Na co si dát pozor při zavádění systému bezpečnosti informací

cyber-security-lawV následujících letech lze očekávat poměrně značné investice do zajištění bezpečnosti informací, služeb a sítí v kybernetickém prostoru ze strany subjektů, provozujících kritickou komunikační infrastrukturu nebo významný informační systém.

Ony investice by pak měly spočívat především v zavedení systému řízení bezpečnosti informací a bezpečnostních opatření organizační i technické povahy a to na základě výsledků hodnocení rizik, jak je uvedeno ve vyhlášce 316/2014.

Právě skutečnost, že příslušná bezpečnostní opatření by měla být zavedena až na základě hodnocení rizik, považuji za naprosto zásadní. Je zde však problém, kterým je nadhodnocování rizik, a obávám se, že v některých sektorech bude k tomuto nežádoucímu jevu docházet i nadále.

Hlavní příčinu spatřuji především v neschopnosti správně posoudit pravděpodobnost výskytu jednotlivých kybernetických hrozeb, jejich následků a možných opatření vedoucí k jejich snížení, což je v mnoha případech dáno tím, že se ne vždy se na pozici manažera kybernetické bezpečnosti nachází skutečně kompetentní osoba.

Pokud však přistoupíte k analýze rizik naprosto pragmaticky, tak nejspíš zjistíte, že cílené kybernetické útoky nejsou největším rizikem, kterému budete čelit, a že ze všeho nejdříve je nutné implementovat základní sadu bezpečnostních opatření a současně začít s bezpečnostní osvětou.

Nezapomínejte, že pokud jde o bezpečnost, tak zaměstnanci představují nadále nejslabší článek celého systému a útoky na ně vedené jsou čím dál tím sofistikovanější. Svým zaměstnancům byste proto měli srozumitelně vysvětlit, jaká bezpečnostní pravidla a proč by měli dodržovat a implementovat výše odkazovanou základní sadu bezpečnostních opatření.

Pozor, v okamžiku, kdy tuto základní sadu bezpečnostních opatření a související procesy nezavedete, a nasadíte hned nějaké SIEM, DLP, NBA řešení, budete zahlceni enormním množstvím bezpečnostních událostí, chybně vyhodnocených jako bezpečnostní incidenty, a skutečné bezpečnostní incidenty vám pak naopak budou unikat.

Vzhledem k výše uvedeným skutečnostem by mě zajímalo, na jakém stupni vyzrálosti máte, vy, kteří provozujete kritickou komunikační infrastrukturu nebo významný informační systém, zavedenu základní sadu opatření a s ní související procesy.

Osvětu jsem provedl a základní sadu bezpečnostních opatření mám zavedenou na všech vrstvách systému minimálně na stupni:

Zobrazit výsledky

Nahrávání ... Nahrávání ...


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky:


K článku “Na co si dát pozor při zavádění systému bezpečnosti informací” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: