Na co si dát pozor při zavádění systému bezpečnosti informací

cyber-security-lawV následujících letech lze očekávat poměrně značné investice do zajištění bezpečnosti informací, služeb a sítí v kybernetickém prostoru ze strany subjektů, provozujících kritickou komunikační infrastrukturu nebo významný informační systém.

Ony investice by pak měly spočívat především v zavedení systému řízení bezpečnosti informací a bezpečnostních opatření organizační i technické povahy a to na základě výsledků hodnocení rizik, jak je uvedeno ve vyhlášce 316/2014.

Právě skutečnost, že příslušná bezpečnostní opatření by měla být zavedena až na základě hodnocení rizik, považuji za naprosto zásadní. Je zde však problém, kterým je nadhodnocování rizik, a obávám se, že v některých sektorech bude k tomuto nežádoucímu jevu docházet i nadále.

Hlavní příčinu spatřuji především v neschopnosti správně posoudit pravděpodobnost výskytu jednotlivých kybernetických hrozeb, jejich následků a možných opatření vedoucí k jejich snížení, což je v mnoha případech dáno tím, že se ne vždy se na pozici manažera kybernetické bezpečnosti nachází skutečně kompetentní osoba.

Pokud však přistoupíte k analýze rizik naprosto pragmaticky, tak nejspíš zjistíte, že cílené kybernetické útoky nejsou největším rizikem, kterému budete čelit, a že ze všeho nejdříve je nutné implementovat základní sadu bezpečnostních opatření a současně začít s bezpečnostní osvětou.

Nezapomínejte, že pokud jde o bezpečnost, tak zaměstnanci představují nadále nejslabší článek celého systému a útoky na ně vedené jsou čím dál tím sofistikovanější. Svým zaměstnancům byste proto měli srozumitelně vysvětlit, jaká bezpečnostní pravidla a proč by měli dodržovat a implementovat výše odkazovanou základní sadu bezpečnostních opatření.

Pozor, v okamžiku, kdy tuto základní sadu bezpečnostních opatření a související procesy nezavedete, a nasadíte hned nějaké SIEM, DLP, NBA řešení, budete zahlceni enormním množstvím bezpečnostních událostí, chybně vyhodnocených jako bezpečnostní incidenty, a skutečné bezpečnostní incidenty vám pak naopak budou unikat.

Vzhledem k výše uvedeným skutečnostem by mě zajímalo, na jakém stupni vyzrálosti máte, vy, kteří provozujete kritickou komunikační infrastrukturu nebo významný informační systém, zavedenu základní sadu opatření a s ní související procesy.

Osvětu jsem provedl a základní sadu bezpečnostních opatření mám zavedenou na všech vrstvách systému minimálně na stupni:

Zobrazit výsledky

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Na co si dát pozor při zavádění systému bezpečnosti informací” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: