LIGS zařazuje Kyberbezpečnost do svých specializací. Náš lektor Dr. Tan Kian Hua vysvětluje proč.
LIGS University udělala zařazením předmětů s důrazem na kybernetickou bezpečnost v managementu další krok vpřed v poskytování moderních programů, které odráží potřeby současného trhu práce.
Manažeři bez aspoň základní znalostí IT a ochrany dat budou brzy v propadlišti dějin. Proto jsme aktualizovaly naše předměty v rámci specializace IT Management a obohatili je o know-how z kyberbezpečnosti, které by měl znát každý manažer. Naše specializace neslouží jen pro IT manažery, ale pro všechny, kteří se zajímají o ochranu důležitých dat před kybernetickými útoky. Nové předměty jsme se rozhodli nabízet pouze v anglickém jazyce, jelikož světu IT tento jazyk vládne a české zdroje informací nestačí reagovat na rapidní vývoj této oblasti.
Navíc se nám pro tyto předměty podařilo získat nového lektora a renomovaného experta na kyberbezpečnost Dr. Tana Kian Hua. Zajímá vás, proč je pro manažery důležité ovládat oblast kyberbezpečnosti? Zjistíte to v exkluzivním interview s Dr. Tanem.
Co se studenti ve vašich předmětech naučí?
S nárůstem kybernetických útoků roste riziko i pro práci projektových manažerů. Ti jsou zopovědní za úspěšné vedení projektu. Jedním z faktorů úspěchu je také schopnost zvládnout práci s daty, čímž se kyberbezpečnost dostává do souboru kompetencí manažerů.
Nezávisle na typu projektu se projektový manažer vždy setká s citlivými daty, které zahrnují informace z několika oddělení firmy či externích osob a firem. Projektový manažer proto musí zajistit bezpečnost všech komunikovaných dat. Aby toho byl schopen, musí si v první řadě uvědomovat důležitost a hodnotu dat, rizika prolomení jejich ochrany, a mít strategii pro případy jejich ztráty či zneužití. To platí zejména pro citlivá data jako osobní údaje či finanční záznamy, které musí být chráněny za každou cenu. Tyto zodpovědnosti jsou často skryté, a přesto nelze dovolit v této oblasti nevědomost.
Projektový manažer musí také vědět, jak v kyberbezpečnosti a ochraně dat vzdělat i své podřízené. Otázka lidského faktoru v přístupu k datům je velmi citlivá. Příliš velký přístup s sebou nese větší riziko odhalení a zneužití. Pokud je ovšem přístup k datům pro pracovníky omezen, nejsou schopni naplno vykonávat svoji práce. To narušuje plynulost projektu a vede ke zpožděním.
Naši absolventi budou nejenom vynikat jako projektoví manažeři, ale budou též schopni demonstrovat důležitost zabezpečení dat v organizaci. Schopnost vědět, jak tato data ochránit zvyšuje konkurenceschopnost nejen firmy, ale i samotného zaměstnance.
Řekl byste, že na trhu roste poptávka po manažerech se znalostmi kyberbezpečnosti?
S technologickým pokrokem jsou to právě data, která tvoří páteř společnosti. S nárůstem důležitosti dat logicky roste i náchylnost vůči kybernetickým hrozbám. Jinými slovy - čím větší objem a důležitost dat, tím větší je pravděpodobnost kybernetického útoku. Proto jsou manažeři se znalostmi kyberbezpečnosti čím dál žádanější.
Kybermanažer se soustředí na operační a technickou úroveň, zatímco ředitel pro kyberbezpečnost (Chief Information Security Officer – CISO) se více soustředí na leadership. Častou praxí je však také outsourcing těchto služeb.
vCISO (Virtual Chief Information Security Officer) je termín, který se používá právě pro outsourcingový tým, u kterého si firmy objednávají kyberbezpečnostní služby a asistují firmám, poskytují technické znalosti a leadership. Je však nutné, aby ve firmě existoval někdo, kdo bude mít na starost každodenní provoz a kdo bude rozumět potřebám zákazníků. Proto na trhu je a bude nutnost obsazovat pozice cybersecurity manažerů, kteří se budou muset zabývat těmito provozními záležitostmi.
