Két évvel ezelőtt, 2019-ben a Mariott Hotel és a British Airways rekordösszegű bírságot kapott a brit adatvédelmi hatóságtól: 117, illetve 204,6 millió eurót. Az adatvédelmi hivatal vezetője, Elizabeth Denham egy interjúban elmondta, hogy a bírság megállapításakor nem azt vették figyelembe, hogy milyen sok ügyfelet érinthetett a probléma, hanem azt, hogy a vállalatok mit tettek (vagy nem) az ügyféladatok védelméért.
Amikor egy szervezetet kibertámadás éri, akkor senki nem azt számolja, mennyit költött a vállalat biztonságra vagy alacsony volt-e a sérülékenységek száma. A kérdés, hogy költségvetése, mérete és szükségletei függvényében megfelelően cselekedett vagy sem. A Gartner szerint a jövőben a szabályozói testületek és adatvédelmi hatóságok a bírságok 80 százalékát azért szabják ki, mert a vállalatok nem tesznek meg minden tőlük elvárhatót a kockázatok csökkentésére.
A kiberbiztonság fókuszpontjait és az ezzel kapcsolatos befektetéseket úgy válaszjuk ki, hogy megelőzzünk egy nem kívánatos kimenetelt. Például egy vállalat azért vásárolt egy frissítésfelügyeleti (patch management) megoldást, hogy megelőzze a nem frissített szoftverek sérülékenységeiből származó incidenseket. Ehelyett a Gartner a CARE nevű keretrendszert javasolja a vállalati kiberbiztonsági program validálására. (CARE: consistent, adequate, reasonable, effective, azaz konzisztens, megfelelő, ésszerű és hatékony – a biztonsági befektetéseket megalapozó eredmények kívánatos jellemzői.) A CARE szerint például a patchmenedzsment-megoldás létének tudomásul vétele helyett a szervezet a közvetlenül a védelmi szinttel kapcsolatos eredményeket mérhetné: hány napra van szükség ahhoz, hogy a kritikus rendszerekre telepítsük a kritikus frissítéseket.
Cikk folytatása itt olvasható: ITBusiness
Szerző: Vass Enikő IT Business