Naprostá většina organizací se bez digitálních technologií v mnoha směrech rozhodně neobejde – tvrzení, které by si dovolil rozporovat jen málokdo. Poslední rok nám uštědřil a možná ještě uštědří nezapomenutelnou lekci o důležitosti elektronické komunikace. Jako klíčové se tak stále více ukazuje i téma nastavení IT procesů. Jeho správnost a transparentnost se již stává standardem. I přes fakt, že principy zakořeněné v metodice ITIL a ISO 20000 nikdy nebyly legislativní povinností, zjistili jsme, že pokud se budeme řídit v nich uvedenými zásadami, zajistíme lepší fungování ICT, a tedy i plynulý chod organizace. Kromě přínosů s sebou digitalizace však nese i hrozby – na to už se nezřídka zapomíná.
Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikosti. Odcizená, znehodnocená, změněná zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější. Takové ochromení činnosti nemocnice nebo úřadu (např.: zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo.
Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, požárem nebo jinou živelnou katastrofou, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“
Nastavení procesů místo řešení následků
Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností).
Obrázek: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik
Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta.
Obrázek:Ukázka z aplikace CSA zobrazující schéma závislostí a výsledných hodnot rizik
10 „P“ kybernetické bezpečnosti
A jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících 10 „P“:
Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
Přívětivá a dostupná osvěta pro personál a management
Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
Profesionální ICT personál a management
Povinná nebo přiměřená realizace opatření vyplývajících ze Zákona o kybernetické bezpečnosti
Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení
Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
Preventivní a rychlá realizace ověřených a doporučených praktik
Autor: František Janů – projektový manažer společnosti Gordic, sekce kybernetická bezpečnost
Dobrý den, píšete, co chcete dělat pro zvýšení porodnosti, ale nezapomínáte, že jste už více jak dva roky ve vládě? Co jste zatím pro rodiny udělali? Vždyť i to navýšení rodičovské je nedostatečné a navíc diskriminující. A co je vlastně podle vás hlavní příčinou klesající porodnosti? Koukám, že neod...
Odpověď na tento dotaz zajímá celkem čtenářů:
O tuto odpověď jste již vyjádřil(a) zájem. Děkujeme.