Důraz na kyberbezpečnost stoupá i legislativně (viz připravovaná směrnice NIS2). Nemusíme asi zdůrazňovat, že případné narušení bezpečnosti informací může mít bolestivé dopady na každodenní život. Příkladem může být zneužití osobních údajů, nedostupnost služeb v cloudu, nebo dokonce narušení činnosti dodavatelů služeb zajišťujících základní potřeby (energie, voda, zdravotní péče).
Při zajišťování bezpečnostních opatření nám asi na prvním místě vyvstanou aktivní nástroje jako třeba antivirový software či vícefaktorová nebo biometrická autentizace uživatele. Nástroje by ale nebyly k ničemu bez jejich správců, administrátorů a dalších specialistů, kteří dohlížejí na síťový provoz uvnitř organizace nebo na internetu. Jen nástroje a lidé však pro efektivní zajištění kybernetické bezpečnosti nestačí. Aby vše správně fungovalo, je zapotřebí je propojit – a právě k tomu slouží firemní procesy (nejen) pro zajištění bezpečnostních opatření.
Z obecného pohledu existuje celá řada definic pojmu „proces“. Jednou z nich je definování procesu jako „sledu činností, které z vložených vstupů vytváří požadovaný výstup“. Jinými slovy procesy popisují co a jak je třeba provést, abychom z dodaných vstupů dosáhli užitečného výstupního cíle. Správně definované firemní procesy jsou spolu s lidskými zdroji a technologickými nástroji jednou ze základních složek každého bezpečnostního opatření.
Všechny tři složky jsou nepostradatelné a pro synergické působení vyžadují i pečlivou koordinaci. Ale jsou to právě firemní procesy, které umožňují výrazně zvýšit celkovou úroveň kyberbezpečnosti a bezpečnosti informací, a to často bez nákladných investic na bezpečnostní nástroje nebo zajišťování mnohdy nedostatkových expertů.
Je obtížné specificky definovat procesy, které bezprostředně souvisí s informační bezpečností – nelze je totiž jednoduše separovat od provozních, finančních a dalších firemních procesů. V zásadě je ale můžeme rozdělit do následujících kategorií:
Procesy, které jsou bezprostředně spojené s řízením bezpečnosti informací, zajišťují kontinuitu a efektivnost fungování celého systému na ochranu informací a jsou spojené s ISMS (tj. Information Security Management System). Procesy zahrnuté v ISMS jsou obvykle základem pro trvale udržitelný trend neustálého zlepšování úrovně informační bezpečnosti a je nutné je pečlivě integrovat do konkrétního procesního prostředí organizace. Patří sem procesy jako řízení rizik, management dokumentace, systém vzdělávání ad.
Smyslem těchto firemních procesů je především odstranění či alespoň zmírnění dopadů provozních zranitelností a incidentů v oblasti informační bezpečnosti na organizaci. Příklady tohoto typu firemních procesů lze rozdělit takto:
Jak již bylo uvedeno výše, bezpečnost informací má mezioborový charakter a je třeba mít na paměti, že nic nelze nějakým opatřením nebo jejich kombinací zabezpečit úplně. Co s tím? Optimální je adekvátním způsobem kombinovat jednotlivá opatření, a tak snižovat pravděpodobnost jejich překonání. Měli byste tedy prvky bezpečnosti pevně zabudovat do všech firemních procesů, tedy nejen těch spojených s vlastním řízením bezpečnosti nebo těch technických.
Několik příkladů:
Budování bezpečnostních firemních procesů „na zelené louce“ je téměř sisyfovskou prací. Nejdříve řešte to, co je skutečně důležité a firemní procesy vnímejte vždy v kontextu. Kyberbezpečnost a informační bezpečnost je jen jeden z pohledů na realitu a ostatní pohledy mohou mít také svoji důležitost.
Nechte se inspirovat tím, co už někdo vymyslel – využívejte metodické nástroje, které vám mohou při rozumném využití výrazně pomoci – osvědčené rámce, standardy a nejlepší praktiky. Tím mohou být i normy, např. ISO/IEC 27001:2022 definuje požadavky na ustavení, implementaci, provoz a průběžné zlepšování systému řízení bezpečnosti informací. Norma obsahuje požadavky na firemní procesy podporující efektivní řízení celého systému řízení bezpečnosti i požadovaná bezpečnostní opatření.
S certifikací podle ISO 27001 i se zaváděním bezpečnostních firemních procesů vám rádi pomůžeme, neváhejte nás kontaktovat.