7 chyb, které organizace dělají při zavádění kybernetické bezpečnosti
Kybernetická bezpečnost už dávno není jen záležitostí IT oddělení. Přesto se mnoho organizací při jejím zavádění dopouští stejných chyb. Výsledkem bývá zbytečná administrativa, neefektivní procesy a problémy při auditech.
S příchodem nových regulatorních požadavků začalo mnoho organizací intenzivně řešit kybernetickou bezpečnost. Často však pod tlakem termínů vznikají řešení, která sice vypadají dobře na papíře, ale v praxi nefungují.
Podívejme se na nejčastější chyby.
1. Kybernetická bezpečnost jako jednorázový projekt
Největší omyl spočívá v představě, že bezpečnost lze „udělat“ a následně odložit.
Ve skutečnosti jde o průběžný proces, který musí reagovat na změny v technologiích, procesech i hrozbách.
2. Chybějící vlastnictví
Pokud není jasně určeno, kdo odpovídá za konkrétní aktiva, procesy nebo rizika, vznikají slepá místa a nejasnosti.
Bezpečnost není odpovědností jednoho člověka.
3. Evidence aktiv pouze v Excelu
Mnoho organizací stále spoléhá na ručně vedené seznamy.
Ty však rychle zastarávají a neobsahují vazby mezi jednotlivými systémy.
4. Rizika bez návaznosti na opatření
Není výjimkou, že organizace vytvoří analýzu rizik a tím celý proces končí.
Skutečné řízení rizik však začíná až ve chvíli, kdy jsou definována konkrétní opatření, odpovědnosti a termíny.
5. Bezpečnostní dokumentace v šuplíku
Směrnice a politiky mají smysl pouze tehdy, pokud se podle nich skutečně postupuje.
6. Podcenění dodavatelů
Moderní organizace jsou závislé na externích partnerech více než kdy dříve.
Dodavatelský řetězec je dnes jedním z nejčastějších vstupních bodů útoků.
7. Příprava na audit na poslední chvíli
Sbírání důkazů několik týdnů před auditem bývá receptem na stres i chyby.
Auditní připravenost musí vznikat průběžně.
Závěr
Úspěšné organizace nestaví bezpečnost na dokumentech, ale na procesech, odpovědnostech a průběžném řízení.
Právě to je rozdíl mezi formálním plněním povinností a skutečnou bezpečností.
