Hra na kybernetickú bezpečnosť bez funkčného IT je nebezpečná ilúzia.

Pri našej práci denne vidíme organizácie, ktoré rozprávajú o „kybernetickej bezpečnosti“ a potom otvoríme dvere do ich IT infraštruktúry – a zistíme, že:

🔧 servery sú neaktualizované niekoľko kvartálov,

🧯 zálohovanie nefunguje alebo sa nikdy netestovalo,

🤯 „IT správu“ robí jeden človek na 300 používateľov a zároveň rieši tonery, licencie aj káble,

📋 neexistuje CMDB (prehľad o aktívach),

🔐 heslá sa zdieľajú v Exceloch a doména nemá ani základnú segmentáciu,

👻 shadow IT kvitne, pretože oficiálne IT nefunguje alebo je „preťažené“,

📉 chýba plán obnovy, základné procesy, štandardy, a hlavne rozvoj a zodpovednosť za IT.

Tento technologický dlh je pritom bežný stav – nielen v malých firmách, ale v korporáciách, nemocniciach, školách, priemyselných podnikoch aj štátnej správe, česť výnimkám samozrejme.

Ako do tohto sa má „zavádzať kybernetická bezpečnosť“?

⚠️ Pravda je jednoduchá:

• Kybernetická bezpečnosť nevzniká bez stabilného, dobre riadeného IT.
• Nemôžeme chrániť niečo, čo ani nevieme, že máme.
• Nemôžeme zabezpečiť systémy, ktoré padajú samé od seba.
• Nemôžeme riadiť riziká, ak chýba kapacita aj na základnú prevádzku IT.

A hlavne:

Žiadny CISO ani bezpečnostný konzultant neurobí zázrak, ak neexistuje zdravé, zodpovedne riadené IT.

Čo s tým? Ako postaviť bezpečnosť na nohy s nefunkčným IT zaspatým v roku 2003?

Aké máte skúsenosti u Vás?