TOP

KYBEZ

Jak řešit kybernetickou bezpečnost, aby to mělo hlavu a patu?

Kybernetické útoky, úniky dat, infikování počítačů či sítě nebo převzetí kontroly nad zařízeními v internetu věcí jinou,
cizí, temnou silou. To vše se vám může stát, pokud podceníte svoji kybernetickou bezpečnost. Na trhu existuje hromada
nástrojů a služeb, které vám mohou pomoci. Jak ovšem postupovat, abyste skutečně zlepšili svůj stav a nevyhodili
peníze za něco, co nepotřebujete?

 

Zákony a vyhlášky

V první řadě se podívejte, zda se na vaši organizaci vztahuje jakákoliv legislativa zabývající se kybernetickou bezpečností
či ochranou osobních údajů. Přehled nejdůležitějších norem naleznete v sekci Bezpečnost. Poté musíte zjistit, zda máte
zavedeny veškeré náležitosti, které po vás tyto zákony chtějí
. V případě vyhlášky a zákona o kybernetické bezpečností vám stačí
vyplnit jednoduchý, byť poměrně dlouhý audit. Povinnosti jednotlivých organizací se liší a na většinu firem a úřadů se ani tyto
předpisy nevztahují. Nicméně vám velmi pomůže, když je do své praxe zavedete. Naopak u GDPR musí úplně všechny organizace
vést evidenci zpracování osobních údajů, umět dohledat veškeré osobní údaje či tyto údaje na vyžádání upravit, anonymizovat
a mnohem více. Než nějaký počítačový systém pořídíte nebo naopak jeho nákup odmítnete, podívejte se, co po vás chce zákon,
abyste se vyhnuli zbytečným postihům za jeho porušování. 

 

Organizace a procesy

“Šéfe, proč si pořád musím měnit heslo? A taky mi přišel zajímavým email. Koukněte.” Když víte, co po vás zákony požadují,
je načase udělat pořádek v samotné organizaci. Především nastavit pravidla, aby se minimalizovalo riziko vzniku mimořádných událostí.
V tomto bodě vytváříte směrnice kybernetické bezpečnosti či nakládání s osobními údaji. Nejedná se o žádné extrémně dlouhé dokumenty. Ovšem musí postihnout nejdůležitější věci a také je musí každý zaměstnanec znát a dodržovat.

 

U nastavování procesů se zaměřte na: 

  • politiku hesel (pravidelná aktualizace),
  • politiku přístupů (každý může jen do úložišť nutných pro svoji práci),
  • zabezpečení kontrolních stanic (není jedno, co za nosiče do zařízení strkáte),
  • bezpečnost wifi sítě (oddělení zaměstnanců od hostů),
  • zařízení zapojená v IoT (zajištění přístupu pouze pro pověřené pracovníky),

 

Technologie

Se zaváděním opatření v předchozích krocích vám dokáže technologie významně ulehčit práci. Avšak i tak v nich
hlavní práci odvede především člověk. Podobně se na plnění legislativy a nastavení procesů musí zaměřit každá
organizace bez ohledu na její velikost či předmět činnosti. U samotných bezpečnostních nástrojů je situace poněkud odlišná.
Obecně lze říct, že každý musí mít na svém zařízení aktuální verzi antiviru a firewallu. Nicméně jaké další bezpečnostní
systémy si organizace pořídí, záleží pouze na ní. Malý obchod se třemi zaměstnanci pravděpodobně nepotřebuje SIEM
či podobné nástroje. Zatímco u nemocnic či úřadů tyto aplikace chápeme jako bezpečnostní nutnost. Bezpečnostní systémy
byste měli zavádět v ruku v ruce s rostoucím počtem a důležitosti vašich aktiv. Zároveň se vyplatí pravidelně testovat zranitelnost
jednotlivých aktiv i systému jako celku či jeho dílčích částí. Případně rovnou zavést bug bounty program.

 

Ke kybernetické bezpečnosti přistupujete racionálně. Není nezbytné kupovat hned první řešení, co najdete na internetu.
I v tomto odvětví platí: Dvakrát měř a jednou řež. 

 

 

 

Mohlo by Vás zajímat: