Připravte se na ZoKB jako na nekonečný maraton a ne jako na krátký sprint
O směrnici NIS2 a připravovaném Zákoně o Kybernetické bezpečnosti se mluví už poměrně dlouho. Zároveň je neustále upozorňováno na to, že zákon dopadne na mnoho subjektů, na které se doposud nevztahoval. Co tedy nový zákon znamená pro ně? Bude se jednat jen o vytvoření série dokumentů, které se vytisknou, schválí managementem a uloží do šanonu?
Přestože to může znít jako lákavé řešení ve stylu „vlk se nažral a koza zůstala celá“, přistoupit k tomu tímto způsobem by bylo značně krátkozraké. Ochrana informací a poskytovaných služeb by měla být základním pudem sebezáchovy každé firmy.
Základními rysy podnikání je, že se jedná o soustavnou činnost za účelem zisku. A pokud soustavně vykonáváte nějakou činnost, tak se také soustavně mění vaše okolí. Pojďme se tedy podívat na 3 hlavní důvody, proč nestačí vytvořit analýzu rizik a uložit ji do šanonu.
Stejně tak není správné podlehnout nátlaku některých společností a koupit „krabičku“ která „dokáže splnit požadavky NIS2“.
Potřebujete přehled v každém okamžiku
Jedním z klíčových požadavků NIS2 je požadavek na řízení rizik. Ke kvalitní analýze rizik vede mravenčí práce, kdy si musíte zmapovat jaká aktiva ve firmě potřebujete, co vám je ohrožuje a jakými zranitelnostmi mohou tato aktiva trpět.
Úspěšně jste se prokousali všemi aktivitami, abyste získali přehled o všem, co vás ohrožuje? Gratulujeme! Máte jasný náhled na věc.
Ten je ale platný pouze do doby, dokud nerozšíříte své služby a tím nerozšíříte i seznam využívaných aktiv, která je potřeba chránit. Nebo do doby, než se objeví nová hrozba či zranitelnost.Což na rozdíl od rozšíření katalogu aktiv může nastat už při čtení tohoto článku. Ne, opravdu nechceme vyvolávat paniku a strašit vás, ale svět je dynamický a objevení nové zranitelnosti či hrozby prakticky nelze předvídat.
Opatření se provádějí v průběhu celého roku
Jestliže znáte, co vaše podnikání ohrožuje, s největší pravděpodobností naleznete něco, co budete chtít „opravit“. Zkrátka některá rizika si můžete dovolit akceptovat, některá se rozhodnete sledovat, ale některá bude nutné redukovat.
Přichází tedy další průběžná aktivita - provádění opatření. Některá opatření jsou jednorázová. Ale některá opatření je potřeba opakovat periodicky nebo kontinuálně. A také je nutné sledovat a vyhodnocovat dopady a účinnost.
A co víc, některá opatření navíc nevyplynou z analýzy rizik, kterou jste provedli před půl rokem, ale „vyplavou“ na základě nějaké jiné aktivity, např. auditu. V horším případě na základě nějakého incidentu.
Takže opět důkaz, že se jedná o živý systém, ne jednorázovou administrativní zátěž.
Incidenty se neohlašují předem
Poslední „důkaz“ živosti systému je ten nejsilnější, nejnáročnější a nejsmutnější - incident.
V ideálním světě by stačilo pravidelně revidovat rizika a provádět opatření, ale nikdo vám nikdy nezaručí, že nenastane incident. A nemusíme hned myslet na hackerský útok s krádeží dat. I ukradený notebook vrcholného manažera může být solidní průšvih.
Pokud jste si udělali dobře „domácí úkoly“ v podobě všech aktivit, které ZoKB požadoval, můžete se soustředit na vyřešení incidentu a eliminaci všech možných negativních dopadů. V tuto chvíli si nechcete přidělávat starosti zjištěním, že máte zastaralé katalogy v zaprášeném šanonu a kromě řešení samotného incidentu se na vás valí ještě lavina zanedbané průběžné práce.
Co s tím?
Zásada č. 1: Nepanikařte. Stejně jako při tréninku na maraton, i v tomto případě budete potřebovat dobrý plán. A pak se ho držet.
Zmapujte si situaci a odhadněte, zda se na vás ZoKB vztahuje, případně zda se nevztahuje na vaše odběratele. Pokud totiž dodáváte někomu, kdo musí nároky ZoKB splňovat, nejspíš je v dohledné době budete muset splňovat i vy. Tedy pokud mu budete chtít dodávat i nadále.
Zajištění kybernetické a informační bezpečnosti není jenom zákonný požadavek, který se dotkne jen specifických organizací, ale pro každou společnost by toto mělo být součástí firemní kultury a vlastně i pudem sebezáchovy.
Čas je nyní váš kamarád, tak se na tyto nároky připravte. S klidnou hlavou se mravenčí práce odvádí mnohem lépe, než pod časovým presem. Není úplně nejlepší řídit se rčením, že tlakem vznikají diamanty. Něco přehlédnout je ve stresu mnohem pravděpodobnější.
A v neposlední řadě nezapomeňte do svého trénikového plánu zařadit vzdělávání, včetně vzdělávání top managementu. Když máte přehled, dokážete lépe situaci vyhodnotit a nenecháte se opít rohlíkem.
 |
Olga Pincová Autorka je Customer Success Manager aplikace MoyaKybeon. |
