Organizační opatření a vyhodnocování
- 1/12
- 2/12
- 3/12
- 4/12
- 5/12
- 6/12
- 7/12
- 8/12
- 9/12
- 10/12
- 11/12
- 12/12
4 min
Jak už jsme zmínili v úvodní kapitole, úspěšná ochrana před kybernetickými hrozbami není pouze technickou záležitostí. Vyžaduje i efektivní manažerská a organizační opatření. Ta zajišťují správné rozdělení rolí a odpovědností.
Z tohoto pohledu je klíčovou nezávislost osoby odpovědné za kyberbezpečnost. Někdy bývá tato role chybně přiřazena IT manažerům*kám nebo správcům*kyním IT. Tento přístup však skrývá několik rizik, především střet zájmů, což může ohrozit efektivitu zavedených bezpečnostních opatření.
Aby bylo dosaženo co nejvyšší úrovně kybernetické bezpečnosti, je nezbytné mít osobu nebo tým odpovědný za tuto oblast, který je oddělený od technických úkolů a dohledu nad každodenním IT provozem.
Organizace, kterou zde nemůžeme jmenovat, určila jako osobu odpovědnou za kyberbezpečnost svého IT manažera. Tento IT manažer měl na starost všechny technické záležitosti včetně údržby serverů, správy uživatelských účtů a implementace bezpečnostních opatření. Při bezpečnostním auditu organizace došlo k odhalení několika závažných problémů.
Jeden z problémů byl, že IT manažer při řešení problémů s výkonem sítě nevědomky oslabil bezpečnostní protokoly, aby zjednodušil přístup k datům. Bezpečnostní audit dále odhalil, že neprobíhala pravidelná kontrola dodržování bezpečnostních zásad, protože IT manažer neměl dostatek času ani prostoru, aby se důsledně věnoval jak technickým úkolům, tak monitorování a řízení bezpečnostních opatření. To vedlo k tomu, že organizace byla vystavena riziku útoku, aniž by si toho byla vědoma.
Osvědčená organizační opatření, která zajistí nezávislost a objektivitu v této oblasti, jsou:
- Oddělení rolí: Osoba odpovědná za kyberbezpečnost by neměla být technicky zapojená do každodenního provozu IT. Její hlavní úkol je monitorování a hodnocení bezpečnostních rizik a kontrola zavádění bezpečnostních opatření.
- Přímá odpovědnost vedení: Osoba odpovědná za kyberbezpečnost by měla být podřízena přímo vedení organizace. To by mělo zajistit, že její rozhodnutí nebudou ovlivněna provozními prioritami IT oddělení.
- Nezávislé audity: Pravidelné nezávislé audity vám mohou pomoci odhalit nedostatky v zavádění bezpečnostních opatření a to, zda (nejen) IT oddělení skutečně dodržuje stanovená pravidla a doporučení.
- Pravidelná komunikace: Odpovědná osoba musí pravidelně informovat vedení o stavu kyberbezpečnosti a všech rizicích. Vedení organizace pak bude mít veškeré podklady ke kvalifikovanému rozhodnutí, zda přijme opatření nebo akceptuje přiměřené riziko.
- IT manažer*ka by neměl*a být osobou odpovědnou za kyberbezpečnost kvůli střetu zájmů a riziku oslabení bezpečnostních opatření.
- Osoba odpovědná za kyberbezpečnost by měla být oddělena od technických rolí a měla by být podřízena přímo vedení organizace.
- Nezávislé audity a pravidelná komunikace s vedením organizace jsou nezbytnou podmínkou pro udržení vysoké úrovně bezpečnosti.
- Kyberbezpečnostní audit: Nezávislá kontrola postupů a opatření zaměřená na ochranu organizace před kybernetickými hrozbami.
- Střet zájmů: Situace, kdy je jedna osoba zodpovědná za rozhodování v oblastech, které jsou navzájem protichůdné (např. provozní úkoly vs. kontrola bezpečnosti).
- Přiměřené riziko: Riziko, které vedení organizace vědomě zavedením opatření nechce snížit a je ochotné ho podstoupit (např. proto, že náklady na zavedení opatření jsou neúměrně vysoké)
- Zbytkové riziko: Míra rizika, která zůstane po zavedení opatření. Žádné riziko nelze zcela vyloučit, pouze snížit. Různá opatření mohou vést k různé výši zbytkového rizika.