Společnost Cisco vydala studii s názvem Big Security in a Small Business World, ve které se zabývá tím, jak malé a střední podniky (SMB) při svém rozvoji aplikují kybernetickou bezpečnost. Zaměřila se i na deset mýtů okolo kybernetické bezpečnosti těchto firem.
Ty si totiž podle Ciska oproti obecným předpokladům vedou velmi dobře. Studie totiž odhalila, že malé a střední podniky berou bezpečnost velmi vážně, ale také, že jejich inovativní přístup k bezpečnosti přináší úspěchy.
Mýtus 1: Pouze velké organizace jsou pod drobnohledem
V roce 2019 se menší organizace podle společnosti potýkaly se stejnou úrovní veřejné kontroly jako jejich větší protějšky. Minulý rok dobrovolně zveřejnilo 59 % malých a středních podniků své nejvýznamnější bezpečnostní incidenty.
Cisco dodává, že u větších podniků to bylo téměř stejně, konkrétně 62 %. Celkem 74 % malých a středních podniků obdrželo dotazy od zákazníků na to, jak nakládají s jejich údaji – ve srovnání se 77 % větších organizací.
Mýtus 2: Větší podniky mají kratší prostoji a rychleji se zotavují
Data společnosti Cisco naznačují, že existuje jen malý rozdíl v množství prostojů, které zaznamenaly malé a střední podniky v porovnání s těmi většími.
Necelá čtvrtina (24 %) malých a středních podniků čelilo více než osmi hodinám výpadků kvůli svému nejzávažnějšímu narušení bezpečnosti ve srovnání s 31 % velkých organizací.
Mýtus 3: SBM nemají lidi, kteří by se starali o bezpečnost
Společnost uvádí, že i když nedostatek personálu může být případ těch nejmenších, tak i v SMB pracují lidé dedikovaní na zajištění bezpečnosti. Méně než 1 % malých a středních podniků v průzkumu uvedlo, že nemá nikoho, kdo by se o tuto agendu staral.
Mýtus 4: Velké firmy mají aktualizovanější infrastrukturu
Toto tvrzení je podle Ciska pravdivé jen částečně. Když byly malé a střední firmy požádány o popis své infrastruktury a jejich strategie pro rozvoj bezpečnostních technologií, téměř všechny (94 %) uvedly, že se snaží udržovat svoji infrastrukturu aktuální.
Přes dvě pětiny (konkrétně 42 %) dokonce uvádí, že jejich infrastruktura je velmi aktuální, ve srovnání se 54 % velkých podniků.
Mýtus 5: SMB čelí odlišným hrozbám než velké podniky
Opět se dle společnosti jedná jen o částečnou pravdu. Ačkoliv taktika je srovnatelná, samotní aktéři útoků se podle expertů Ciska liší.
Studie porovnala typy útoků, které firmy zaznamenaly v uplynulém roce. Mnoho z nich, například vyděračský software, mezi cíli nerozlišuje a ohrožuje podniky bez ohledu na jejich velikost.
Mýtus 6: Threat hunting je doménou velkých firem
Průzkum naznačil, že 72 % malých a středních podniků má zaměstnance, který má v popisu práce provádět threat hunting, ve srovnání se 76 % velkých organizací.
Mýtus 7: SMB neprovádí bezpečnostní cvičení a testy
Pravidelná cvičení udržují tým ve formě, což podle Ciska platí to i pro malé firmy. Pouze 1 % z nich podle studie nikdy neprovádělo testy plánů reakce na incidenty.
Plných 45 % malých a středních podniků pak dle průzkumu provádí cvičení dokonce každých šest měsíců. U velkých organizací je to 49 %.
Mýtus 8: Vedení SMB nebere bezpečnost a ochranu dat vážně
Tři otázky v průzkumu byly zaměřené na ochranu osobních údajů, informovanost o kybernetické bezpečnosti a na postoj vedení firmy k bezpečnosti. Odpovědi na ně podle společnosti dokazují, že tento mýtus je mylný.
Vedení firem je podle studie informované a angažuje se. Více než dvě třetiny malých a středních podniků napříč všemi průmyslovými odvětvími uvedly, že jejich vedení považuje bezpečnost za vysokou prioritu.
V 84 % malých podniků je školení zaměřené na povědomí o kybernetické bezpečnosti povinné. To je podle Ciska jen o čtyři procentní body méně než ve velkých firmách.
Mýtus 9: SMB neopravují pravidelně mezery v bezpečnosti
Firma dále uvádí, že velké i malé firmy jsou na tom z pohledu pravidelnosti záplatování podobně. Denně nebo týdně je provádí 58 % respektive 56 % z nich.
Mýtus 10: SMB neumí měřit účinnost svých opatření
Celkem 86 % malých a středních podniků v průzkumu uvedlo, že mají jasné metriky pro hodnocení účinnosti svého bezpečnostního programu ve srovnání s 90 % v případě větších organizací.
Studie se také zabývala tím, jakým směrem by se měly malé a střední podniky vydat dále. Vychází z ní, že by se měly zaměřit na zjednodušování svého bezpečnostního ekosystému.
Studie podle Ciska prokázala, že vyšší počet dodavatelů se u dotázaných malých a středních podniků jednoznačně projevil v delší uváděné době výpadků v důsledku závažného narušení bezpečnosti.
Ta se dle průzkumu pohybovala od čtyř hodin v průměru v případě jednoho dodavatele po více než 17 hodin v průměru v případě 50 a více dodavatelů. Cisco dodává, že tato data přesvědčivě podporují trend konsolidace dodavatelů.
Zdroj: Cisco
