopředu, odhadujeme, že budeme muset zvýšit talenty asi o 41 % v USA a 89 % celosvětově, abychom uspokojili potřeby digitálně se transformující společnosti, protože tyto požadavky rostou. Práce je určitě klíčovou součástí rovnice a problémem z hlediska zranitelnosti. Snažíme se v tomto ohledu nastartovat organizace v lepší pozici. Věříme, že zabudování zabezpečení, soukromí a odolnosti do nabídky by mělo být ústřední, počínaje návrhem až po výrobu, celou cestu přes bezpečný vývojový proces v dodavatelském řetězci a sledování dat a aplikací, ať jsou kdekoli. Tuto strategii nazýváme vnitřní zabezpečení a ve své podstatě je to zabudování zabezpečení do infrastruktury a platforem, které budou zákazníci používat, a proto vyžaduje méně odborných znalostí pro správné zabezpečení.
Jak uvádíte, útoky se nezpomalují. Zejména sociální inženýrství je i nadále hlavním zájmem. Pro ty, kteří nejsou obeznámeni se sociálním inženýrstvím, je to v podstatě situace, kdy se zločinci pokoušejí oklamat zaměstnance, aby předali informace nebo otevřeli dveře, aby vpustili zločince do svého systému, například prostřednictvím phishingových e-mailů, které i nadále považujeme za jednu z nejoblíbenějších používaných metod. hackery, aby se poprvé dostali do podnikových sítí.
Vavřín : Je vnitřní zabezpečení hodně podobné zabezpečení již od návrhu, kde jsou produkty záměrně vytvářeny se zaměřením na zabezpečení na prvním místě, nikoli na zabezpečení až na konci?
John : To je správně. Zabezpečení již od návrhu, soukromí již od návrhu – a nejen podle návrhu, ale ve výchozím nastavení, jeho správné provedení, díky kterému je při zvažování použití těchto technologií snadné dělat správnou věc z hlediska zabezpečení. Znamená to samozřejmě nárůst počtu bezpečnostních profesionálů v celé společnosti, ale také zajištění toho, aby se bezpečnostní profesionálové dotýkali všech nabídek v každé fázi návrhu a zajistili, aby byly zaváděny osvědčené postupy od fáze návrhu, vývoje a výroby. celou cestu, a to i poté, co prodají služby a podporu, která je následuje. Považujeme to za vítěznou strategii ve světle výzev, které vidíme ve velkém měřítku, výzev, kterým čelí naši zákazníci při hledání správných talentů pro kybernetickou bezpečnost, kteří jim pomohou chránit jejich organizace.
Vavřín : Předpokládám, že společnost Dell o tom začala uvažovat již před nějakou dobou, protože problémy s najímáním a změnou měřítka zabezpečení jsou tu již nějakou dobu. A jak se špatní herci očividně stali zdatnějšími, je zapotřebí stále více dobrých lidí, aby je zastavili. S ohledem na to, jak si myslíte, že pandemie urychlila toto zaměření? Nebo je to něco, co Dell viděl?
John : Ve společnosti Dell do této oblasti investujeme již řadu let. Zjevně to byla výzva, ale jak jsme viděli, rozhodně to urychlilo a umocnilo výzvu a dopady, kterým naši zákazníci čelí. Proto je to jen důležitější. V průběhu několika let jsme zvýšili naše investice do inženýrství bezpečnostních talentů a bystrosti. A budeme i nadále investovat, protože si uvědomujeme, že jelikož je to priorita pro naše zákazníky, je to priorita i pro nás.
Vavřín : To dává smysl. Na druhé straně mince, jak společnost Dell zajišťuje zaměstnance
sami berou ochranu údajů vážně a nepodléhají například pokusům o phishing? Jaký druh kultury a způsobu myšlení je třeba nasadit, aby se bezpečnost stala celopodnikovou prioritou?
