Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Spoločnosť Cisco publikovala štúdiu Big Security in a Small Business World, ktorá sa zaoberá tým, do akej miery malé a stredne veľké podniky pri svojom rozvoji dbajú na kybernetickú bezpečnosť. Skúma pritom a vyvracia 10 mýtov okolo kybernetickej  bezpečnosti týchto firiem. V porovnaní so všeobecnými predpokladmi sa im totiž darí veľmi dobre.

Malé a stredne veľké podniky na celom svete sa v súčasnosti pasujú s neobvyklými prevádzkovými problémami. Na čo by sa mali vzhľadom na okolnosti z hľadiska zachovania bezpečnosti zamerať? Ako bez zdrojov, porovnateľných s veľkými korporáciami, ochrániť podnik pred útočníkmi, ktorí chcú situáciu využiť? Bezpečnostný priemysel niekedy býva na malé a stredne veľké podniky neprávom tvrdý a nespravodlivý, pokiaľ ide o to, aký dôraz medzi svojimi prioritami kladú na kybernetickú bezpečnosť. Štúdia založená na prieskume medzi takmer 500 malými a stredne veľkými podnikmi ukazuje, že berú bezpečnosť veľmi vážne, ale aj to, že ich inovatívny prístup k bezpečnosti prináša svoje ovocie.

Mýtus 1: Len veľké organizácie sú pod drobnohľadom

Vlani sa menšie organizácie pasovali s rovnakou úrovňou verejnej kontroly ako ich väčšie náprotivky. Minulý rok 59 % malých a stredne veľkých podnikov dobrovoľne zverejnilo svoje najvýznamnejšie bezpečnostné incidenty. Pri väčších podnikoch to bolo takmer rovnako, konkrétne 62 %. Zákazníci sa pýtali až 74 % malých a stredne veľkých podnikov, ako zaobchádzajú s ich údajmi – v porovnaní so 77 % väčších organizácií.

Mýtus 2: Väčšie podniky menej trpia prestojmi a rýchlejšie sa z útokov zotavujú

Dáta spoločnosti Cisco naznačujú, že existuje len malý rozdiel v množstve prestojov, ktoré zaznamenali malé a stredne veľké podniky v porovnaní s tými väčšími. Až 24 % malých a stredne veľkých podnikov čelilo viac ako ôsmim hodinám výpadkov v prípade svojho najvážnejšieho narušenia bezpečnosti v porovnaní s 31 % veľkých organizácií.

Mýtus 3: Malé a stredne veľké podniky nemajú ľudí, ktorí by sa starali o bezpečnosť

I keď nedostatok personálu môže byť problém, tak aj v SMB pracujú ľudia určení na zaistenie bezpečnosti. Menej ako 1 % malých a stredne veľkých podnikov uviedlo, že nemá nikoho, kto by sa o túto agendu staral.

Mýtus 4: Veľké firmy majú aktualizovanejšiu infraštruktúru

Toto je pravda len čiastočne. Keď boli malé a stredne veľké firmy požiadané o popis svojej infraštruktúry a ich stratégie pre rozvoj bezpečnostných technológií, takmer všetky (94 %) uviedli, že sa snažia udržiavať svoju infraštruktúru aktuálnu. Až 42 % dokonca uvádza, že ich infraštruktúra je veľmi aktuálna, v porovnaní s 54 % veľkých podnikov.

Mýtus 5: Malé a stredne veľké podniky čelia odlišným hrozbám ako veľké podniky

Opäť len čiastočná pravda. Hoci sa niektorí aktéri útokov špecializujú na organizácie rôznych veľkostí, taktika je porovnateľná. Štúdia porovnala typy útokov, ktoré firmy vlani zaznamenali. Mnohé z nich, napríklad vydieračský softvér, medzi cieľmi nerozlišujú a ohrozujú podniky bez ohľadu na ich veľkosť.

Mýtus 6: Threat hunting je doménou veľkých firiem

Až 72 % malých a stredne veľkých podnikov má zamestnanca, ktorý má v popise práce threat hunting, v porovnaní s 76 % veľkých organizácií.

Mýtus 7: Menšie podniky nerobia bezpečnostné cvičenia a testy plánov reakcie na incidenty

Pravidelné cvičenia udržiavajú tím vo forme. A to platí i pre malé firmy. Len 1 % z nich nikdy netestovalo plány reakcie na incidenty. Až 45 % malých a stredne veľkých podnikov dokonca cvičí každých šesť mesiacov, pričom pri veľkých organizáciách je to 49 %.

Mýtus 8: Vedenie malých a stredne veľkých podnikov neberie bezpečnosť a ochranu dát vážne

Tri otázky v prieskume sa zameriavali na ochranu osobných údajov, informovanosť o kybernetickej bezpečnosti a na postoj vedenia firmy k bezpečnosti. Odpovede na ne dokazujú, že tento mýtus je mylný. Vedenia firiem sú informované a angažujú sa. Viac než dve tretiny malých a stredne veľkých podnikov naprieč všetkými priemyselnými odvetviami uviedli, že ich vedenie považuje bezpečnosť za vysokú prioritu. V 84 % malých podnikov je školenie zamerané na povedomie o kybernetickej bezpečnosti povinné. To je len o 4 percentuálne body menej ako vo veľkých firmách.

Mýtus 9: Menšie podniky neopravujú pravidelne medzery v bezpečnosti

Veľké i malé firmy sú na tom z pohľadu pravidelnosti záplatovania podobne. Denne alebo týždenne zraniteľnosti opravuje 58 % respektíve 56 % z nich.

Mýtus 10: Menšie podniky nemôžu merať účinnosť svojich bezpečnostných opatrení

Úctyhodných 86 % malých a stredne veľkých podnikov uvádza, že má jasné metriky na hodnotenie účinnosti svojho bezpečnostného programu v porovnaní s 90 % v prípade väčších organizácií.

Štúdia sa zaoberala aj tým, akým smerom by sa mali malé a stredne veľké podniky ďalej vydať. Vychádza z nej, že by sa mali zamerať na zjednodušovanie svojho bezpečnostného ekosystému. Štúdia preukázala, že vyšší počet dodávateľov sa pri oslovených malých a stredne veľkých podnikoch jednoznačne prejavil v dlhšej dobe výpadkov v dôsledku závažného narušenia bezpečnosti. Tá sa pohybovala od priemerných štyroch hodín v prípade jedného dodávateľa po viac ako v priemere 17 hodín v prípade 50 a viac dodávateľov. Tieto dáta jednoznačne podporujú trend konsolidácie dodávateľov.

Naliehavejší problém pre mnohé firmy ale je, ako sa prispôsobiť práci na diaľku. S ohľadom na novú realitu sú potrebné stratégie, ako zabezpečiť zamestnancov, pracujúcich mimo firmy a ich zariadenia a zároveň zachovať flexibilitu a responzivitu  typickú pre malé a stredne veľké podniky. V závere štúdia ponúka odporúčania, ako sa s týmito otázkami vysporiadať v kontexte toho, čo vieme o kybernetickej bezpečnosti v malých a stredne veľkých podnikoch.

Štúdiu si môžete stiahnuť na: https://www.cisco.com/c/en/us/products/security/smb-report-2020.html

Značky:

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.