Rozpočet na kyberbezpečnost: kolik a do čeho investovat?

Barbora Nováková

Barbora Nováková
19. 06. 2023

Rozpočet na kyberbezpečnost: kolik a do čeho investovat?

SDÍLET

S tím, jak se svět posouvá dále do digitálního věku, raketovou rychlostí roste i význam kybernetické bezpečnosti. Výdaje, které namíříte tímto směrem, ochrání nejen vaše firemní data, ale také osobní data zákazníků, a tím vaši pověst a ve výsledku i peníze. Proto je nezbytné chápat tyto výdaje jako klíčovou investici. Právě tento článek vám odpoví na to, jak velká by investice do firemního zabezpečení měla být a jak ji správně rozložit do firemního ročního rozpočtu.

Kyberbezpečnost berte jako strategickou prioritu

Někdy se na správná strategická rozhodnutí vyplatí počkat a pořádně se rozmyslet. To ale není případ kyberbezpečnosti. Zde platí přesný opak. Nečekejte, až se stanete terčem útoku, abyste si až poté uvědomili význam investice do kybernetické bezpečnosti. „Částku vynaloženou do kyberbezpečnosti je potřeba si dát na misky vah s tím, kolik bych zaplatil za potenciální útok,“ říká šéf bezpečnosti O2 Radek Šichtanc. Podle statistik totiž kybernetický úder firmu stojí kolem jednoho procenta ročních příjmů. Nejen kvůli tomu by tak firmy měly kyberbezpečnost zařadit mezi hlavní priority co nejdříve, jelikož podcenění situace může mít vážné následky. Jak na to? Poradili jsme se právě s Radkem Šichtancem, osobou z nejpovolanějších.

Zajímá vás, nakolik je pravděpodobné, že se vaše firma stane obětí kyberútoku? To zjistíte díky 11 otázkám, které jsme pro vás připravili v testu atraktivity.

5 % z ročního IT rozpočtu jako absolutní minimum

Z pozice managementu je jedna z vašich pravomocí rozhodovat o firemních rozpočtech. Kolik vynakládáte na kybernetickou bezpečnost? „Ze statistik vyplývá, že firmy v průměru dávají na kybernetickou bezpečnost kolem 5 % ročního rozpočtu IT oddělení,“ osvětluje Radek Šichtanc. Podle něj by ale bylo vhodnější investovat minimálně dvojnásobek. Nicméně toto číslo se značně liší v závislosti na odvětví, ve kterém podnikáte, a velikosti vaší firmy. Proto je vždy důležité zhodnotit svou aktuální firemní situaci i potenciální rizika, která firmě v odvětví mohou hrozit, a podle toho rozpočet na kyberbezpečnost sestavit a následně ho účelně čerpat.

Pro příklad: V oblastech jako bankovnictví, zdravotnictví, energetika či telekomunikace je pro zajištění bezproblémového fungování vhodné vyčlenit na kybernetickou bezpečnost přibližně 15 % z rozpočtu IT.

Rozdělte a panujte

Rádi bychom vám napsali, že když věnujete 10 % rozpočtu IT oddělení, tak tím práce končí, ale není to tak. Kyberbezpečnost se skládá z několika dalších oblastí, které je nutné brát v potaz při rozdělování. Radek Šichtanc doporučuje rozdělit finance následovně: „Polovinu z vyhrazené částky si vyžádá bezpečnostní infrastruktura a její provoz,“ tvrdí. V tomto ohledu jde například o technologie, které v rámci firmy zajišťují všechno od bezpečnosti sítě přes řízení přístupů a identit, správu účtů všech úrovní až po zabezpečení počítačů a firemních serverů.

Podle Šichtance dalších 25 % sebere bezpečnostní monitoring. Kromě nástrojů samotného monitoringu sem patří také řízení technických zranitelností (proces identifikace a hodnocení zranitelností systému a jejich následné odstranění). Za zmínku stojí i dohledové centrum – externí služba, která vaší firmě zajistí kompletní bezpečnostní monitoring IT. 

„Zbývajících 25 % rozdělte mezi samotné řízení a testování bezpečnosti,“ doporučuje Šichtanc. Do řízení bude spadat celková strategie, nejrůznější dokumentace, frameworky a certifikace. Zatímco testování bude obnášet například penetrační testy a simulace kybernetických útoků. Právě během testů a simulací se budou vaši zaměstnanci nejefektivněji vzdělávat, a budou tak rozvíjet své schopnosti adekvátně reagovat na reálné útoky. Mějte totiž na paměti, že nejslabším článkem kybernetického řetězce jsou právě lidi. Z toho důvodu by jejich bezpečnostní školení nemělo zůstat na pozadí.


Ideální rozdělení? 50–25–25

Investice, která stojí nejméně? Změnit svůj přístup

Rozdělit investici do kyberbezpečnosti je věc jedna. Největší výzvou v oblasti kybernetické bezpečnosti je z našeho pohledu změna přístupu managementu firem. Věříme, že kybernetická bezpečnost je právě záležitostí vedení. Setkáváme se s tím, že se přístup lidí v řídicích pozicích často nese v zažitém modelu „nám se to stát nemůže“. Skutečnost je ale taková, že obětí kybernetického útoku se může stát opravdu kdokoli. Z pohledu hackerů totiž žádná společnost není příliš malá na to, aby se na ni nezaměřili. Jaké by měly být první kroky k tomu, abyste začali přistupovat ke kyberbezpečnosti z jiného úhlu?

Vsaďte na prevenci

Ne nadarmo se říká, že kdo je připraven, není zaskočen. Proto se soustřeďte v první řadě na prevenci. Investujte do opatření, která pomohou předcházet nejrůznějším druhům útoků, včas je odhalovat a rychle reagovat. Záruku, že se na vás hackeři nezaměří, vám nikdo nedá. Když to ale budete očekávat a dobře se na takovou situaci připravíte, nejlépe tak minimalizujete případné škody.

Uvědomte si důsledky

Dalším problémem, který vám možná brání, abyste investovali do kybernetické bezpečnosti, je nedostatečné povědomí o důsledcích narušení. Je nezbytné si uvědomit plný rozsah škod, které může útok způsobit. Vedle narušení provozu vaší společnosti je tu také únik dat, který povede ke ztrátě důvěry zákazníků. Může vést i k soudním sporům, pokutám od regulačních orgánů a samozřejmě ke ztrátě financí. A to si nepřeje žádný manažer. 

Nemalou sumu budete muset v případě napadení vynaložit také na komunikaci s klienty i s vlastními zaměstnanci, dále na forenzní vyšetřování a samozřejmě na samotnou obnovu.

Chcete své firmě zajistit kompletní řešení kyberbezpečnosti, ale nemáte na to vlastní vybavení nebo tým odborníků? Využijte pro to službu O2 Security Expert Center, která vás v kyberprostoru spolehlivě ochrání.

S analýzou rizik budete o krok napřed

S pochopením reálných hrozeb, a tedy i efektivním alokováním zdrojů vyhrazených na firemní zabezpečení, vám pomůže i proces analýzy rizik. Tato námi vytvořená bezpečnostní analýza pokrývá všechna doporučení NÚKIB pro administrátory a komplexně mapuje všechna důležitá a zároveň často zanedbávaná místa v oblasti zabezpečení firemního IT. Pomůže vám zanalyzovat celkový stav a vyhodnotit, kde máte mezery, které byste měli opravit.

Na co se v dotazníku připravit? Na 47 otázek rozdělených do tří základních okruhů podle metodologie NÚKIB, které vyplníte spolu se specialisty na jednotlivé oblasti vašeho firemního IT. Už při vyplňování si uvědomíte, jak komplexní otázkou je bezpečnost pro firemní IT. 

Po zodpovězení všech otázek získáte nejen celkové skóre, ale i detailní vhled do toho, jak zabezpečenou máte u vás ve firmě každou ze tří uvedených oblastí a jakého skóre v ní dosahujete. Pokud budete potřebovat pomoci s vyplněním dotazníku, rádi vám poradíme na našich webových stránkách.

Aktuální stav IT zabezpečení své firmy si ověříte prostřednictvím bezplatné analýzy bezpečnosti.

Co si z článku odnést?

  • Uvědomte si, že nehledě na velikost či odvětví se i vaše společnost může stát terčem útoku, proto její ochranu vnímejte jako strategickou prioritu.
  • Kybernetická bezpečnost je v dnešním digitálním světě klíčovou investicí, ne nutným výdajem.
  • Zaměřte se především na prevenci, díky které se vyhnete rozsáhlým škodám. S tím vám pomůže třeba analýza rizik.
  • Obecným doporučením je v závislosti na odvětví investovat do kyberbezpečnosti od 5 do 15 % z ročního rozpočtu firmy pro IT oddělení.
  • Vyhrazené peníze rozdělte následovně: 50 % pro bezpečnostní infrastrukturu a její provoz, 25 % pro bezpečnostní monitoring a zbývajících 25 % pro řízení a testování bezpečnosti.





Barbora Nováková Barbora Nováková
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?
Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?