KYBEZ

Firmy, úřady a instituce, na něž se vztahuje zákon o kybernetické bezpečnosti, musí mít vytvořený Výbor kybernetické bezpečnosti, který zodpovídá za strategické směřování organizace v této oblasti. Ustanovit tento výbor doporučujeme i středním a větším organizacím, na které se povinnosti zákona prozatím nevztahují. Jací lidé se budou na činnosti Výboru kybernetické bezpečnosti podílet? A co patří mezi jeho hlavní úkoly?

Členové

Vyhláška o kybernetické bezpečnosti předepisuje pouze dva povinné členy. Prvním je člen vedení nebo jeho pověřený zástupce. Druhým pak manažer kybernetické bezpečnosti. Tento krátký výčet není v praxi příliš použitelný. Do výboru doporučujeme ještě zařadit finančního ředitele nebo jinou osobou, která disponuje přehledem o hospodářské situaci společnosti. Díky tomu může výbor schválit či naopak zamítnout některá opatření vzhledem k jejich finanční náročnosti. Nezastupitelné místo ve výboru patří vedoucímu ICT oddělení. Oproti manažerovi kybernetické bezpečnosti se jedná o více technickou pozici. Ředitelé ICT oddělení pomáhají manažerům kybez aplikovat schválená opatření do praxe organizace. Z podobných důvodů musí být ve výboru i architekt kybernetické bezpečnosti, který navrhuje a zdůvodňuje jaká opatření doporučuje zavést. Pokud máte v organizaci právní oddělení a personální oddělení, měli by jejich šéfové také působit ve výboru. Důležité změny se mohou dotknout i jejich oblastí. V neposlední řadě nezapomeňte na zástupce poboček. Rozhodnutí centrály se musí vždy dostat až na tu nejnižší úroveň.

Doporučené složení Výboru kybernetické bezpečnosti:

• Zástupce vrcholového vedení *
• Manažer kybernetické bezpečnosti
• Architekt kybernetické bezpečnosti
• Finanční ředitel (CFO)
• Vedoucí ICT
• Vedoucí personálního oddělení (HR)
• Vedoucí právního oddělení
• Zástupci poboček

*Manažer kybernetické bezpečnosti i další osoby ve výboru jsou při dodržení dobré praxe členy nejvyššího vedení organizace. V této souvislosti znamená “Zástupce vrcholového vedení” něco jako člen představenstva, člen dozorčí rady nebo zástupce majitele.

Poslání

Výbor odpovídá se celkové řízení kybernetické bezpečnosti v organizace. Vytyčuje strategické cíle a sleduje jejich plnění. Na svých setkání se členové výboru seznamují se nejzávažnějšími riziky, zranitelnostmi organizace. Domlouvají si, jaká opatření zvolit, stanovují termíny a způsoby jejich zavedení. Kontroluje se jejich účinnost. Výbor kybernetické bezpečnosti by se měl scházet nejméně každé tři měsíce. V případě, že vypukne mimořádná bezpečnostní událost či incident, měl by zasednout okamžitě a plnit roli krizového štábu (či mu být alespoň nápomocen). Ze zasedání výboru se pořizují závazné zápisy. Pro ulehčení práce výboru a celkově řízení kybernetické bezpečnosti doporučujeme vyzkoušet nástroj CSA od firmy Gordic. V aplikaci lze vytvářet plány zvládání rizik i plán kontinuity, a monitorovat tak plnění stanovených úkolů. Nástroj CSA usnadní práci manažerům kybernetické bezpečnosti, vedoucím ICT a dalším členům výboru.

Pokud má vaše organizace více než 50 zaměstnanců, pak doporučujeme výbor kybernetické bezpečnosti ustanovit. I když třeba nebudete muset zavádět často nová opatření, určitě se vám vyplatí vždy zhodnotit současný stav ICT bezpečnosti organizace a možnosti, jak jej zlepšit.