Zabezpečení žádné organizace nikdy nebude hotové. Hackeři jsou stále vynalézavější, systémy komplikovanější, nástroje optimalizovanější. Musíme být neustále ve střehu, to ale neznamená, že nelze udělat dost, abychom byli klidnější.
Když řešíte ochranu IT vaší organizace, potažmo začínáte spolupráci s novým partnerem na kyberbezpečnost, vyplatí se začít úvodní studií.
Proč je IT zabezpečení firem, organizací a institucí důležité
Nemáte plán pro případ kybernetického bezpečnostního incidentu? Nevěste hlavu, zhruba 77 % všech organizací je na tom stejně. Narušení zabezpečení IT infrastruktury každopádně mívá pro společnosti fatální následky. Výsledkem bývá přerušení provozu, únik dat, finanční ztráta a poškození značky i dobré pověsti. Stále častější realitou jsou pak také problémy s úřady.
S přibývající digitalizací každodenní procesů je zkrátka velmi prozíravé mít zpracovanou analýzu a implementovanou strategii předcházení a řešení narušení zabezpečení IT infrastruktury.
Pokud nechcete čekat na reálný incident, začněte kyberbezpečnost aktivně a systematicky řešit. Jak na to? Na základě našich zkušeností víme, že opatření jsou nejúčinnější, když jsou zavedeny na základně analýzy současného stavu a hodnocení rizik. V obecném měřítku a k úplnému zabezpečení pak doporučujeme projít a zavést tzv. 10 kroků ke kybernetické bezpečnosti.
Co to je úvodní bezpečnostní studie
V obecné rovině jde o nezávislé posouzení, zda je informační bezpečnost organizace společně s bezpečnostními charakteristikami systémů nastavena v souladu s akceptovanou dobrou praxí a s platnou legislativou, zejména pak s tzv. zákonem o kybernetické bezpečnosti, jeho doprovodnou vyhláškou a také nově schválenou evropskou směrnicí NIS2. V jejím rámci je záhodné zohlednit též doporučení pro systém řízení bezpečnosti informací dle dlouhodobě uznávané normy ČSN ISO 27001 a na ní navazující normy ČSN ISO 27002, která je souborem doporučených opatření.
My při provádění bezpečnostní studie (někdy jí říkáme také Studie stavu a analýza shody) postupujeme dle osvědčeného scénáře. Během dvou dnů se zákazníkem sestavujeme přehled všech klíčových obchodních procesů organizace a informačních systémů a IT prostředků, na nichž stojí. Určujeme jejich garanty a předvídáme také potenciální dopady na chod organizace, které mohou nastat v důsledku různých typů kybernetických bezpečnostních incidentů. Na základě hodnocení aktiv poté navrhujeme konkrétní bezpečnostní opatření.
Naším cílem je taktéž zjistit a rámcově posoudit aktuální stav a přiměřenost technických i organizačních bezpečnostních kontrol, jež jsou aplikovány v provozním prostředí IT infrastruktury. Zhodnocujeme tedy kvalitu jejich implementace a případně doporučujeme opatření vedoucí ke zlepšení.
Věděli jste, že pravidla pro firemní IT bezpečnost zpravidla zná jen 12 % zaměstnanců?
Čísla mluví jasně a jsou alarmující – třeba to, že 70 % úspěšných průniků do IT systémů začíná u koncového uživatele. Systémové řešení kyberbezpečnosti a informovaní a odolní zaměstnanci jsou proto klíčem k úspěchu a klidu. Jsou ovšem další důvody, proč je řešení těchto otázek důležité. Tak třeba:
- Spolupráce s externími subjekty se může podmiňovat doložením bezpečnostní politiky a dodržováním bezpečnostních opatření.
- Zavedení vhodných bezpečnostních opatření působících proti informačním hrozbám a útokům zajistíte důvěrnost, integritu a dostupnost zpracovávaných informací.
- Vhodná analýza vám pomůže k řízení dodavatelů a minimalizaci rizik spojených s dodávkami služeb externích subjektů.
Studie stavu a analýza shody od DATASYS
Pokud se obáváte útoků na vaši infrastrukturu a nevíte, jak své zabezpečení zlepšit, o kyberbezpečnost vaší společnosti se postaráme. Naše úvodní bezpečnostní studie přináší:
- posouzení požadavků zákona o kybernetické bezpečnosti,
- zohlednění doporučení dle normy ISO 27001 a ISO 27002,
- mapování a analýzu aktuálního stavu IT infrastruktury,
- zpracování katalogu primárních aktiv,
- přípravu bezpečnostní dokumentace,
- hodnocení kybernetické bezpečnosti,
- plán zvládání rizik,
- zajištění shody v souladu s GDPR, ZKB, NIS 2 atd.