Peter Pištek o reguláciách a auditoch
Ako spravovať prístupové práva v organizácii, na základe akého kľúča ich prideľovať a odoberať?
Ideálne je, ak firma má nastavený systém kategorizácie informácií, teda napríklad, čo je vhodné, aby videla verejnosť, a čo je určené len pre jednotlivé úrovne vedenia, napríklad predstavenstvo. Medzi tým môžu existovať ďalšie kategórie. Tento prístup pomáha určiť, aké vlastnosti alebo kompetencie musí mať osoba, ktorá má prístup k daným informáciám. Tento spôsob nám umožňuje vedieť, čo zdieľame a kto má mať k tomu prístup. Je dôležité tiež vedieť, prečo tomu človeku prístup poskytujeme, na čo ho reálne potrebuje, a nezabúdať ani na to, ako dlho ho potrebuje.
To je častá chyba, že prístupové práva sa pridelia a už sa nikdy neodoberú, čo vedie k tomu, že zamestnanci majú zbytočne veľa prístupových práv. Preto je dôležité raz za čas skontrolovať, či má zamestnanec prístup len k tým informáciám, ktoré naozaj potrebuje. Ak zmení zamestnanec pozíciu, je potrebné opäť prehodnotiť jeho prístupové práva, odobrať tie, ktoré už nepotrebuje, a pridať tie, ktoré sú pre jeho novú úlohu potrebné. Tento proces by mal byť ošetrený aj v prípade odchodu zamestnanca z firmy. Je potrebné pripraviť postup, ako rýchlo zareagovať, keď zamestnanec odchádza v zlom, aby sme mu okamžite zrušili všetky prístupové práva a zabránili možnému poškodeniu firmy.
Kedy je firma povinná riešiť kybernetickú bezpečnosť podľa zákona?
V súčasnosti firmy už majú definované pravidlá, ktoré platia do konca tohto roka (2024). Sú definované vyhláškami a nadväzujú na kybernetický zákon platný na Slovensku. Prebieha tiež prenos európskej smernice do slovenského legislatívneho prostredia, kde sa opäť definujú firmy, ktoré budú spadať pod tento zákon. Ide o 18 sektorov hospodárstva, ktoré majú rôzne úrovne povinností, pričom záleží na konkrétnom sektore a veľkosti firmy. Ak má firma viac ako 50 zamestnancov a viac ako 10 miliónov eur obrat a pôsobí v niektorom z týchto sektorov, bude podliehať povinnostiam kybernetického zákona. Existujú aj výnimky, no v niektorých oblastiach budú tieto povinnosti platiť pre každú firmu, pretože ide o dôležité sektory pre hospodárstvo, ktoré môžu byť ohrozené kaskádovým efektom.
Čo je audit a prečo by ho mali firmy vykonávať?
Audit je v skratke nezávislé hodnotenie bezpečnosti firmy, ktoré realizuje externá osoba, ktorá nemá spojenie s budovaním kybernetickej bezpečnosti vo firme. Externý audítor vystaví akési „vysvedčenie“, aby firmy vedeli, kde majú rezervy a kde sa môžu posunúť ďalej. V dnešnej dobe už nie je otázka, či vás napadnú, ale kedy vás napadnú, preto je dôležité nezaspať na vavrínoch a vedieť, či máme adekvátnu obranu vzhľadom na veľkosť našej organizácie.
Audity vykonávajú certifikovaní audítori, ktorých zoznam sa dá nájsť na stránke Národného bezpečnostného úradu. Audity môžu byť tiež konkurenčnou výhodou, pretože firmy, ktoré spadajú pod kybernetický zákon, musia preverovať svojich dodávateľov. Ak má firma audit kybernetickej bezpečnosti, môže to pomôcť pri získaní zákazky, pretože nemusí byť tak dôsledne kontrolovaná ako firmy bez auditu.
Kde sú najčastejšie nedostatky a ako ich zlepšiť?
Medzi najčastejšie nedostatky, ktoré sa zistia pri auditoch, patria chýbajúce analýzy rizík. Ak firma nemá jasne stanovené riziká, ťažko sa rozhoduje, kam investovať zdroje. Týmto spôsobom môžu firmy vynaložiť svoje zdroje neefektívne, pretože nevedia, čo je potrebné prioritne chrániť.