Co musí projektoví manažeři o kyberbezpečnosti vědět?
Že nelze vykonávat tuto práci samostatně. Projektoví manažeři jsou v oblasti kybernetické bezpečnosti omezeni. Nejslabším článkem v této oblasti jsou v každé firmě stále lidé. Ne všichni zaměstnanci si jsou vědomi důležitosti ochrany dat a kybernetických hrozeb. Jejich znalosti v tomto odvětví nejsou prověřovány a školení často chybí nebo jsou nedostatečná.
Hlavní tři úkoly projektových manažerů jsou: řízení procesů, řízení lidí a správa dat. Nejnáchylnějšími faktory pro kybernetický útok jsou lidi a data. Už jsem zmiňoval, že čím větší objem dat, tím větším cílem pro hackery firma je.
Řízení lidí v oblasti kyberbezpečnosti není o naučení zaměstnanců zvládat emoce a motivace spojené s projektem. Je to o tom učit je zodpovědnému přístupu k datům a mít strategie pro různé druhy situací a aby dokázali zaměstnanci mít odpovědi na otázky jako: Existují postupy které zajistí kontinuální šifrování dat? Co by měli projektoví stakeholdeři dělat s tištěnými informacemi? Jaké typy dat mohou být sdíleny s externími stranami? Těch otázek, které si musí projektoví manažeři v souvislosti s daty pokládat, je velmi mnoho.
Data by měla být kategorizována dle kritéria důležitosti a zajistit, aby byla důvěrná data uložena mimo dosah hackerských skupin. K tomu slouží celá řada dostupných nástrojů a možností. Projektoví manažeři musí umět data klasifikovat a tyto nástroje a možnosti znát. Jen tak si zajistí plnou kontrolu nad projektem.
S jakými hrozbami se mohou projektoví manažeři nejčastěji setkat?
Projektoví manažeři se naučí zvládat dvě hlavní hrozby – lidský faktor a data. Projektový manažer je jednou ze spojnic s IT oddělením. S IT oddělením úzce spolupracuje a usiluje o minimalizaci hrozeb ze strany lidí a dat. Pochopením fungování kybernetického prostoru a jeho hrozeb navíc přispívá k úspěšnému dokončení a dodání projektu.
Na úrovni projektu potřebují minimálně pochopení triády CIA.
Confidentiality (Důvěrnost)
Koncept důvěrnosti je téměř ekvivalentní s pojmem soukromí. Důvěrnost se měří dle schopnosti ochránit citlivé informace před zneužitím třetí stranou, a na druhou stranu také zajistit aby autorizované strany měly zajištěny bezpečný přístup k informacím. Pro zajištění důvěrnosti dat je nezbytné školit zaměstnance, jelikož u nich je nejvyšší riziko zneužití dat. Školení a výcvik pomáhá zaměstnancům obeznámit se s organizací, rizikovými faktory a jak se jim bránit. Výcvik může zahrnovat více oblastí jako nastavení silných hesel, osvědčených postupů, a obrana proti metodám sociálního inženýrství. Tím se zamezí zaměstnancům aby manipulovali a ohýbali data a pravidla – i když s dobrými úmysly – s potenciálně katastrofickými důsledky.
Pokud se informace dostanou do špatných rukou, škody mohou být nedozírné. I tyto škody by však měly být kategorizovány dle objemu, typu a míry škody, která hrozí při pádu do špatných rukou. Úroveň kontroly a striktnosti ochrany dat bude následně záležet na míře potenciální škody.
Integrity (Bezúhonnost)
Zaměstnanci musí získat představu o procesu ochrany informací před jejich neautorizovanou úpravou, který poskytne řešení a jistotu o přesnosti a kompletnosti dat. Data, která mohou být takto ochráněna jsou buď tzv. odpočívající data (uložena v systému) a data v přenosu z bodu A do bodu B. Kontrola dat na těchto úrovních má zároveň zajistit nezbytnou kontrolu přístupu k datům na systémové úrovni. Dalším úkolem tohoto procesu je znemožnit uživatelům provádět neoprávněné úpravy.
V porovnání s principem důvěrnosti má princip bezúhonnosti dosah nad úroveň záměrných porušení. Další druhy protiopatření zahrnují kontroly přístupu a přísnou autentizaci která pomáhá zabránit autorizovaným uživatelům provádět nepovolené změny. Digitální podpisy také pomáhají zajistit hodnověrnost a zákazy úprav či poškození souborů.
V kostce je efektivní integrita soubor protiopatření, které musí mimo jiné chránit proti neoprávněným změnám dat. Tyto změny zahrnují chyby uživatelů, ztrátu dat a chyby systému. Stejně důležitá jako ochrana bezúhonnosti dat je i administrativní kontrola povinností a výcviku.
Availability (Dostupnost)
Dostupnost znamená zajištění přístupu k informacím pro autorizované strany. I když bude hackerům dlouho trvat, než k nim získají přístup, kyberbezpečnostní principy jsou považovány za narušeny. Aby byl princip dostupnosti naplněn, hackerům musí být přístup k informacím zcela odepřen. Nejčastějším způsobem odepření přístupu k informacím, které firmy používají, jsou DDoS (Distributed Denial of Service Attack). V současnosti do zpráv stále častěji pronikají případy, kdy jsou vysokoprofilové stránky napadány DDoS útoky.
Mezi ostatní oblasti které mají vliv na dostupnost jsou:
- Denial of Service (DoS) útoky na servery.
- Ransomware programy, které šifrují data na cílových počítačích tak, aby je autorizovaní uživatelé nemohli používat, aby oběť donutili zaplatit výkupné hackerům.
- Záměrné přerušení zdroje napájení v serverovně a znemožnit tak online přístup.
Souhlasíte s tím, že znalosti IT by měl mít každý manažer? Zlepšete si svůj přehled absolvováním naší specializace IT Management.
O Dr. Tanovi
Dr. Tan Kian Hua v současnosti působí jako Chief Information Security Officer (CISO) v Asia-Pacific Company v Singapuru a spolupracuje s mnoha malými a středními businessy jako jejich virtuální kyberbezpečnostní poradce. S podniky též konzultuje zavádění systémů pro ochranu dat před kybernetickými útoky a zlepšuje jejich interní politiku.
Expertíza Dr. Tana zahrnuje vytváření a implementaci moderních řešení s aplikací principů strojového učení (ML). Vedl tým jehož účelem bylo vytvoření prvotřídní kybernetické infrastruktury a obnovil škody způsobené kybernetickým útokem během jednoho dne, zatímco průměrná doba v tomto odvětví se pohybuje okolo 28 dnů. Jako člen organizace Association of Information Security Professionals (AISP) přebírá zodpovědnost za školení podniků v otázkách kyberbezpečnosti a její důležitosti na lokální úrovni. Jeho vášní je přinášet povědomí o důležitosti kybernetické bezpečnosti do firem a pokračovat v zajišťování prvotřídního standardu pro uchování bezpečnostních procedur pro ochranu dat. Dr. Tan též působí jako řečník na konferencích a debatách o kyberbezpečnosti, jako například Cloud & Datacentre Convention.
Dr. Tan pomohl mnoha podnikům rozšířit svůj business a navýšit jejich ziskovost. Dodal řešení, které řešily rozšíření dosahu, příjmů a konkurenceshopnosti. Podniky, kterým radil, byly různorodé a zahrnují malé firmy od 2 zaměstnanců i nadnárodní korporáty s více než 6 000 zaměstnanci. Během svého šestiletého působení v korporátním prostředí byl vybrán pro leadership program v oblasti Internetu věcí (IoT) a kyberbezpečnosti.
Dr. Tan získal titul Ph.D. s vyznamenáním na americké univerzitě s výsledným GPA 3.8/4. Jeho disertační práce se zabývala tématem dopadu internetu věcí a kyberbezpečnosti na strategický management. Absolvoval též studium na Aventis School of Management v oboru Digital Forensics & Cyber Security. Dr. Tan je také Advanced Big Data Professional a úspěšně ukončil exekutivní program Internet of Things: Business Implications and Opportunities and Artificial Intelligence: Implications for Business Strategy na MIT (Massachusetss Institute of Technology).