Kybernetická bezpečnost z hlediska firemních procesů

Kybernetická bezpečnost z hlediska firemních procesů

03. 02. 2023
Kybernetická a informační bezpečnost jsou stále skloňovanějšími termíny, které neustále nabývají na významu. Každoročně stoupají počty hackerských útoků o stovky procent a kompromitace či ztráta citlivých dat může být pro vaše podnikání kritická, nebo dokonce likvidační. Máte kybernetickou bezpečnost a bezpečnost informací podchycenou i procesně? Poradíme vám, jak na to.

Důraz na kyberbezpečnost stoupá i legislativně (viz připravovaná směrnice NIS2). Nemusíme asi zdůrazňovat, že případné narušení bezpečnosti informací může mít bolestivé dopady na každodenní život. Příkladem může být zneužití osobních údajů, nedostupnost služeb v cloudu, nebo dokonce narušení činnosti dodavatelů služeb zajišťujících základní potřeby (energie, voda, zdravotní péče).

Při zajišťování bezpečnostních opatření nám asi na prvním místě vyvstanou aktivní nástroje jako třeba antivirový software či vícefaktorová nebo biometrická autentizace uživatele. Nástroje by ale nebyly k ničemu bez jejich správců, administrátorů a dalších specialistů, kteří dohlížejí na síťový provoz uvnitř organizace nebo na internetu. Jen nástroje a lidé však pro efektivní zajištění kybernetické bezpečnosti nestačí. Aby vše správně fungovalo, je zapotřebí je propojit – a právě k tomu slouží firemní procesy (nejen) pro zajištění bezpečnostních opatření.

 

Firemní procesy

Z obecného pohledu existuje celá řada definic pojmu „proces“. Jednou z nich je definování procesu jako „sledu činností, které z vložených vstupů vytváří požadovaný výstup“. Jinými slovy procesy popisují co a jak je třeba provést, abychom z dodaných vstupů dosáhli užitečného výstupního cíle. Správně definované firemní procesy jsou spolu s lidskými zdroji a technologickými nástroji jednou ze základních složek každého bezpečnostního opatření.

Všechny tři složky jsou nepostradatelné a pro synergické působení vyžadují i pečlivou koordinaci. Ale jsou to právě firemní procesy, které umožňují výrazně zvýšit celkovou úroveň kyberbezpečnosti a bezpečnosti informací, a to často bez nákladných investic na bezpečnostní nástroje nebo zajišťování mnohdy nedostatkových expertů.

 

Firemní procesy pro zajištění informační bezpečnosti

Je obtížné specificky definovat procesy, které bezprostředně souvisí s informační bezpečností – nelze je totiž jednoduše separovat od provozních, finančních a dalších firemních procesů. V zásadě je ale můžeme rozdělit do následujících kategorií:

  • procesy spojené s řízením systému bezpečnosti informací,
  • technické bezpečnostní procesy,
  • bezpečnostní aktivity v rámci ostatních procesů společnosti.

Firemní procesy pro řízení bezpečnosti informací

Procesy, které jsou bezprostředně spojené s řízením bezpečnosti informací, zajišťují kontinuitu a efektivnost fungování celého systému na ochranu informací a jsou spojené s ISMS (tj. Information Security Management System). Procesy zahrnuté v ISMS jsou obvykle základem pro trvale udržitelný trend neustálého zlepšování úrovně informační bezpečnosti a je nutné je pečlivě integrovat do konkrétního procesního prostředí organizace. Patří sem procesy jako řízení rizik, management dokumentace, systém vzdělávání ad.

Technické bezpečnostní procesy

Smyslem těchto firemních procesů je především odstranění či alespoň zmírnění dopadů provozních zranitelností a incidentů v oblasti informační bezpečnosti na organizaci. Příklady tohoto typu firemních procesů lze rozdělit takto:

  • Ochrana vůči malwaru, kam spadají procesy jako instalace a aktivace ochranných nástrojů, zajištění automatické aktualizace definic malwaru, filtrování vstupního provozu (e-maily, downloady) na obranu proti nežádoucím formám (spyware, phishing), pravidelné přezkoumání a hodnocení nových hrozeb ad.
  • Síťová bezpečnost, která zahrnuje procesy jako zajištění přístupu k síti pouze pro autorizovaná zařízení, implementace síťového filtrování, využití schválených síťových protokolů, zajištění bezpečných konfigurací síťových zařízení, šifrování přenášené informace dle její klasifikace, provádění pravidelných penetračních testů a testování bezpečnosti systémů ad.
  • Bezpečnost koncových zařízení, kam lze zařadit procesní aktivity jako zajištění bezpečných konfigurací operačních systémů, implementace zamykacích mechanismů, řízení vzdáleného přístupu, implementace filtrování síťového provozu na koncovém zařízení, fyzická ochrana koncového zařízení a jeho bezpečná likvidace či šifrování informací na koncovém zařízení ad.
  • Fyzický přístup k IT, který obsahuje procesy jako logování a monitoring všech vstupních bodů k IT aktivům, zajištění viditelné identifikace pro všechny osoby, zajištění doprovodu návštěv po celou dobu, schvalování požadavků na přístup k informačním aktivům, zajištění aktuálnosti přístupových profilů ad.
  • Uživatelská identita, kam můžeme řadit procesní činnosti jako udržování uživatelských práv v souladu s obchodními a bezpečnostními politikami, administrace změn v uživatelských právech, řízení privilegovaných přístupů a přístupů dle rolí, zajištění unikátní identifikace pro uživatele, pravidelné přezkoumání všech účtů a odpovídajících práv ad.
  • Bezpečnostní monitoring, kam spadá využití technologií, služeb a aktiv pro průběžnou identifikaci zranitelností, definice a komunikace rizikových scénářů, pravidelné přezkoumávání záznamů událostí pro identifikaci potenciálních incidentů, zajištění včasného vytvoření záznamu o bezpečnostního incidentu na základě monitoringu ad.

Zajištění informační bezpečnosti v ostatních firemních procesech

Jak již bylo uvedeno výše, bezpečnost informací má mezioborový charakter a je třeba mít na paměti, že nic nelze nějakým opatřením nebo jejich kombinací zabezpečit úplně. Co s tím? Optimální je adekvátním způsobem kombinovat jednotlivá opatření, a tak snižovat pravděpodobnost jejich překonání. Měli byste tedy prvky bezpečnosti pevně zabudovat do všech firemních procesů, tedy nejen těch spojených s vlastním řízením bezpečnosti nebo těch technických.

Několik příkladů:

  • Správa projektů – zajistěte, že budou obecné bezpečnostní politiky vaší společnosti začleněné do parametrů projektu, a to už od definování cílů projektu. Toto začlenění pak musí být důsledně a průběžně kontrolováno, a to i v závěrečných fázích projektů.
  • Správa dodavatelů – jak ověříte, že vaši dodavatelé dodržují informační bezpečnost a správně nakládají s vašimi firemními daty? Promítněte své bezpečnostní požadavky do dodavatelské smlouvy (za data ručí totiž vždy vlastník) a požadujte certifikaci dodavatele ověřenou důvěryhodnou třetí stranou.
  • Správa shod a compliance – nesoulad s požadavky legislativy znamená riziko vysokých sankcí, zachycení bezpečnostních požadavků je v tomto firemním procesu tedy nutností. Navíc kromě striktních požadavků legislativy existuje i množství smluvních závazků, o kterých bezpečnostní role ani nemusí vědět.

 

Informační bezpečnost a budování bezpečnostních firemních procesů

Budování bezpečnostních firemních procesů „na zelené louce“ je téměř sisyfovskou prací. Nejdříve řešte to, co je skutečně důležité a firemní procesy vnímejte vždy v kontextu. Kyberbezpečnost a informační bezpečnost je jen jeden z pohledů na realitu a ostatní pohledy mohou mít také svoji důležitost.

Nechte se inspirovat tím, co už někdo vymyslel – využívejte metodické nástroje, které vám mohou při rozumném využití výrazně pomoci – osvědčené rámce, standardy a nejlepší praktiky. Tím mohou být i normy, např. ISO/IEC 27001:2022 definuje požadavky na ustavení, implementaci, provoz a průběžné zlepšování systému řízení bezpečnosti informací. Norma obsahuje požadavky na firemní procesy podporující efektivní řízení celého systému řízení bezpečnosti i požadovaná bezpečnostní opatření.

S certifikací podle ISO 27001 i se zaváděním bezpečnostních firemních procesů vám rádi pomůžeme, neváhejte nás kontaktovat.

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.