E-kniha „NIS2 jednoduše“ – Opatření č. 2: Ukotvení IT bezpečnosti (6/12)
Publikováno: 29.9.2023
Správa aktiv v digitálním věku: Důležitost správného určení garantů a ochrany primárních a podpůrných aktiv pro splnění požadavků NIS2.
K předchozí kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 1: Aktiva (5/12)
Obecně
Povinnost vrcholového vedení nespočívá pouze v delegování úkolů, ale i v aktivním nastavování a dodržování bezpečnostních standardů. Proto je vhodná jasná deklarace vedení firmy o dodržování nastavených bezpečnostních pravidel. Paralelně s tím je nezbytné efektivně řídit dodavatele. Vzrůstající závislost na externích službách přináší nová rizika a pokud dodavatelé nedodržují adekvátní úroveň bezpečnosti, může to mít přímý dopad na vaši firmu. Proto je klíčové zavést jasné standardy a dohled nad jejich dodržováním. U dodavatelů toto začíná samozřejmě v zasmluvnění kontraktu.
Pro garanty
Vrcholová dokumentace
- Zajistěte deklaraci a poučení vrcholového vedení o povinnostech a rozsahu odpovědnosti v rámci kybernetické bezpečnosti
- Zajistěte zdroje pro zajišťování kybernetické bezpečnosti (lidské, finanční)
Řízení dodavatelů
- Identifikujte jednotlivé dodavatele a jejich zodpovědnosti
- Navrhněte pravidla pro výběr dodavatelů
- Standardizujte smlouvy s dodavateli respektující bezpečnostní požadavky
- Hodnoťte kvalitu dodavatelů a kontrolujte dodržování úrovně služeb
Bezpečnostní standard
- Vytvořte bezpečnostní standard
- Navrhněte plán aplikace bezpečnostního standardu
Typické nedostatky ve firmách
Deklarace bezpečnosti od vedení je bohužel často jen na papíře. Reálně jsou málokdy uvolněny potřebné zdroje a kapacity pro adekvátní zajištění bezpečnosti. Zde se bavíme především o pravidelných činnostech, které pokud se nedělají, tak bezpečnost pomalu upadá. Zásadním problémem je pak správné zasmluvnění dodavatelů. Velmi často nejsou ve smlouvách garantované časy odezvy, obnovy služby a především příslušné sankce, pokud dodavatel neplní dle smlouvy. Pravidla pro výběr dodavatelů a bezpečnostní standardy mohou na první pohled působit jako nadbytečné. Avšak často se stává, že obchodní oddělení vybere dodavatele a až v průběhu jednání o smlouvě IT oddělení zjistí, že daný dodavatel nemůže, nebo jen za vysoký příplatek, zajistit potřebnou bezpečnost a integraci s interními službami, jako jsou například identity. A toto je velká škoda a ztráta času a energie všech.
Tento článek je součástí e-knihy „NIS2 jednoduše“, kterou si celou můžete stáhnout zde.
K další kapitole: E-kniha „NIS2 jednoduše“ – Opatření č. 3: Bezpečnost lidských zdrojů (7/12)