K narušení IT infrastruktury firem či k významným únikům dat dochází prakticky na každodenní bázi. Firmy proto investují stále větší úsilí a finance do zabezpečení svých sítí před útoky zvnějšku i zevnitř, stejně jako se zvyšuje i finanční vyčíslení potenciálních rizik. Finanční manažeři by proto měli mít jasnější přehled o tom, co je vlastně v sázce.
Poznejte nepřítele
Je velmi důležité znát potenciální hrozby v oblasti kybernetické bezpečnosti. Typicky může jít o útok hackerů, napadení škodlivým softwarem nebo třeba odcizení či zničení důležitých dat samotnými zaměstnanci. V rámci plánů zabezpečení firmy před kybernetickými hrozbami je třeba mít všechny potenciální hrozby popsány včetně jejich původců a možného rozsahu škody.
O co by mohlo případným útočníkům jít? Jaký je nejdůležitější digitální majetek firmy, kde je uchováván a jak je zabezpečen? Na tyto otázky by měli znát odpovědi všichni členové nejvyššího managementu, jejichž rozpočtů by se útok a ztráta dat mohly týkat.
Proaktivní přístup
Jedním z důležitých úkolů finančního ředitele je zajistit dostatečné zdroje na zabezpečení IT infrastruktury a všech důležitých digitálních aktiv firmy před potenciálními hrozbami. Techniky útoků se ovšem neustále vyvíjejí, a proto je třeba aktivním způsobem přistupovat i k investicím do zabezpečení. Nejde jen o pravidelnou modernizaci použitého vybavení nebo školení pro tým zodpovědný za zabezpečení firmy před kybernetickými útoky, ale například také o penetrační testy, které typicky uskutečňují specializované externí společnosti.
Všechna tato opatření vyžadují nemalé investice, proto je stále třeba mít při tvorbě rozpočtů na paměti i kybernetickou bezpečnost. Důležité je vybalancovat vynaložené prostředky oproti hodnotě potenciálního rizika z úspěšně uskutečněného útoku nebo selhání techniky. I relativně malá investice přitom může firmu uchránit před rozsáhlými následky ohrožujícími samotnou její existenci. Často se přitom stává, že organizace začnou opravdu seriózně uvažovat o kybernetické bezpečnosti až po prvním úspěšně provedeném útoku na jejich IT infrastrukturu. To už je ale třeba k investicím do zabezpečení přičíst i náklady na sanaci vzniklého problému.
Další náklady na bezpečnost
Od 1. ledna 2015 roku začal platit zákon č. 181/2014 Sb., zabývající se kybernetickou bezpečností. Přestože je primárně zaměřen na zvýšení bezpečnosti kritické infrastruktury státu a významných informačních systémů a týká se především poskytovatelů internetového připojení a obecně telekomunikačních služeb, vztahuje se i na další organizace spravující rozsáhlé IT infrastruktury, které jsou definovány na základě předpisu č. 432/2010 Sb.
Firmy, na něž se zákon č. 181/2014 Sb. vztahuje, musejí učinit rozsáhlá opatření zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání bezpečnostních incidentů. Také s těmito opatřeními jsou spojeny značné investice, aby se firma vyhnula hrozícímu finančnímu postihu.
Investice do zabezpečení IT infrastruktury jsou vždy významné, a nikoli jen jednorázové. Finanční manažeři proto musejí být zasvěceni do bezpečnostních plánů, aby se mohli podílet na jejich úspěšné realizaci.