Skutečná práce začíná ve chvíli, kdy máte jasno, že se na vás zákon o kybernetické bezpečnosti vztahuje, splnili jste oznamovací povinnost a bylo vám doručeno rozhodnutí o registraci poskytovatele regulované služby. Právě v tomto okamžiku se z teorie stává praxe a od této chvíle už nejde o formální splnění požadavku, klíčové je nastavit systém kybernetické bezpečnosti tak, aby fungoval v každodenním provozu.
První kroky tvoří základ celého bezpečnostního rámce. Organizace musí vytvořit strategii kybernetické bezpečnosti, zpracovat dokumentaci k řízení aktiv a provést analýzu rizik. Tyto kroky nejsou administrativním cvičením. Strategie určuje směr a vymezuje odpovědnosti, řízení aktiv poskytuje přehled o tom, co je třeba chránit, a analýza rizik identifikuje slabá místa i priority dalšího postupu.
Strategie kybernetické bezpečnosti musí být schválena vedením společnosti. Zákon jasně ukládá odpovědnost vrcholovému managementu. Kybernetická bezpečnost není pouze technickým tématem IT oddělení, ale nezbytnou součástí řízení organizace. Schválením dokumentu proces nekončí, strategie musí být komunikována uvnitř společnosti, aby zaměstnanci rozuměli pravidlům i své roli v systému bezpečnosti. Na základě výsledků analýzy rizik jsou následně navrhována konkrétní bezpečnostní opatření v jednotlivých oblastech tak, jak je vymezuje zákon.
Jedním z povinných opatření je zavedení role manažera kybernetické bezpečnosti a tato role není pouze formální. Manažer kybernetické bezpečnosti odpovídá za řízení informační a kybernetické bezpečnosti organizace uvnitř i navenek. Zajišťuje komunikaci s regulátorem, koordinuje bezpečnostní procesy, dohlíží na řízení rizik v dodavatelském řetězci a kontroluje zavádění přijatých opatření. Propojuje legislativní požadavky s reálným fungováním bezpečnosti v každodenním provozu.
A právě dodavatelský řetězec dnes představuje oblast s vysokou mírou bezpečnostního rizika, kterou nelze podceňovat. Organizace může mít interně nastavené procesy i opatření, a přesto být ohrožena prostřednictvím externího poskytovatele služeb. Typickými vstupními body útoků bývají vzdálené přístupy dodavatelů, servisní účty, outsourcing IT služeb, cloudové platformy nebo napojené systémy třetích stran. Riziko tak často nevzniká uvnitř organizace, ale je do ní přeneseno zvenčí. Proto zákon klade důraz na aktivní řízení bezpečnosti dodavatelů, smluvní ošetření povinností, kontrolu přístupů a schopnost reagovat i na incident, který vznikne mimo vlastní infrastrukturu.
Pro zavedení bezpečnostních opatření má provozovatel dvanáctiměsíční období. Toto období se týká oblasti právní, procesní i technické.
V právní rovině je nutné upravit smluvní vztahy s dodavateli a promítnout bezpečnostní požadavky do pracovněprávní dokumentace. Stejně jako se do pracovních smluv promítly povinnosti vyplývající z GDPR, musí se nyní adekvátně promítnout i požadavky v oblasti kybernetické bezpečnosti. Bezpečnostní požadavky musí být jasně vymezeny nejen interně, ale i vůči partnerům, kteří mají přístup k informačním systémům nebo zpracovávají data.
Procesní oblast zahrnuje zavedení plánů školení zaměstnanců, řízení přístupů třetích stran do informačních systémů, nastavení řízení incidentů a vytvoření odpovídající dokumentace – směrnic, politik a interních norem. Součástí řízení musí být také pravidelné vyhodnocování bezpečnostní úrovně dodavatelů a přehled o tom, kdo, kdy a za jakých podmínek k systémům přistupuje.
Technická opatření představují klíčový prvek celého systému. Organizace musí být schopna detekovat bezpečnostní události, vyhodnocovat je a reagovat na ně v reálném čase, a to jak uvnitř vlastní infrastruktury, tak v návaznosti na externí subjekty. K řešení nestačí mít nasazený jeden nástroj, je nutné zajistit nepřetržitý monitoring, analýzu událostí, řízenou reakci na incidenty a evidenci, která umožní plnit oznamovací povinnosti vůči regulátorovi. Právě zde se nejčastěji ukazuje rozdíl mezi formální compliance a skutečnou odolností.
V praxi mnoho organizací naráží na limity interních kapacit. Nepřetržitý dohled, vyhodnocování a rychlá reakce na kybernetické incidenty vyžadují specializované know-how a zkušenosti a tohle všechno má být dostupné 24 hodin denně, sedm dní v týdnu. Proto stále více subjektů volí model bezpečnostního dohledu formou služby.
Jedním z efektivních řešení je využití služby AXENTA CyberSOC. Specializované bezpečnostní centrum zajišťuje nepřetržitý monitoring bezpečnostních událostí, jejich analýzu a vyhodnocení v reálném čase a podporu při řízení incidentů. Pomáhá organizacím nejen detekovat hrozby, ale také minimalizovat jejich dopady a obnovit provoz v případě incidentu. Zároveň poskytuje potřebnou evidenci a reporting, které jsou důležité pro plnění povinností podle zákona a komunikaci s regulátorem.
Kybernetická bezpečnost dnes není jednorázový projekt. Je to kontinuální proces řízení rizik, odpovědnosti a technického dohledu. Řešení existuje, klíčem je nastavit jej systematicky a propojit legislativní požadavky s reálným fungováním bezpečnosti v každodenním provozu.
Důležité je začít s partnerem, který rozumí zákonu i realitě provozu. A právě s tím může AXENTA pomoci.
