Kybernetické útoky, úniky dat, infikování počítačů či sítě nebo převzetí kontroly nad zařízeními v internetu věcí jinou,cizí, temnou silou. To vše se vám může stát, pokud podceníte svoji kybernetickou bezpečnost. Na trhu existuje hromada nástrojů a služeb, které vám mohou pomoci. Jak ovšem postupovat, abyste skutečně zlepšili svůj stav a nevyhodili peníze za něco, co nepotřebujete?
Zákony a vyhlášky
V první řadě se podívejte, zda se na vaši organizaci vztahuje jakákoliv legislativa zabývající se kybernetickou bezpečností či ochranou osobních údajů. Přehled nejdůležitějších norem naleznete v sekci Bezpečnost. Poté musíte zjistit, zda máte zavedeny veškeré náležitosti, které po vás tyto zákony chtějí. V případě vyhlášky a zákona o kybernetické bezpečností vám stačí vyplnit jednoduchý, byť poměrně dlouhý audit. Povinnosti jednotlivých organizací se liší a na většinu firem a úřadů se ani tyto předpisy nevztahují. Nicméně vám velmi pomůže, když je do své praxe zavedete. Naopak u GDPR musí úplně všechny organizace vést evidenci zpracování osobních údajů, umět dohledat veškeré osobní údaje či tyto údaje na vyžádání upravit, anonymizovat a mnohem více. Než nějaký počítačový systém pořídíte nebo naopak jeho nákup odmítnete, podívejte se, co po vás chce zákon, abyste se vyhnuli zbytečným postihům za jeho porušování.
Organizace a procesy
“Šéfe, proč si pořád musím měnit heslo? A taky mi přišel zajímavým email. Koukněte.” Když víte, co po vás zákony požadují, je načase udělat pořádek v samotné organizaci. Především nastavit pravidla, aby se minimalizovalo riziko vzniku mimořádných událostí. V tomto bodě vytváříte směrnice kybernetické bezpečnosti či nakládání s osobními údaji. Nejedná se o žádné extrémně dlouhé dokumenty. Ovšem musí postihnout nejdůležitější věci a také je musí každý zaměstnanec znát a dodržovat.
U nastavování procesů se zaměřte na:
politiku hesel (pravidelná aktualizace),
politiku přístupů (každý může jen do úložišť nutných pro svoji práci),
zabezpečení kontrolních stanic (není jedno, co za nosiče do zařízení strkáte),
bezpečnost wifi sítě (oddělení zaměstnanců od hostů),
zařízení zapojená v IoT (zajištění přístupu pouze pro pověřené pracovníky),
Technologie
Se zaváděním opatření v předchozích krocích vám dokáže technologie významně ulehčit práci. Avšak i tak v nich hlavní práci odvede především člověk. Podobně se na plnění legislativy a nastavení procesů musí zaměřit každá organizace bez ohledu na její velikost či předmět činnosti. U samotných bezpečnostních nástrojů je situace poněkud odlišná. Obecně lze říct, že každý musí mít na svém zařízení aktuální verzi antiviru a firewallu. Nicméně jaké další bezpečnostní systémy si organizace pořídí, záleží pouze na ní. Malý obchod se třemi zaměstnanci pravděpodobně nepotřebuje SIEM či podobné nástroje. Zatímco u nemocnic či úřadů tyto aplikace chápeme jako bezpečnostní nutnost. Bezpečnostní systémy byste měli zavádět v ruku v ruce s rostoucím počtem a důležitosti vašich aktiv. Zároveň se vyplatí pravidelně testovat zranitelnost jednotlivých aktiv i systému jako celku či jeho dílčích částí. Případně rovnou zavést bug bounty program.
Ke kybernetické bezpečnosti přistupujete racionálně. Není nezbytné kupovat hned první řešení, co najdete na internetu. I v tomto odvětví platí: Dvakrát měř a jednou řež.