Česko v nedávné době postihlo hned několik incidentů, které byly zapříčiněné slabou přípravou v oblasti kybernetické bezpečnosti. Organizace by se proto měly připravovat ještě lépe než dosud. Základem by měla být analýza kybernetických rizik.
Základem analýzy je přesné určení:
- co potřebujeme ochránit
- jaké k tomu máme dostupné prostředky
- kde jsou naše nejslabší místa
Následně by organizace měla postupovat dle tohoto stručného návodu:
- soupis veškerých aktiv (servery, data, počítače, aplikace, dodavatelé systémů a zaměstnanci)
- typ aktiva
- přibližná hodnota
- umístění aktiva
- zodpovědná osoba
- identifikace hrozeb a zranitelnosti organizace
- soupis potenciálních negativních událostí (virus, hackerský útok, zneužití pravomocí zaměstnance, selhání dodavatelského řetězce)
- přiřazení hrozeb k relevantním aktivům
- hodnocení pravděpodobnosti výskytu hrozby
- hodnocení dopadů jednotlivých rizik
- návrh a implementace opatření pro aktiva, která nesplňují požadovanou úroveň bezpečnosti
- školení zaměstnanců
- úprava technické infrastruktury
- lepší úroveň monitoringu
- nová pravidla pro schvalování přístupů
- pravidelná kontrola a aktualizace
Moderní analýza kybernetické bezpečnosti není jen o splnění zákonných povinností, ale hlavně o kontrole rizik, která mohou ohrozit provoz, reputaci a finance organizace.
Více o tématu kybernetického zabezpečení Vaší organizace se můžete dozvědět na podzimní konferenci o spisové službě!