Governance, Risk & Compliance (GRC)

Čoho sa organizácie najviac obávajú po roku účinnosti zákona o kybernetickej bezpečnosti

Posted by author-avatar
0

Keď vstúpil do platnosti zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, mnohé organizácie ho vnímali ako ďalšiu legislatívnu povinnosť. Niečo, čo treba splniť, zdokumentovať a uzavrieť.

Po viac ako roku reálnej aplikácie však vidím jasný posun.

Organizácie už chápu, že nejde len o dokumentáciu.
Zároveň si začínajú uvedomovať, čo všetko to pre nich v praxi znamená.

A práve tu vznikajú reálne obavy.

Zákon ako formalita vs. realita

Na začiatku bol prístup mnohých organizácií jednoduchý:

  • pripraviť dokumentáciu

  • nastaviť minimálne procesy

  • „prejsť kontrolou“

Lenže zákon o kybernetickej bezpečnosti – a dnes aj NIS2 – je postavený inak.

Nejde o to mať smernice.
Ide o to mať funkčný systém riadenia bezpečnosti.

Rozdiel medzi týmito dvoma prístupmi je zásadný a v praxi veľmi rýchlo viditeľný.

Ako sa tento prístup mení v kontexte európskej regulácie rozoberám detailnejšie v článku NIS2: čo to znamená pre slovenské firmy v praxi.

Najčastejšie obavy

Najväčšia obava č. 1: Nedostatok prehľadu o aktívach

Toto je najčastejší problém, s ktorým sa stretávam.

Organizácie:

  • nemajú presný prehľad o aktívach

  • nevedia, kde sa nachádzajú kritické dáta

  • nemajú klasifikáciu informácií

Bez toho nie je možné riadiť bezpečnosť ani riziká.

Zákon pritom vyžaduje:

  • identifikáciu aktív

  • ich ochranu

  • riadenie rizík

V praxi to znamená, že bez kvalitného asset managementu nie je možné dosiahnuť reálny súlad s požiadavkami.

Najväčšia obava č. 2: Incidenty a ich hlásenie

Zákon jasne definuje, že incidenty sa majú detegovať, vyhodnocovať a hlásiť.

Problém je, že väčšina organizácií:

  • nemá monitoring

  • nemá SIEM

  • nemá definovaný incident response proces

Následne vznikajú otázky:

  • ako zistiť, že incident nastal

  • ako ho vyhodnotiť

  • čo presne hlásiť

Realita z praxe

Typická situácia:

Organizácia bola presvedčená, že sa u nej nič nedeje.

Po nasadení základného monitoringu sa ukázalo:

  • podozrivé prístupy

  • neštandardné správanie

  • pokusy o prienik

Problém nebol nový.
Len nebol viditeľný.

Najväčšia obava č. 3: Zodpovednosť vedenia

Zákon (a dnes aj NIS2) posúva zodpovednosť z IT oddelenia na úroveň manažmentu.

To znamená, že vedenie:

  • schvaľuje bezpečnostné opatrenia

  • nesie zodpovednosť

  • musí rozumieť rizikám

V praxi však často chýbajú kvalitné vstupy pre rozhodovanie.

Výsledkom je:

  • odkladanie rozhodnutí

  • nízka priorita bezpečnosti

  • rastúce riziko

Najväčšia obava č. 4: Audit a kontrola

Pri prvej kontrole si organizácie často uvedomia, že nemajú veci pod kontrolou.

Typické problémy:

  • dokumentácia neodpovedá realite

  • procesy nie sú implementované

  • chýbajú dôkazy

Audit nie je o tom, čo je napísané.
Je o tom, čo viete preukázať.

Ako vyzerá bezpečnostný audit v praxi a na čo sa audítori skutočne pozerajú, popisujem podrobnejšie v článku Ako prebieha reálny bezpečnostný audit (bez marketingu).

Najväčšia obava č. 5: Nedostatok ľudí a know-how

Veľmi praktický problém.

Organizácie často:

  • nemajú interného bezpečnostného experta

  • nemajú kapacitu riešiť bezpečnosť systematicky

  • nemajú skúsenosti s implementáciou

Zákon pritom neberie ohľad na to, či má organizácia dostatok zdrojov.

Najväčšia obava č. 6: Prepojenie s NIS2 a DORA

Zákon č. 69/2018 už dnes neexistuje izolovane.

Prichádzajú ďalšie regulácie:

  • NIS2

  • DORA

Organizácie si začínajú uvedomovať, že požiadavky sa budú sprísňovať.

To znamená:

  • viac kontrol

  • väčší dôraz na riadenie

  • vyššie nároky na preukazovanie

Kde robia firmy najväčšiu chybu

Najčastejší prístup je snaha splniť minimum požiadaviek.

Tento prístup už dnes nefunguje.

Regulácie sa prekrývajú, audity sú dôslednejšie a incidenty častejšie.

Ako by to malo vyzerať správne

Správny prístup nie je plniť zákon.

Správny prístup je nastaviť systém riadenia bezpečnosti.

To znamená:

  • mať prehľad o aktívach

  • riadiť prístupy

  • monitorovať správanie

  • mať definovaný proces pre incidenty

  • riadiť riziká

A hlavne prepojiť bezpečnosť s biznisom.

Ako k tomu pristupujeme v ADCORE

Naším cieľom nie je „urobiť vás compliant“.

Cieľom je dať vám kontrolu nad bezpečnosťou.

Pomáhame s:

  • analýzou aktuálneho stavu

  • identifikáciou rizík

  • návrhom opatrení

  • implementačnými odporúčaniami

  • prípravou na audit

Každé riešenie musí byť udržateľné a funkčné v praxi.

Záver

Po roku účinnosti zákona je realita jasná.

Organizácie sa neboja samotného zákona.
Obávajú sa toho, že nemajú bezpečnosť pod kontrolou.

A to je správne.

Cieľom legislatívy nikdy nebolo vytvoriť dokumentáciu.
Cieľom bolo prinútiť organizácie riadiť bezpečnosť systematicky.

A práve tu vzniká rozdiel medzi firmou, ktorá zákon „spĺňa“, a firmou, ktorá je reálne pripravená na incidenty.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *