Zavádění požadavků zákona o kybernetické bezpečnosti v praxi: proč se projekty zastavují a jak je posunout dál
Nový zákon o kybernetické bezpečnosti přináší do českých organizací povinnosti, které se dotýkají procesů napříč celou firmou. Většina organizací se ale nezasekne na technických požadavcích. Největší bariéry vznikají v řízení projektu, porozumění postupům a schopnosti propojit jednotlivé oblasti do funkčního systému. Ať už firma zavádí opatření podle ZoKB, nebo pracuje na certifikaci podle ISO 27001, typické potíže bývají velmi podobné.
V tomto článku se podíváme na to, jaké jsou nejčastější problémy brzdící pokrok a jak vytvořit plán, který je pomůže řešit včas a nezbrzdí tak další etapy implementace.
1. Projekty se zaseknou tam, kde nejsou jasně určené role a rozsah práce
Zavádění opatření podle ZoKB je komplexní projekt, který zasahuje IT, management, HR, provoz i právní oddělení. Celkově tedy vyžaduje aktivní spolupráci minimálně desítek lidí. Prvním klíčem k úspěchu je tedy jasné rozdělení odpovědností a nastavení pravidel spolupráce napříč týmy a odděleními. Pokud organizace nezačne definicí rozsahu regulovaných služeb a odpovědností jednotlivých rolí, rychle narazí na nejasnosti, kdo má určité kroky vykonávat a kdo o nich rozhoduje.
Chybějící struktura vede k tomu, že některé úkoly zůstávají bez majitele, blokují další navazující úkony a implementační tým tak postupně přechází k jiným prioritám. Tomuto se snažíme u našich klientů zabránit tvorbou jasného implementačního plánu ještě před zahájením implementace.
2. Firmy ví, co musí zavést, ale ne jakým způsobem to udělat
Zákon o kybernetické bezpečnosti i standardy typu ISO 27001 popisují co musí podnik splňovat - většinou však nestanovuje, jakým způsobem takového stavu dosáhnout.
Abyste se proto vyhli možným zdržením, stanovte si, jaké metody budete používat. V praxi by úkol neměl být formulován obecně, ale věcně, s konkrétní metodikou a instrukcí, kam má být následně výstup předán - ať už je to jiný tým, GRC systém a podobně. Tento postup vám následně také ulehčí proces tvorby bezpečnostní dokumentace.
Absolvovali jste teoretické školení o kybernetické bezpečnosti ale váháte, jak na implementaci?
Mít teoretický základ je skvělé - jak ale vytvořit plán, který bude fungovat napříč organizací? S tím vám rádi pomůžeme! V rámci praktického školení vás naučíme, jak sestavit realistický plán implementace bezpečnostních opatření v prostředí vaší organizace. Žádný výklady legislativy, ale metodická práce jako vyhodnocení dopadů, řízení aktiv, a další oblasti implementace.
3. Největší bariéry vznikají při práci s aktivy, riziky a dodavateli
Skutečný základ plnění požadavků ZoKB tvoří práce s aktivy, vyhodnocení rizik a řízení významných dodavatelů. Tady se projekty nejčastěji zasekávají, protože jde o úkoly, které vyžadují detailní znalost prostředí firmy a zároveň schopnost správně strukturovat procesy.
V praxi se často stává, že organizace začne psát dokumentaci dříve, než má vyjasněné procesy, identifikovaná veškerá aktiva a správně vyhodnocené dopady případného výpadku. Neustálé doplňování dokumentace, a úprava procesů může celý projekt prodloužit i o několik měsíců - a na vině může být i neefektivní vedení implementace pomocí rozsáhlých statických dokumentech jako Excel tabulky a dokumenty.
Dnešní technologie umožňují lepší řešení ve formě GRC softwaru, který je dynamičtější, usnadňuje spolupráci vícero lidí a umožňuje mít veškeré informace aktuální a na jednom místě. Vyzkoušet můžete například AuditMaster.ai, který byl vyvinut přímo pro české legislativní prostředí.
Jak zajistit bezproblémové zajištění bezpečnosti i po prvotní implementaci?
Zavádění bezpečnostních opatření podle zákona o kybernetické bezpečnosti není jednorázová záležitost. Ano, prvotní implementace je kapacitně náročnější, ale nekončí po pár měsících.
Aby organizace udržela soulad s legislativou je nutné neustále vyhodnocovat nová rizika, monitorovat dodavatele a zvyšovat technickou bezpečnost podnikových systémů. Opět je třeba stanovit odpovědné osoby za pravidelné kontroly a aktualizace a zároveň zajišťovat pravidelná školení zaměstnanců, kteří se o soulad starají.
Zavádění požadavků ZoKB potřebuje jasnou metodiku, procesy a strukturu
Projekty v oblasti kybernetické bezpečnosti jsou známé svou komplexností. Nejčastěji se zaseknou tam, kde chybí metodická opora nebo jasně stanovený proces či zodpovědná osoba. Pokud však podnik přípravu nepodcení, a věnuje jí dostatek pozornosti, předejde hned řadě možných problémů a zdržení při implementaci bezpečnostních opatření.
Whirr Crew podporuje firmy při zavádění opatření podle zákona o kybernetické bezpečnosti prostřednictvím expertních konzultací, praktických školení a nástroje AuditMaster.ai. Pokud chcete projekt posunout dál nebo potřebujete metodickou podporu pro svůj tým, rádi vám ukážeme cestu, která funguje.