John : Ve společnosti Dell je to skutečně kultura, kde je zabezpečení úkolem každého. Není to jen můj vlastní podnikový bezpečnostní tým nebo bezpečnostní týmy v rámci našich produktových a nabídkových skupin. Dotýká se každého zaměstnance a každého zaměstnance, který plní svou odpovědnost pomáhat chránit naši společnost a chránit naše zákazníky. Po mnoho let budujeme kulturu bezpečnosti, kde vyzbrojujeme naše zaměstnance správnými znalostmi a školením, aby mohli činit správná rozhodnutí, což nám pomáhá zmařit některé z těchto kriminálních aktivit, které vidíme, jako všechny společnosti. Jeden konkrétní školicí program, který byl velmi úspěšný, byl náš školicí program proti phishingu. V tomto neustále testujeme a školíme naše zaměstnance tím, že jim posíláme simulované phishingové e-maily, abychom je blíže seznámili s tím, co mají hledat a jak rozpoznat phishingové e-maily. I jen v tomto posledním čtvrtletí jsme viděli více zaměstnanců, kteří si všimli a nahlásili test simulace phishingu než kdy předtím.
Tyto školicí aktivity fungují a přinášejí rozdíl. Za poslední rok jsme zaznamenali tisíce skutečných phishingových útoků, které byly zaznamenány a zastaveny v důsledku toho, že je naši zaměstnanci viděli jako první a nahlásili nám je. Školení je tedy zásadní, ale opět je to na pozadí kultury organizačně, kde každý člen týmu ví, že má svou roli. I tento měsíc, když se podíváme na říjnový měsíc kybernetické bezpečnosti, zesilujeme naše úsilí a podporujeme povědomí o bezpečnosti a odpovědnosti, kterou mají členové týmu, ať už jde o to, jak bezpečně používat VPN, zabezpečit svou domácí síť nebo dokonce jak cestovat bezpečně. To vše je důležité, ale začíná to tím, že zaměstnanci vědí, co mají dělat, a pak pochopili, že je to jejich zodpovědnost.
Vavřín : A to by nemělo být příliš překvapivé. Je zřejmé, že Dell je velká globální společnost, ale zároveň je to iniciativa, na kterou zaměstnanci začínají být trochu hrdí? Existuje snad méně stěžování si na: 'Ach, musím si znovu změnit heslo' nebo: 'Aha, teď se musím přihlásit k VPN?'
John : Jedním ze zajímavých vedlejších produktů zvýšených útoků, které každý den vidíme ve zprávách, je to, že nyní běžně ovlivňují běžného člověka doma. Ovlivňuje, zda lidé mohou dát jídlo na stůl a jaký typ jídla si mohou objednat a co je k dispozici. Povědomí se za posledních pár let neuvěřitelně zvýšilo. S tímto pochopením, proč je to důležité, jsme zaznamenali nárůst pozornosti i hrdosti, se kterou zaměstnanci berou tuto odpovědnost velmi vážně. Máme dokonce interní výsledkové tabulky. Děláme to přátelskou soutěž, kde organizačně každý tým vidí, kdo našel nejvíce bezpečnostních phishingových testů. Milují, že mohou pomáhat společnosti, a co je důležitější, pomáhají našim zákazníkům dalším způsobem, který přesahuje důležitou práci, kterou každodenně vykonávají ve své primární roli.
Vavřín : To je skvělé. Takže to je otázka, kterou se rád ptám bezpečnostních expertů, protože toho tolik vidíte. O jakých narušeních zabezpečení slýcháte od zákazníků nebo podniků z celého odvětví a co vás na těchto konkrétních zkušenostech z první ruky překvapilo?
John : Je nešťastnou realitou, že nám téměř každý den volají naši zákazníci, kteří bohužel čelí některým z nejhorších dnů ve své podnikové praxi, ať už jsou ve vleku, že je zasáhne ransomware, nebo se zabývají nějakým jiným typem kybernetické narušení, řešení krádeží dat nebo digitálního vydírání, a je to docela strašné vidět. Když mluvím s našimi zákazníky a dokonce i kolegy z celého odvětví, jedním ze společných poselství, které zní pravdivě ve všech těchto zakázkách, je, že si přejí, aby se připravili trochu víc. Přáli by si, aby si udělali čas a měli předvídavost a měli zavedená určitá ochranná opatření, ať už jde o možnosti monitorování a detekce kybernetických hrozeb, nebo stále více o ransomware, více zaměřený na správné úložiště a zálohování a ochranu dat, obojí v jejich základním on-premise prostředí i v cloudu.
Ale bylo pro mě překvapivé, kolik organizací nemá skutečně odolné strategie ochrany dat, vzhledem k tomu, jak zničující ransomware je. Mnozí stále myslí na zálohování dat v éře tornád a záplav, kdy pokud máte zálohu 300 mil daleko od místa, kde máte uložená data, pak jste v pořádku, vaše zálohy jsou v bezpečí. Ale lidé dnes nepřemýšlejí o zálohách, na které se zaměřují lidé, kteří doslova najdou vaše zálohy, ať jsou kdekoli, a snaží se je zničit, aby jejich vyděračská schémata měla větší dopad. Když se tedy zamyslím nad moderním zálohováním dat a kybernetickou odolností ve světle ransomwaru, je pro mě překvapující, jak málo lidí je vzdělaných v tomto ohledu.
Ale řeknu, že s narůstající prevalencí vedeme tyto rozhovory se zákazníky a zákazníci investují aktivněji, než ten den přijde, a staví se na lepší základ, když k němu dojde.
Vavřín : Máte pocit, že společnosti nyní s cloudem přemýšlejí o strategiích ochrany dat jinak? A jaké druhy cloudových nástrojů a strategií pomohou společnostem udržet jejich data v bezpečí?
John : Je to zajímavé, protože je obecně známo, že zákaznická pracovní zátěž a data jsou všude, ať už v prostorách, na okraji nebo ve veřejných cloudech. Věříme, že multihybridní cloudový přístup, který zahrnuje datové centrum, je ten, který nabízí konzistenci napříč všemi různými prostředími jako osvědčený postup a způsob, jakým přemýšlíte o zacházení se svými strategiemi ochrany dat. Stále častěji vidíme, jak lidé využívají multicloudový přístup kvůli bezpečnostním výhodám, které s tím přicházejí, ale také cenovým výhodám, výkonu, souladu, soukromí atd. Co je zajímavé, když jsme se podívali na naše zjištění globálního indexu ochrany dat, zjistili jsme, že aplikace jsou aktualizovány a nasazovány v široké škále cloudových prostředí, a přesto často chybí důvěra, pokud jde o to, jak dobře lze data chránit. Mnoho organizací tedy využívá multi-cloudovou infrastrukturu, nasazuje pracovní zátěž aplikací, ale pouze 36 % ve skutečnosti uvedlo, že jsou si jisti svými schopnostmi cloudové ochrany dat.
Naproti tomu jedna pětina respondentů uvedla, že má určité pochybnosti nebo si není příliš či vůbec jistá svou schopností chránit data ve veřejném cloudu. Považuji to za docela alarmující, zvláště když mnoho organizací používá veřejný cloud k zálohování svých dat v rámci svých plánů obnovy po havárii. V podstatě kopírují všechna svá obchodní data do výpočetního prostředí, ve kterém mají nízkou důvěru v zabezpečení. Organizace se musí ujistit, že mají zavedená řešení pro ochranu dat v multicloudu a napříč jejich virtuálními pracovními zátěžemi. Z našeho pohledu se zaměřujeme na vnitřní zabezpečení, zabudováváme do řešení odolnost zabezpečení a soukromí ještě předtím, než jsou předána našim zákazníkům. Čím méně budou zákazníci muset přemýšlet o zabezpečení a hledat způsoby, jak zaměstnat své vlastní těžko najímatelné bezpečnostní experty, tím lépe.
Několik dalších strategií, které je třeba zvážit, je nejprve výběr správného partnera. V průměru jsme zjistili, že náklady na ztrátu dat se v posledním roce blíží čtyřnásobně vyšším organizacím, které využívají více dodavatelů ochrany, ve srovnání s těmi, kteří používají přístup jednoho dodavatele. A konečně, a to nejdůležitější, každý potřebuje datový trezor. Datový trezor, který je izolován od sítě, který je postaven s ohledem na ransomware, aby čelil hrozbám, které vidíme. To je místo, kde mohou zákazníci umístit svá nejkritičtější data a mít jistotu, že budou schopni obnovit svá známá dobrá data, až přijde ten den, kdy data budou skutečně záchranným lankem, které udrží jejich podnikání v chodu.
Vavřín : Je datový trezor hardwarové řešení, cloudové řešení nebo trochu obojího? Možná to závisí na vašem podnikání.
John : Určitě existuje řada různých způsobů, jak jej navrhnout. Obecně platí, že při budování kyberneticky odolného datového trezoru jsou důležité tři klíčové aspekty. První je, že musí být izolován. Vše, co je v síti, je potenciálně vystaveno rizikům.
Za druhé, musí být neměnné, což v podstatě znamená, že jakmile zálohujete data, nelze tuto zálohu nikdy změnit. Jakmile je jednou zapsán na disk, již jej nikdy nemůžete změnit. A za třetí, a konečně, musí být inteligentní. Tyto systémy musí být navrženy tak, aby byly stejně inteligentní, ne-li inteligentnější, než hrozby, které po nich nepochybně přijdou. Navrhování těchto systémů zálohování dat s ohledem na prostředí hrozeb odborníky, kteří hluboce rozumí zabezpečení, hluboce rozumí ransomwaru, je zásadní.
Vavřín : Chápu. To zní jako to, jak fungují některé třípísmenné vládní agentury offline s malým přístupem.
John : Bohužel, k tomu svět dospěl. Opět opravdu nic nenasvědčuje této změně. Pokud se podíváme na pobídky, kterým počítačoví zločinci čelí, odměny jsou neuvěřitelné. Dopady jsou nízké. Je to skutečně největší a nejprospěšnější zločinecký podnik v dějinách lidstva, pokud jde o to, co pravděpodobně vyvázne z útoku, versus pravděpodobnost, že budou dopadeni a půjdou do vězení. Nevidím, že by se to v dohledné době změnilo. V důsledku toho musí být podniky připraveny.
Vavřín : To je určitě pravda. Ani my neslyšíme o všech útocích, ale když to uděláme, také to stojí pověst. Přemýšlím o útoku na začátku roku v úpravně vody na Floridě. Očekáváte cílenější útoky na infrastrukturu, protože je to považováno za snadný způsob?
John : Bohužel to není problém pouze jednoho odvětví. Bez ohledu na povahu podnikání, které provozujete, a odvětví, ve kterém se pohybujete, když se na svou organizaci podíváte optikou zločince, často je něco, ať už jde o geopolitické pobídky, monetizaci kriminálních podvodů, nebo zda jde o krádež dat, která držíte, a jejich další prodej na černém trhu. Existuje jen velmi málo společností, které se na sebe skutečně mohou podívat a říci: ‚Nemám něco, co by chtěl kyberzločinec.' A to je něco, s čím se musí potýkat každá organizace všech velikostí.
Vavřín : Zejména když společnosti začleňují strojové učení, umělou inteligenci a jak jste již zmínili, zařízení edge a IoT – všude jsou data. Jak mohou společnosti s ohledem na to a na různé kontaktní body, které se snažíte zabezpečit, včetně vaší pracovní síly pracující odkudkoli, nejlépe zabezpečit data?
John : Je to dvousečná zbraň. Digitální transformace, o které se společnost Dell mohla přesvědčit z první ruky, byla neuvěřitelná. To, co jsme viděli, pokud jde o zlepšení kvality života a způsob, jakým se společnost transformuje prostřednictvím nově vznikajících technologií, jako je AI a ML, a explozi zařízení na okraji a internetu věcí, jsou digitální transformace a výhody obrovské. Zároveň to vše představuje potenciálně nové riziko, pokud je investováno a nasazeno způsobem, který není bezpečný a není na něj dobře připraven. Ve skutečnosti jsme pomocí našeho úplného indexu ochrany dat zjistili, že 63 % věří, že tyto technologie představují riziko pro ochranu dat, že tato rizika pravděpodobně přispívají k obavám, že organizace nejsou připraveny na budoucnost a že mohou být vystaveny riziku přerušení v průběhu příštího roku.
Nedostatek řešení ochrany dat pro novější technologie byl ve skutečnosti jedním ze tří hlavních problémů ochrany dat, které organizace v průzkumu citovaly. Investice do těchto nově vznikajících technologií jsou pro digitálně transformující se organizace zásadní a organizace, které se digitálně netransformují, pravděpodobně nepřežijí dobře v éře, na kterou se díváme v konkurenčním boji. Zároveň je však důležité, aby organizace zajistily, že jejich infrastruktura ochrany dat bude schopna držet krok s jejich širší digitální transformací a investicemi do těchto novějších technologií.
Vavřín : Když se nad tím vším v souhrnu zamyslíme, máte nějaké tipy pro společnosti, jak si v budoucnu ověřit svou datovou strategii?
John : Určitě mě napadá pár věcí. Za prvé, je důležité neustále uvažovat o prioritách z hlediska rizika. Realita je taková, že nemůžeme zajistit vše dokonale, takže stanovení priorit je rozhodující. Musíte se ujistit, že chráníte to, co je pro vaši firmu nejdůležitější. Provádění pravidelných strategických hodnocení rizik a jejich informování o investicích a prioritách, které organizace sledují, je základním pozadím, na kterém skutečně zahajujete některé z těchto bezpečnostních iniciativ a aktivit.
Druhá věc, která mě napadá, je, že cvičení dělá mistra. Cvičit, cvičit, cvičit. Můžete si položit otázku, zda byste se skutečně mohli zotavit, pokud byste byli zasaženi ransomwarem? Jak moc jste si tou odpovědí jistý? Zjistili jsme, že organizace, které si najdou čas na cvičení, provádějí interní cvičení, simulují simulace, procházejí procesem kladení si těchto otázek, zaplatím výkupné? nemám? Mohu obnovit své zálohy? Jak moc jsem si jistý, že mohu? U těch, kteří praktikují, je mnohem pravděpodobnější, že povedou dobře, když skutečně přijde den, kdy je zasáhne jeden z těchto ničivých útoků. Bohužel je stále pravděpodobnější, že většina organizací bude čelit tomuto dni.
Konečně je důležité, aby bezpečnostní strategie byly propojeny s obchodními strategiemi. Většina dnešních strategií z obchodního hlediska samozřejmě selže, pokud data, na která spoléhají, nejsou důvěryhodná a dostupná. Snahy o kybernetickou odolnost a bezpečnostní úsilí však nelze uzákonit na vlastním ostrově. Musí být informováni a podporovat obchodní strategii a priority. Ještě jsem se nesetkal se zákazníkem, jehož obchodní strategie by zůstala životaschopná, pokud by byl zasažen ransomwarem nebo jinou strategickou hrozbou ochrany dat, a nebyl schopen rychle a sebevědomě svá data obnovit. Základní otázkou, kterou si musíte položit, je, jak moc jste si dnes jisti svou připraveností ve světle všeho, o čem jsme mluvili? A jak vyvíjíte svou strategii kybernetické odolnosti, abyste se lépe připravili?
Vavřín : To je určitě klíčová věc, že? Není to jen technický problém nebo technologický problém. Je to také obchodní problém. Každý se musí podílet na přemýšlení o této datové strategii.
John : Absolutně.
Vavřín : Dobře, děkuji moc, Johne. Bylo skvělé mít vás dnes v Business Lab.
John : Moje potěšení. Děkuji, že mě máš.
Vavřín : To byl John Scimone, hlavní bezpečnostní důstojník společnosti Dell Technologies, se kterým jsem mluvil z Cambridge, Massachusetts, sídla MIT a MIT Technology Review, s výhledem na řeku Charles. To je pro tuto epizodu Business Lab vše. Jsem váš hostitel, Laurel Ruma. Jsem ředitel Insights, vlastní vydavatelské divize MIT Technology Review. Byli jsme založeni v roce 1899 na Massachusetts Institute of Technology. Najdete nás v tisku, na webu a na akcích každý rok po celém světě. Pro více informací o nás a show se prosím podívejte na naše webové stránky na adrese technologyreview.com.
Tato show je k dispozici všude, kde získáte své podcasty. Pokud se vám tato epizoda líbila, doufáme, že si najdete chvilku, abyste nás ohodnotili a zrecenzovali. Tato epizoda byla produkována Collective Next. Business Lab je produktem MIT Technology Review. Díky za poslech.
Tato epizoda podcastu byla produkována společností Insights, oddělením vlastního obsahu MIT Technology Review. Nenapsala to redakce MIT Technology Review.
