facebook LinkedIN LinkedIN - follow
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
K2 atmitec
IT pro veřejný sektor a zdravotnictví , Veřejný sektor a zdravotnictví

V zajištění kybernetické bezpečnosti je proces víc než program

František Janů


GordicNaprostá většina organizací se bez digitálních technologií v mnoha směrech rozhodně neobejde – tvrzení, které by si dovolil rozporovat jen málokdo. Ostatně letošek nám uštědřil a možná ještě uštědří nezapomenutelnou lekci o důležitosti elektronické komunikace. Jako klíčové se tak stále více ukazuje i téma nastavení IT procesů. Jeho správnost a transparentnost se již stává standardem. I přes fakt, že principy zakořeněné v metodice ITIL a ISO 20000 nikdy nebyly legislativní povinností, zjistili jsme, že pokud se budeme řídit v nich uvedenými zásadami, zajistíme lepší fungování ICT, a tedy i plynulý chod organizace. Kromě přínosů s sebou digitalizace však nese i hrozby – na to už se nezřídka zapomíná.


Fungující organizace je bezpečná organizace

Kybernetická bezpečnost rozhodně není pouhou legislativní povinností, jde o existenční nutnost pro chod organizací jakéhokoliv typu i velikosti. Odcizená, znehodnocená, změněná, zašifrovaná nebo znepřístupněná data – scénáře, které si chce málokdo připustit, ale dějí se dnes a denně. V řadě společností vedly například k paralýze výroby, logistiky nebo komunikace a obrovským finančním nákladům vynaloženým na obnovu, pokud vůbec byla možná. Konce však mohou být ještě děsivější. Takové ochromení činnosti nemocnice nebo úřadu (např. zastavení vydávání osobních dokladů, přerušení výkonu zdravotních služeb, poškození zdravotní dokumentace) nebo pozastavení dodávky energií, vody, telekomunikačních služeb či zneužití osobních údajů. To pak připadá v úvahu nejen finanční ztráta organizace, ale i dopad na obyvatelstvo.

Nemusí se však vždy jednat pouze o viry či cílené nebo plošné kybernetické útoky. Hrůzostrašné konce mohou nastat i při chybě způsobené nedostatečným proškolením personálu, při požáru nebo jiné živelné katastrofě, která IT infrastrukturu organizace zasáhne. A to už se dostáváme k dalšímu problému – velkému počtu organizací, ve kterých panuje přesvědčení o jejich naprostém kyberbezpečí stojícím na argumentu: „Platíme si drahý antivirový program, který je pravidelně aktualizovaný a má jej každý uživatel na svém počítači.“

Nastavení procesů místo řešení následků

Při pátrání po tom, co je důležité chránit a jakým způsobem, je klíčové mít na paměti, že velikost vynaloženého úsilí a investic do bezpečnosti musí odpovídat hodnotě aktiv organizace a míře možných rizik (dopadů a zranitelností, obr. 1).

 

Obr. 1: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik.
Obr. 1: Investice do bezpečnosti by měly odpovídat hodnotě aktiv a míře možných rizik.

Je možné zkusit se zorientovat ve vodách definice a hodnocení aktiv, identifikace hrozeb, zranitelností a rizik, mechanismů auditu kybernetické bezpečnosti, souvisejících legislativních předpisů a norem, nebo plánů zvládání rizik. Mnohem snadnější je však využití již existujících nástrojů, které všechny zmíněné oblasti i řadu dalších pokryjí. Příkladem je aplikace CSA (www.gordiccybersec.cz), která k problematice přistupuje systémově a dlouhodobě (včetně metodické a legislativní podpory) – což je ostatně pro ochranu aktiv organizace jediná správná cesta (obr. 2).

 

Obr. 2: Ukázka z aplikace CSA zobrazující schéma závislostí a výsledných hodnot rizik.
Obr. 2: Ukázka z aplikace CSA zobrazující schéma závislostí
a výsledných hodnot rizik.


Deset „P“ kybernetické bezpečnosti

Jestli byla ve vaší organizaci kyberbezpečnost doteď na druhé nebo ještě vzdálenější koleji a nemáte tušení, kde nyní začít, možná vás nasměrují základní preventivní kroky pro rychlou pomoc v oblasti kybernetické bezpečnosti shrnuté do následujících deseti P:

  1. Pravidelná školení, cvičení a systematické vzdělávání personálu a managementu
  2. Přívětivá a dostupná osvěta pro personál a management
  3. Proaktivní studium a využívání odborných i osvětových portálů, médií a konferencí
  4. Profesionální ICT personál a management
  5. Povinná nebo přiměřená realizace opatření vyplývajících ze zákona o kybernetické bezpečnosti
  6. Praktikování zavedení a udržování systému bezpečnosti informací (ISMS)
  7. Permanentní zlepšování kybernetické bezpečnosti a jeho systematické řízení
  8. Používání a pravidelná údržba a aktualizace bezpečného systémového, bezpečnostního a aplikačního programového a technického vybavení
  9. Pravidelné a bezpečné zálohy všech dat, ukládané odděleně od vlastní sítě
  10. Preventivní a rychlá realizace ověřených a doporučených praktik
František Janů František Janů
Autor článku je projektový manažer společnosti Gordic, sekce Kybernetická bezpečnost.

www.gordiccybersec.cz

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Žádný systém sám o sobě nic nevyřeší

IT Systems 4/2021V aktuálním vydání IT Systems opět najdete spoustu novinek ze světa informačních technologií a inspirace, jak je využít pro rozvoj vaší firmy nebo organizace. Mapujeme aktuální trendy v digitalizaci stavebnictví, vybavení pro kontaktní centra a service desky. Věnujeme se řízení práce na dálku a onboardingu zaměstnanců v době covidu, řízení projektů a hybridnímu cloudu. Významným tématem je jako vždy zajištění kybernetické bezpečnosti – konkrétně zabezpečení ICS, důsledky kauzy Exchange, DDoS útoky a bezpečnost mobilních zařízení.

Helios
- inzerce -