Kyberbezpečnost: Proces víc než program

22.03.2021 12:55

Naprostá většina organizací se bez digitálních technologií v mnoha směrech rozhodně neobejde – tvrzení, které by si dovolil rozporovat jen málokdo. Poslední rok nám uštědřil a možná ještě uštědří nezapomenutelnou lekci o důležitosti elektronické komunikace. Jako klíčové se tak stále více ukazuje i téma nastavení IT procesů. Jeho správnost a transparentnost se již stává standardem. I přes fakt, že principy zakořeněné v metodice ITIL a ISO 20000 nikdy nebyly legislativní povinností, zjistili jsme, že pokud se budeme řídit v nich uvedenými zásadami, zajistíme lepší fungování ICT, a tedy i plynulý chod organizace. Kromě přínosů s sebou digitalizace však nese i hrozby – na to už se nezřídka zapomíná.

Kyberbezpečnost: Proces víc než program
Foto: Martin Kovář
Popisek: Počítač, internet, klávesnice. Ilustrační foto.

Fungující organizace je bezpečná organizace

Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikosti. Odcizená, znehodnocená, změněná zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější. Takové ochromení činnosti nemocnice nebo úřadu (např.: zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo.
 
Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, požárem nebo jinou živelnou katastrofou, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“ 
 

Nastavení procesů místo řešení následků

Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností).
 
Obrázek: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik
 
 
Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta.
 
Obrázek:Ukázka z aplikace CSA zobrazující schéma závislostí a výsledných hodnot rizik
 

10 „P“ kybernetické bezpečnosti 

A jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících 10 „P“:
 
  1. Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
  2. Přívětivá a dostupná osvěta pro personál a management
  3.  Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
  4. Profesionální ICT personál a management
  5. Povinná nebo přiměřená realizace opatření vyplývajících ze Zákona o kybernetické bezpečnosti
  6. Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
  7. Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení
  8. Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
  9. Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
  10. Preventivní a rychlá realizace ověřených a doporučených praktik
 
Autor: František Janů – projektový manažer společnosti Gordic, sekce kybernetická bezpečnost
 

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Komerční článek

PhDr. Olga Richterová byl položen dotaz

Porodnost

Dobrý den, píšete, co chcete dělat pro zvýšení porodnosti, ale nezapomínáte, že jste už více jak dva roky ve vládě? Co jste zatím pro rodiny udělali? Vždyť i to navýšení rodičovské je nedostatečné a navíc diskriminující. A co je vlastně podle vás hlavní příčinou klesající porodnosti? Koukám, že neod...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

„Fiala lže.“ Petr Holec se pustil do premiéra. Jde o přijetí v Bílém domě

15:02 „Fiala lže.“ Petr Holec se pustil do premiéra. Jde o přijetí v Bílém domě

Premiéru Fialovi prý prošla další lež, tentokrát k jeho cestě do USA za prezidentem Bidenem. Ve svém…