Na co si dát pozor při zavádění systému bezpečnosti informací
V následujících letech lze očekávat poměrně značné investice do zajištění bezpečnosti informací, služeb a sítí v kybernetickém prostoru ze strany subjektů, provozujících kritickou komunikační infrastrukturu nebo významný informační systém.
Ony investice by pak měly spočívat především v zavedení systému řízení bezpečnosti informací a bezpečnostních opatření organizační i technické povahy a to na základě výsledků hodnocení rizik, jak je uvedeno ve vyhlášce 316/2014.
Právě skutečnost, že příslušná bezpečnostní opatření by měla být zavedena až na základě hodnocení rizik, považuji za naprosto zásadní. Je zde však problém, kterým je nadhodnocování rizik, a obávám se, že v některých sektorech bude k tomuto nežádoucímu jevu docházet i nadále.
Hlavní příčinu spatřuji především v neschopnosti správně posoudit pravděpodobnost výskytu jednotlivých kybernetických hrozeb, jejich následků a možných opatření vedoucí k jejich snížení, což je v mnoha případech dáno tím, že se ne vždy se na pozici manažera kybernetické bezpečnosti nachází skutečně kompetentní osoba.
Pokud však přistoupíte k analýze rizik naprosto pragmaticky, tak nejspíš zjistíte, že cílené kybernetické útoky nejsou největším rizikem, kterému budete čelit, a že ze všeho nejdříve je nutné implementovat základní sadu bezpečnostních opatření a současně začít s bezpečnostní osvětou.
Nezapomínejte, že pokud jde o bezpečnost, tak zaměstnanci představují nadále nejslabší článek celého systému a útoky na ně vedené jsou čím dál tím sofistikovanější. Svým zaměstnancům byste proto měli srozumitelně vysvětlit, jaká bezpečnostní pravidla a proč by měli dodržovat a implementovat výše odkazovanou základní sadu bezpečnostních opatření.
Pozor, v okamžiku, kdy tuto základní sadu bezpečnostních opatření a související procesy nezavedete, a nasadíte hned nějaké SIEM, DLP, NBA řešení, budete zahlceni enormním množstvím bezpečnostních událostí, chybně vyhodnocených jako bezpečnostní incidenty, a skutečné bezpečnostní incidenty vám pak naopak budou unikat.
Vzhledem k výše uvedeným skutečnostem by mě zajímalo, na jakém stupni vyzrálosti máte, vy, kteří provozujete kritickou komunikační infrastrukturu nebo významný informační systém, zavedenu základní sadu opatření a s ní související procesy.
ČERMÁK, Miroslav, 2015. Na co si dát pozor při zavádění systému bezpečnosti informací. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/na-co-si-dat-pozor-pri-zavadeni-systemu-bezpecnosti-informaci/. [citováno 07.12.2024].
Štítky: kybernetická bezpečnost
K článku “Na co si dát pozor při zavádění systému bezpečnosti informací” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.