Fungující organizace je bezpečná organizace
Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikosti. Odcizená, znehodnocená, změněná zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější. Takové ochromení činnosti nemocnice nebo úřadu (např.: zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo.
Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, požárem nebo jinou živelnou katastrofou, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“
Nastavení procesů místo řešení následků
Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností).
Obrázek: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik
Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta.
Obrázek:Ukázka z aplikace CSA zobrazující schéma závislostí a výsledných hodnot rizik
10 „P“ kybernetické bezpečnosti
A jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících 10 „P“:
- Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
- Přívětivá a dostupná osvěta pro personál a management
- Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
- Profesionální ICT personál a management
- Povinná nebo přiměřená realizace opatření vyplývajících ze Zákona o kybernetické bezpečnosti
- Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
- Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení
- Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
- Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
- Preventivní a rychlá realizace ověřených a doporučených praktik
Autor: František Janů – projektový manažer společnosti Gordic, sekce kybernetická bezpečnost
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Komerční článek
