• dankresa

Jak řešit kybernetickou bezpečnost, aby to mělo hlavu a patu?

Kybernetické útoky, úniky dat, infikování počítačů či sítě nebo převzetí kontroly nad zařízeními v internetu věcí jinou,cizí, temnou silou. To vše se vám může stát, pokud podceníte svoji kybernetickou bezpečnost. Na trhu existuje hromada nástrojů a služeb, které vám mohou pomoci. Jak ovšem postupovat, abyste skutečně zlepšili svůj stav a nevyhodili peníze za něco, co nepotřebujete?

Zákony a vyhlášky

V první řadě se podívejte, zda se na vaši organizaci vztahuje jakákoliv legislativa zabývající se kybernetickou bezpečností či ochranou osobních údajů. Přehled nejdůležitějších norem naleznete v sekci Bezpečnost. Poté musíte zjistit, zda máte zavedeny veškeré náležitosti, které po vás tyto zákony chtějí. V případě vyhlášky a zákona o kybernetické bezpečností vám stačí vyplnit jednoduchý, byť poměrně dlouhý audit. Povinnosti jednotlivých organizací se liší a na většinu firem a úřadů se ani tyto předpisy nevztahují. Nicméně vám velmi pomůže, když je do své praxe zavedete. Naopak u GDPR musí úplně všechny organizace vést evidenci zpracování osobních údajů, umět dohledat veškeré osobní údaje či tyto údaje na vyžádání upravit, anonymizovat a mnohem více. Než nějaký počítačový systém pořídíte nebo naopak jeho nákup odmítnete, podívejte se, co po vás chce zákon, abyste se vyhnuli zbytečným postihům za jeho porušování.

Organizace a procesy

“Šéfe, proč si pořád musím měnit heslo? A taky mi přišel zajímavým email. Koukněte.” Když víte, co po vás zákony požadují, je načase udělat pořádek v samotné organizaci. Především nastavit pravidla, aby se minimalizovalo riziko vzniku mimořádných událostí. V tomto bodě vytváříte směrnice kybernetické bezpečnosti či nakládání s osobními údaji. Nejedná se o žádné extrémně dlouhé dokumenty. Ovšem musí postihnout nejdůležitější věci a také je musí každý zaměstnanec znát a dodržovat.


U nastavování procesů se zaměřte na:

  • politiku hesel (pravidelná aktualizace),

  • politiku přístupů (každý může jen do úložišť nutných pro svoji práci),

  • zabezpečení kontrolních stanic (není jedno, co za nosiče do zařízení strkáte),

  • bezpečnost wifi sítě (oddělení zaměstnanců od hostů),

  • zařízení zapojená v IoT (zajištění přístupu pouze pro pověřené pracovníky),



Technologie

Se zaváděním opatření v předchozích krocích vám dokáže technologie významně ulehčit práci. Avšak i tak v nich hlavní práci odvede především člověk. Podobně se na plnění legislativy a nastavení procesů musí zaměřit každá organizace bez ohledu na její velikost či předmět činnosti. U samotných bezpečnostních nástrojů je situace poněkud odlišná. Obecně lze říct, že každý musí mít na svém zařízení aktuální verzi antiviru a firewallu. Nicméně jaké další bezpečnostní systémy si organizace pořídí, záleží pouze na ní. Malý obchod se třemi zaměstnanci pravděpodobně nepotřebuje SIEM či podobné nástroje. Zatímco u nemocnic či úřadů tyto aplikace chápeme jako bezpečnostní nutnost. Bezpečnostní systémy byste měli zavádět v ruku v ruce s rostoucím počtem a důležitosti vašich aktiv. Zároveň se vyplatí pravidelně testovat zranitelnost jednotlivých aktiv i systému jako celku či jeho dílčích částí. Případně rovnou zavést bug bounty program.

Ke kybernetické bezpečnosti přistupujete racionálně. Není nezbytné kupovat hned první řešení, co najdete na internetu. I v tomto odvětví platí: Dvakrát měř a jednou řež.


13 zobrazení

Nejnovější příspěvky

Zobrazit vše