Trzy filary bezpiecznej firmy

Polski biznes potrzebuje przyspieszonej cyfryzacji. Nasz kraj jest poniżej europejskiej średniej, jeśli chodzi o poziom cyfryzacji biznesu. Naszą siłę buduje jedynie umiejętność organizacji pracy zdalnej, słabością zaś są wydatki na technologie.

Polskie firmy są tego świadome. Zgodnie z najnowszym „Monitorem Transformacji Cyfrowej Biznesu” przygotowywanym przez KPMG 21 proc. przedsiębiorstw mimo kryzysu planuje w najbliższym czasie zwiększyć wydatki na cyfryzację, a 10 proc. zamierza zatrudnić dodatkowy personel do wykonywania zadań związanych z tym procesem. To szansa m.in. dla takich firm jak Polkomtel, które od dawna są przygotowane do wsparcia procesów cyfryzacyjnych. Do hurraoptymizmu jednak daleka droga, bo potrzeba zmian to jedno, a ich właściwe przeprowadzenie to drugie.

Cyberbezpieczeństwo pod znakiem zapytania

Bez zadbania o bezpieczeństwo organizacji nie ma mowy o skutecznej cyfryzacji. A tu mamy problem, bo zgodnie z danymi opublikowanymi na Forum Ekonomicznym w Karpaczu aż 69 proc. polskich firm w 2021 r. padło ofiarą cyberataków. A przynajmniej o nich wie, bo wiele takich ataków nigdy nie jest wykrywanych. 

W najbliższych miesiącach będzie tylko gorzej. Konflikt w Ukrainie nie ustaje, a nadchodzi zima – czyli moment, w którym europejska gospodarka ze względu na kryzys energetyczny jest najbardziej podatna na wstrząsy – i można zakładać, że liczba cyberataków będzie znacząco nasilona. Potwierdzają to badania, zgodnie z którymi od marca 2022 r. liczba tego typu ataków wzrosła w porównaniu z poprzednimi latami. A przypomnijmy, że zmasowane naruszenia bezpieczeństwa firm rozpoczęły się w 2020 r., kiedy to wszyscy ruszyli do pracy zdalnej i firmy nie były właściwie do tego przygotowane. Tymczasem… 

– Zgodnie z barometrem KPMG tylko 42 proc. menedżerów ma co najwyżej umiarkowane przekonanie o tym, że ich firmy są cyberbezpieczne – mówi Mateusz Firląg, dyrektor Departamentu Sprzedaży B2B operatora sieci Plus.

Należy także pamiętać, że cyberbezpieczeństwo to nie tylko obrona przed atakami zewnętrznych grup. To również odporność na awarie urządzeń lub sprzętu czy infrastruktury towarzyszącej procesom. Czy firma jest gotowa na to, że przez ograniczenia związane z dostępem do energii elektrycznej straci dostęp do archiwalnych danych?

Nowa sytuacja wymaga specyficznego podejścia. – Przedsiębiorcy nie mają żadnego wpływu na czynniki zewnętrzne, takie jak kryzys energetyczny, system prawno-podatkowy czy sytuacja geopolityczna. Nie zmienia to faktu, że muszą cały czas je monitorować i dostosowywać cały biznes do zmieniających się warunków. Jak to zrobić? Najlepiej stworzyć taką strukturę firmy, która może szybko i sprawnie dopasować się do nowych „przeciwności” losu – zaznacza Mateusz Firląg.  

Dawniej firmy po prostu diagnozowały pojawiający się problem i starały się do niego dostosować. Dziś to nie wystarcza, bo od początku pandemii poziom skomplikowania zagrożeń i szybkość zmian są niewyobrażalne. Przykład? Rok temu niewiele firm musiało realnie przygotowywać się do braku dostaw prądu dłuższych niż kilka godzin. Dziś to prawdopodobny scenariusz. Przedsiębiorcy nie chcą jednak poświęcać swojego czasu, by samodzielnie szukać odpowiedzi na te problemy. Próbują więc  korzystać z gotowych usług, które można krótko określić jako „pudełkowe rozwiązania”.

Jeden, by nimi rządzić

W idealnym świecie powinno istnieć jedno narzędzie, nazwijmy to roboczo „Pakiet bezpieczeństwa firmy”, w którym znajdowałyby się wszystkie programy, mechanizmy i zabezpieczenia gwarantujące 100 proc. bezpieczeństwa przed cyberatakami czy awariami sprzętu. Oczywiście nie jest to możliwe. Przedsiębiorcy myślą jednak w kategoriach „pudełkowych rozwiązań”, czyli kupienia „czegoś, co rozwiąże ich problemy”. Wielu menedżerów sądzi, że wystarczającym zabezpieczeniem będzie jeden program antywirusowy. Kupując takie rozwiązanie, zaczyna im się wydawać, że problem cyberataków już ich nie dotyczy. To błędne podejście, bo taki antywirus nie pomoże, jeśli nasz pracownik padnie ofiarą phishingu i przeleje pieniądze na złe konto albo podczas pracy z domu udostępni swoje hasło przestępcy.

– Takich ryzyk jest całe mnóstwo, dlatego dziś zarządzanie przedsiębiorstwem, jeśli chodzi o bezpieczeństwo, wymaga zupełnie innego, kompleksowego podejścia. Powinno ono się opierać na trzech filarach: monitoringu, kontroli i zarządzaniu. Dopiero w ich ramach powinniśmy szukać rozwiązań, które zapewnią nam jak najwyższy poziom bezpieczeństwa – radzi przedstawiciel operatora sieci Plus.

Biznes chce kompleksowości

Monitoring pozwala na szybkie diagnozowanie pojawiających się problemów – np. jeśli ktoś próbuje ukraść samochód służbowy albo dochodzi do ataku na nasze serwery. Kontrola pozwala na szybką reakcję – np. przekazanie położenia pojazdu do policji albo zablokowanie dostępu cyberprzestępców do danych. Podobnie jest z monitorowaniem ruchu… w internecie. Rozwiązania anty-DDoS pozwalają monitorować i sprawnie reagować na próby ataku na firmową sieć.  Warto usprawnić zarządzanie. Wykorzystać monitoring GPS pojazdów do poszukania oszczędności – np. stworzenie wewnątrzfirmowej wypożyczalni samochodów służbowych zamiast wydawania pieniędzy na taksówki. Inny przykład to zastosowanie monitoringu do weryfikacji czasu pracy kierowców, planowania (a dokładniej optymalizacji) trasy w celu ograniczenia kosztów czy zabezpieczenie się przed kradzieżą paliwa poprzez montaż czujników otwierania baków paliwa. A co w przypadku kradzieży służbowego telefonu? Ochronę zgromadzonych na nim danych zapewnią chociażby usługi zarządzania urządzeniami mobilnymi pozwalające konfigurować dostępność wybranych aplikacji na smartfonach pracowników i zabezpieczyć urządzenia na wypadek ich zgubienia lub kradzieży. Bezpieczeństwo firmy to również edukacja. Kształtowanie wiedzy pracowników na temat różnego typu zagrożeń i sposobów ich unikania.

Zanim będziemy w stanie wdrożyć te rozwiązania, musimy najpierw pomyśleć o specyficznych potrzebach naszej firmy. Z takim podejściem jest tylko jeden problem – brak wystarczającej wiedzy przedsiębiorców na temat dostępnych rozwiązań czy pomysłów.  – Dlatego staramy się zrozumieć biznes klienta, by dopiero później zaproponować mu konkretne propozycje. Nadmierne obciążanie licznymi systemami czy aplikacjami nic nie daje. Klient nie wykorzysta większości rozwiązań, które można mu sprzedać. Dużo lepszym pomysłem jest dostosowanie narzędzi do potrzeb zarówno związanych z biznesem, jak i strony finansowej. Stawiamy na wzajemne zrozumienie obydwu stron – tłumaczy Mateusz Firląg.

Weźmy inny przykład bazujący na doświadczeniach firmy. Jedna z lokalnych spółdzielni mieszkaniowych chciała zwiększyć poziom bezpieczeństwa oraz przyspieszyć wymianę dokumentów związanych z pracami serwisowymi w mieszkaniach. – Za naszą radą zamiast inwestować duże pieniądze w kupno specjalnego sprzętu czy wdrażanie dedykowanych aplikacji, po prostu wdrożyła usługę Microsoft Teams na telefonach komórkowych. Pracownicy mogli dokumentować zgłoszenia za pomocą zdjęć i od razu przesyłać je do chmury, mogli prowadzić inspekcje zdalne w większych zespołach, prowadzony był kalendarz prac… To podniosło efektywność prowadzonych operacji, ale także podniosło poziom bezpieczeństwa, bo ryzyko niezauważonych awarii spadło – dodaje Mateusz Firląg.

W ten sposób możliwa jest budowa bezpiecznej firmy, która będzie na bieżąco z aktualnymi zagrożeniami, ale również będzie w stanie połączyć bezpieczeństwo z wartością dodaną, czyli oszczędnościami albo przewagą konkurencyjną.