Distribuční síť Gordicu řídí kyberbezpečnost lépe díky CSA
Kybernetická bezpečnost není jen zákonná povinnost, ale existenční nutnost. V dnešní digitální době totiž nejsou útoky hackerů ničím výjimečným a jejich dopady mohou být zničující. Pokud máte větší organizaci s rozsáhlou sítí partnerů a obchodníku, pak je nutné dodržovat určité bezpečnostní standardy. Jenom tak neohrozíte bezpečnost mateřské organizace. A přesně na tuto výzvu se zaměřila také naše společnost.
Jednotná bezpečnostní pravidla
Gordic zajišťuje služby svým zákazníkům prostřednictvím sítě distribučních firem, které najdete napříč celou Českou republikou. Na západě od Nového Boru, přes Znojmo na jihu až po Uherské Hradiště na východě naší země. Zatímco naše mateřská společnost má kybernetickou bezpečnost na poměrně vysoké úrovni, u jednotlivých distributorů panoval rozdílný přístup k zajištění kyberbezpečnosti. A právě to jsme se rozhodli změnit a sjednotit. Společně s distribučními sítěmi jsme proto přijali jednotná bezpečnostní pravidla. Jedním z nich bylo zpracování analýzy rizik a její řízení v aplikaci Cyber Security Audit (CSA).
Postupné zavádění
Vlastní licenci do aplikace CSA dostali vybraní členové distribuční sítě na podzim roku 2021. Ve většině případů jsme volili osoby, které sice s kybernetickou bezpečností mají nějakou zkušenost, ale nejedná se o analytiky s dlouholetou praxí. Oblastí analýzy kybernetické bezpečnosti jsme je krok za krokem provedli a díky tomu pomohli vývojovému týmu aplikace CSA navrhnout celou řadu vylepšení. Úkolem pracovníků naší distribuční sítě bylo nastudovat si vyhlášku o kybernetické bezpečnosti a normu ISO 27 000. Na pravidelných schůzkách se zástupcem vzdělávací sekce Gordic poté nahráli data do aplikace CSA a provedli kompletní analýzu rizik. V neposlední řadě začali v CSA kompletně řídit procesní stránku kybernetické bezpečnosti.
Pravidelná kontrola
Díky analýze rizik mají naši distributoři přehled o tom, jak jsou na tom s kybernetickou bezpečností, a navíc má tyto informace k dispozici i centrální bezpečnostní tým. Společně tak mohou zavádět různá bezpečnostní opatření a tím zvyšovat úroveň kybernetické bezpečnosti celé rozsáhlé sítě Gordic. Protože bezpečnost je nikdy nekončící proces, kontrola dat probíhá kvartálně a s ní i zavádění proaktivních opatření.
Jedním z členů naší distribuční sítě, který využívá nástroj CSA a provedl kompletní analýzu rizik, je společnost BNSOFT ze Znojma. O celém procesu jsme si povídali s jejím vedoucím provozního oddělení Luďkem Bartesem.
Máte k dispozici vlastní licenci do aplikace CSA, do které jste nahráli data a provedli kompletní analýzu rizik. Popište, jak celý proces probíhal?
Za naši společnost se na tvoření analýzy v nástroji CSA podílelo více lidí – od ředitele, přes vedoucí jednotlivých sekcí až po správce sítě a serverových řešení. Společně jsme stanovili základní kameny nástroje, tedy primární aktiva. Jako první jsme vybrali základní informační systémy, na kterých jsou závislé všechny naše služby a postupně jsme přidávali další aktiva. Teprve když se do celé problematiky více ponoříte, uvědomíte si, kolik věcí je potřeba mít pod kontrolou. A právě v tom nám pomohl nástroj CSA. Nejedná se pouze o primární aktiva, ale také podpůrná. Narazíte na zjištění, že bez některých věcí se vaše společnost neobejde, ať už je to síťová konektivita nebo energetická přípojka. Po stanovení aktiv jsme provedli jejich ohodnocení směrem k možným rizikům. Těch je nepřeberné množství a není snadné všechny podchytit. Proto jsme uvítali možnost se k danému aktivu kdykoliv vrátit. Po nastavení rizik následovalo zavedení opatření. V tom nám pomohla funkce plánu zvládání rizik. Zde máme zavedena, ať už pravidelná opatření, která se každý rok opakují, tak i ta jednorázová, která jsou v procesu zavádění. Vedení naší společnosti uvítalo možnost přidávání lidských a finančních zdrojů, díky které má přehled o nákladech za kybernetickou bezpečnost. V neposlední řadě nesmím zapomenout na prohlášení o aplikovatelnosti, kde si jednoduchou formou checklistu kontrolujeme stav týkající se zákonu o kybernetické bezpečnosti nebo normy ISO 27000.
Bylo pro vás těžké se do tématu analýzy kybernetické bezpečnosti dostat?
Toto téma nás obklopuje dnes a denně. Neznám projekt v našem odvětví, kde by se toto téma neřešilo. Kybernetické bezpečnosti se věnujeme už poměrně dlouho, tudíž to pro nás těžké nebylo. Nástroj CSA vám pomůže pochopit jednotlivé návaznosti.
Jak u vás dopadla analýza riziky, museli jste přijmout nějaká opatření?
Za nás není analýza rizik nikdy kompletní, stále přidáváme další plány a opatření a implementujeme ty stávající. Také případná rizika stále přibývají. Po prvotní analýze rizik jsme však museli upravit některé z našich směrnic.
Doporučil byste ji i jiným firmám?
Rozhodně ano, teprve po rozdělení celého procesu do jednotlivých kroků si uvědomíte princip a důležitost celé bezpečnostní analýzy.
Můžete na závěr našeho rozhovoru shrnout hlavní výhody nástroje CSA?
Hlavní výhodou je možnost se k analýze kdykoliv vrátit a doplnit ji, popřípadě poupravit. Což je, díky tomu, že je celá analýza v cloudu, velmi snadné. Dále kladně hodnotím formu, jakou je nástroj CSA tvořen. Toho totiž v papírové podobě nikdy nedocílíte.
Nástroj CSA je vhodným prostředkem, jak kontrolovat a pomáhat naší distribuční síti a také partnerům s kybernetickou bezpečností. Ať už jste obchodní korporace, město, nebo příspěvková organizace, neváhejte a vyzkoušejte CSA. Váš bezpečnostní tým tento krok jistě ocení.