Diskuse o povinnosti analyzovat kybernetická rizika se v posledních měsících výrazně vyostřila, a to nejen kvůli novému zákonu o kybernetické bezpečnosti a povinnostem vyplývajícím ze směrnice NIS2, ale také proto, že firmy si začínají uvědomovat, že nejde jen o „papír pro papír“. Jak zaznívá z úst odborníků, analýza rizik není jen zákonnou povinností, ale když se udělá prakticky a srozumitelně, tak především přínosem pro byznys.
Legislativa sice nastavuje organizacím mantinely, ale skutečný důvod, proč analýzu rizik dělat, je mnohem hlubší. Pokud totiž organizace pochopí, „co chrání“ a „co je pro její provoz kritické“, dokáže se podle toho mnohem lépe rozhodovat a plánovat. A právě tato schopnost rozhodování se na základě výstupů analýzy rizik je to, co se po firmách chce. V praxi to však neplatí jen pro podniky spadající pod regulaci — analýza rizik je užitečná pro jakoukoli organizaci, která chce vědět, do jaké úrovně kybernetické bezpečnosti má investovat a jaké kroky mají největší návratnost.
Manažerská odpovědnost
Jedním z nejdůležitějších faktorů při zajišťování kybernetické bezpečnosti organizace je aktivní role jejího managementu. Analýza rizik nesmí být izolovaný IT proces nebo dílčí formální dokument, ale skutečný nástroj řízení. „Vedení organizace by mělo být iniciátorem a hybatelem procesu hodnocení kybernetických rizik. Pouze v takové organizaci, kde management rozumí hodnotě podnikových aktiv a dopadům v případě jejich ohrožení, lze vytvořit prostředí, v němž bezpečnostní řízení dlouhodobě obstojí a v důsledku má pozitivní vliv na řízení,“ upozorňuje Kateřina Hůtová, odbornice na kybernetickou bezpečnost ze společnosti Cybrela.
Aby však analýza rizik nebyla jen formální tabulkou, musí organizace začít správným vymezením, zda a do jaké kategorie regulace spadá a které její podnikové procesy či služby jsou pro její fungování zásadní. „Až podnik určí, do jaké kategorie regulace spadá, může se pustit do dalších kroků. Teprve po úvodním sebeurčení má smysl sestavovat seznam aktiv, určovat jejich význam, identifikovat možné hrozby a zranitelnosti a následně hodnotit samotná rizika a přijímat adekvátní opatření,“ vysvětluje Kateřina Hůtová.
Reálné scénáře
Mezi firmami může panovat obava, že se v rámci analýzy rizik snadno utopí v přehnaném množství detailů, že je nutné sepsat dlouhé seznamy aktiv nebo popsat každou možnou hrozbu, aby byla analýza dostatečná a dostála litery zákona. Ve skutečnosti však takový postup firmě většinou žádnou hodnotu nepřinese — spíše ji zahltí a zpomalí. „Podniky by měly najít rovnováhu mezi rozumnou mírou detailu a praktičností, aby analýza odpovídala realitě dané firmy a skutečně podporovala její rozhodování. Totéž platí i pro identifikaci hrozeb a zranitelností – namísto opisování obecných seznamů se vyplácí zaměřit se na scénáře, které mohou reálně zasáhnout podnikání dané firmy. Analýza rizik má být srozumitelný, použitelný nástroj, ne zbytečná administrativní zátěž,“ říká Vojtěch Hvězda, specialista na kybernetickou bezpečnost společnosti Gordic.
Stejně důležité pak je, aby analýza kybernetických rizik nebyla jednorázovým dokumentem, který se jednou vytvoří kvůli zákonné povinnosti a následně založí. „Mělo by jít o živý nástroj, ke kterému se organizace pravidelně vrací a který průběžně aktualizuje nejen podle toho, jak se mění technologie a podnikové procesy, ale především samotné hrozby. Jen tak může vedení spolehlivě rozumět tomu, jaká rizika jejich podnik skutečně ohrožují a jak se vyvíjejí v čase,“ upřesňuje Hvězda.
Pokud firmy nedisponují vlastními odborníky nebo kapacitami na provedení komplexní analýzy rizik, mohou využít moderní softwarové nástroje třetích stran, které celý proces výrazně usnadní. Příkladem je aplikace Cyber Security Audit (CSA), která umožňuje nejen systematicky identifikovat a hodnotit kybernetická rizika, ale také spravovat aktiva, sledovat hrozby a zranitelnosti a průběžně aktualizovat výstupy analýzy. Díky integrované expertíze právních konzultantů navíc usnadňuje i implementaci bezpečnostních opatření a dosažení souladu s novou legislativou. CSA tak slouží jako praktický a živý nástroj, který umožňuje efektivně plánovat opatření a podporuje rozhodování o efektivních investicích do zajištění bezpečnosti organizace.
Efektivní řízení
Jakmile jsou rizika jasně pojmenována, přichází na řadu další krok v podobě návrhu a přijetí odpovídajících opatření. Právě v této fázi se ukazuje největší přínos dobře provedené analýzy, která umožní investovat tam, kde je to opravdu potřeba, a zároveň se vyhnout opatřením, která pro danou firmu nemají smysl. Analýza rizik tak přestává být jen povinností a stává se racionálním podkladem pro efektivní řízení bezpečnosti dané organizace.
Analýza kybernetických rizik může být pro podnik velmi silným strategickým nástrojem. „Ovšem pouze tehdy, pokud je k ní přistupováno věcně, pragmaticky a s porozuměním tomu, co má z pohledu efektivního řízení chodu podniku skutečně řešit. Legislativa sice nastavuje povinné minimum, ale skutečná hodnota vzniká až ve chvíli, kdy organizace využije analýzu rizik jako oporu pro informovaná rozhodnutí a jako prostředek k posílení odolnosti celého podnikání,“ uzavírá František Janů, specialista na kybernetickou bezpečnost společnosti Gordic.
