Kybernetická bezpečnosť nie je len nový marketingový nástroj či byrokratický nezmysel Európskej únie. Kybernetická bezpečnosť, to sú predovšetkým opatrenia smerujúce k zaisteniu bezpečnosti vašich informačných aktív. Tak, ako poznáme CISO z komerčnej sféry, je dôležitá aj úloha MKB – manažéra kybernetickej bezpečnosti. Pričom nejde len o legislatívnu povinnosť. Predovšetkým ide o príležitosť zodpovednej spoločnosti mať k dispozícii skutočného odborníka, riadiaceho kybernetickú bezpečnosť firmy tým správnym spôsobom. Že takého človeka nepoznáte? Nejde o žiadnu prekážku – zákon pripúšťa manažéra kybernetickej bezpečnosti outsourcovať. Zverte teda kybernetickú bezpečnosť odborníkovi, ktorým je MKB. Nie len preto, že musíte, ale aj preto, lebo je to správna cesta k plneniu požiadaviek legislatívy pre danú oblasť.
Zákon o kybernetickej bezpečnosti a jeho vyhláška č. 362/2018 Z.z. predpokladajú nasledovné postavenie MKB v organizácii:
- Predkladanie návrhov a oznamovanie informácií v oblasti KB priamo štatutárnemu orgánu;
- Zabezpečenie aplikácie bezpečnostných opatrení;
- Nezávislosť od riadenia prevádzky a vývoja IT služieb.
Aj keď znalostné požiadavky na manažéra kybernetickej bezpečnosti má stanoviť dnes ešte neexistujúca vyhláška k zákonu o kybernetickej bezpečnosti, predmetná úloha nie je ničím novým ani výnimočným. A, ako správne predpokladáte, absencia vyhlášky nie je ospravedlňujúcim dôvodom, prečo toho svojho manažéra KB stále nemáte.
Neexistencia znalostných štandardov tiež neznamená, že nie je možné nájsť prehľad a lepšiu predstavu o postavení a úlohách MKB už dnes. V komerčnej sfére sa napríklad úloha manažéra kybernetickej bezpečnosti zvyčajne označuje ako CISO (z angl. Chief Information Security Officer), čo už je uchopiteľnejší pojem a s ktorým je rozsiahlejšia skúsenosť.
Úlohou CISO, alternatívne MKB, je predovšetkým zaistiť ochranu informačných aktív organizácie implementáciou a riadením procesov informačnej a kybernetickej bezpečnosti.
Prostredníctvom role MKB tak nedochádza len k naplneniu legislatívnej povinnosti, ale súčasne získavate skutočného odborníka pre oblasť informačnej a kybernetickej bezpečnosti, ktorého úlohou je najmä:
- Správnym a legislatívou vyžadovaným spôsobom riadiť informačnú a kybernetickú bezpečnosť vo vašej organizácii;
- Riadiť informačné aktíva organizácie (tzv. IT Asset Management);
- Zabezpečovať hodnotenie zraniteľností;
- Zabezpečovať implementáciu technických a organizačných opatrení;
- Zabezpečovať procesy detekcie, riešenia a prevencie kybernetických bezpečnostných incidentov;
- Riadiť procesy zaručenia súladu (tzv. compliance management) v oblasti informačnej a kybernetickej bezpečnosti.
Plnenie zoznamu týchto, ale aj ďalších úloh v danej sfére si nepochybne vyžaduje spôsobilosti značného rozsahu, ktoré sú nielen na slovenskom, ale aj európskom trhu skôr výnimočné. Dôsledkom je toľko spomínaný nedostatok odborníkov pre oblasť informačnej a kybernetickej bezpečnosti, ktorého vyriešenie len tak skoro nenastane.
Súčasne je zrejmé, že zabezpečenie tejto spôsobilosti „z vlastných zdrojov a prostriedkov“, teda prostredníctvom internej osoby, by mohlo byť veľmi nákladným riešením. A v neposlednom rade riešením, pri ktorom nemáte žiadnu záruku, že sa Vám na túto osobu „neulakomí“ niekto iný.
Čo je teda riešením? Outsourcing
Zákon o kybernetickej bezpečnosti outsourcing úlohy manažéra kybernetickej bezpečnosti, našťastie, nezakazuje. Preto je možný a s ohľadom na nedostatok odborníkov, zastávajúcich túto bezpečnostnú úlohu, súčasne veľmi odporúčaný. A čo presne vám manažér kybernetickej bezpečností prinesie? V prvom rade splnenie Vašej legislatívnej povinnosti, výhod je však omnoho viac. Ak si totiž kybernetickú bezpečnosť predstavíte ako zoznam konkrétnych obligatórnych požiadaviek, manažér kybernetickej bezpečnosti je jasnou odpoveďou na otázku, ako legislatívne požiadavky naplniť tak, aby bolo v rámci auditu kybernetickej bezpečnosti, ktorý čaká každého prevádzkovateľa základnej služby, možné konštatovať súlad.