Distribuční síť Gordicu: jednotná bezpečnostní pravidla
Díky analýze rizik mají naši distributoři přehled o tom, jak jsou na tom s kybernetickou bezpečností, a navíc má tyto informace k dispozici i centrální bezpečnostní tým. Kontrola dat probíhá kvartálně a s ní i zavádění proaktivních opatření.
Jednou ze společností naší distribuční sítě, která využívá nástroj CSA, je BNSOFT ze Znojma. O celém procesu jsme si povídali s vedoucím jejího provozního oddělení Luďkem Bartesem.
Jaké kroky jste museli provést při analýze rizik?
Nejprve jsme stanovili základní kameny (nástroje), tedy primární aktiva. Jako první jsme vybrali základní informační systémy, na kterých jsou závislé všechny naše služby, a postupně jsme přidávali další aktiva. Teprve když se do celé problematiky více ponoříte, uvědomíte si, kolik věcí je potřeba mít pod kontrolou. A právě v tom nám pomohl nástroj CSA. Nejedná se pouze o primární aktiva, ale také podpůrná. Narazíte na zjištění, že bez některých věcí se vaše společnost neobejde, ať už je to síťová konektivita, nebo
energetická přípojka. Po stanovení aktiv jsme provedli jejich ohodnocení směrem k možným rizikům. Těch je nepřeberné množství a není snadné všechna podchytit. Proto jsme uvítali možnost se k danému aktivu kdykoliv vrátit.
Jak jste postupovali dále?
Po nastavení rizik následovalo zavedení opatření. V tom nám pomohla funkce plánu zvládání rizik. Zde máme zavedena jak pravidelná opatření, která se každý rok opakují, tak i ta jednorázová, která jsou v procesu zavádění. Vedení naší společnosti uvítalo možnost přidávání lidských a finančních zdrojů, díky kterým má přehled o nákladech za kybernetickou bezpečnost. V neposlední řadě nesmím zapomenout na prohlášení o aplikovatelnosti, kde si jednoduchou formou checklistu kontrolujeme stav týkající se zákona o kybernetické bezpečnosti nebo normy ISO 27000.
Jak u vás dopadla analýza rizik, museli jste přijmout nějaká opatření?
Za nás není analýza rizik nikdy kompletní, stále přidáváme další plány a opatření a implementujeme ty stávající. Také případná rizika stále přibývají. Po prvotní analýze rizik jsme však museli upravit některé
z našich směrnic.
Můžete na závěr shrnout hlavní výhody nástroje CSA?
Hlavní výhodou je možnost se k analýze kdykoliv vrátit a doplnit ji, popřípadě poupravit. Dále kladně hodnotím formu, jakou je nástroj CSA tvořen. Toho totiž v papírové podobě nikdy nedocílíte. Díky CSA získáte plnou kontrolu nad kybernetickou bezpečností.
Jednotná bezpečnostní pravidla
Gordic zajišťuje IT služby svým zákazníkům prostřednictvím sítě distribučních firem, které najdete napříč celou Českou republikou. Naše mateřská společnost si zakládá na bezpečném vývoji softwarových řešení
a vysoké úrovni řízení kybernetické bezpečnosti. To samé očekává také od svých distributorů. Proto jsme se rozhodli bezpečnostní pravidla sjednotit. Jedním z kroků bylo zpracování analýzy rizik u naší distribuční
sítě a její řízení v aplikaci Cyber Security Audit (CSA).
Moderní nástroj CSA
Cyber Security Audit (CSA) pomůže splnit požadavky české legislativy i mezinárodních norem, a to zejména v oblastech řízení aktiv, hodnocení rizik a zavádění opatření na jejich snížení. Mezi zajímavé funkce patří stahování reportů z různých sekcí aplikace a taktéž možnost si upravit metodiku dle svého uvážení. Tento nástroj získal certifikát o shodě se zákonem o kybernetické bezpečnosti (ZoKB) od renomované auditorské společnosti TAYLLORCOX. Jde o jediný nátroj na analýzu rizik a řízení kybernetické
bezpečnosti na českém trhu, který obdržel tento certifikát. Splňuje ISO 27000 a pomůže i při zavádění povinností vyplývající z evropské směrnice NIS2.
Postupné zavádění
Vlastní licenci do aplikace CSA dostali členové naší distribuční sítě na podzim roku 2021. Ve většině případů jsme pro práci s nástrojem volili osoby, které sice s kybernetickou bezpečností přišli do styku, ale
nejedná se o zkušené analytiky. To proto, abychom otestovali přehlednost a jednoduchost používané aplikace. Chtěli jsme zjistit, zda se potvrdí i jednoduchá interpretace výsledků a navrhovaných opatření, které z analýzy vyplynou. Na pravidelných schůzkách se zástupcem vzdělávací sekce Gordic poté nahráli tito pracovníci data do aplikace CSA a provedli kompletní analýzu rizik. V neposlední řadě začali v CSA kompletně řídit procesní stránku kybernetické bezpečnosti.