Máte manažéra kybernetickej bezpečnosti. Ale viete, kto vo vašej organizácii reálne riadi bezpečnosť ako celok?
V praxi vidíme stále ten istý scenár. Organizácia splní zákonnú povinnosť, menuje manažéra kybernetickej bezpečnosti, nasadí niekoľko technológií a považuje tému za vyriešenú. Dokumentácia existuje. Technológie bežia. Na papieri všetko sedí.
Problém je v tom, čo na papieri nevidíte. Bezpečnostné technológie nikto systematicky nevyhodnocuje. IT oddelenie je preťažené prevádzkou a na bezpečnosť mu neostáva kapacita. Jednotlivé opatrenia fungujú izolovane, bez prepojenia na biznis ciele organizácie. A keď príde incident, zistíte, že mať manažéra kybernetickej bezpečnosti a mať riadenú bezpečnosť sú dve úplne odlišné veci.
Manažér kybernetickej bezpečnosti je základ, nie cieľ
Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti ukladá prevádzkovateľom základných služieb povinnosť menovať manažéra kybernetickej bezpečnosti. Nesplnenie tejto povinnosti znamená pokutu až 300 000 EUR, pri opakovanom porušení až 500 000 EUR. To nie je formalita.
Externý manažér kybernetickej bezpečnosti dokáže túto povinnosť pokryť na profesionálnej úrovni. V závislosti od potrieb organizácie môže ísť o reaktívny prístup so základným zabezpečením compliance, aktívne riadenie bezpečnosti s dokumentáciou, analýzou rizík a koordináciou incidentov, alebo proaktívny bezpečnostný program zahŕňajúci pravidelné školenia, phishing testy, audit dodávateľov a AI governance.
Ale aj ten najlepší manažér kybernetickej bezpečnosti má vymedzený rozsah pôsobnosti. Riadi bezpečnosť, nie celú IT stratégiu. A práve tu sa otvára medzera, ktorú väčšina organizácií nerieši.
Technológie bez riadenia sú len náklady
Organizácie investujú do bezpečnostných technológií. EDR na koncových bodoch, SIEM na monitoring udalostí, firewally na perimetri, IAM na riadenie prístupov, MFA na overovanie identity. Každá z týchto technológií má svoj zmysel. Ale kto rozhoduje, čo nasadiť a kedy? Kto vyhodnocuje, či technológie plnia to, čo majú? Kto reaguje na výstupy, ktoré generujú?
V praxi často vidíme, že starostlivosť o komplexné bezpečnostné technológie padne na plecia preťaženého IT oddelenia. Administrátori, ktorí sa starajú o servery, siete a používateľskú podporu, nemajú kapacitu ani špecializáciu na to, aby systematicky riadili bezpečnostnú infraštruktúru. Výsledok? SIEM generuje alerty, ktoré nikto nečíta. EDR beží v defaultnom nastavení. Prístupy sa nerevidujú.
Práve preto sme v Cyllium vytvorili program Cyllinder. Je to systematický prístup k revízii a modernizácii celej IT infraštruktúry. Nejde len o nasadenie technológií, ale o ucelený proces: od inventarizácie a posúdenia aktuálneho stavu, cez segmentáciu siete, hardening systémov podľa CIS benchmarkov, revíziu prístupov, nasadenie EDR a šifrovania, až po zálohovaciu stratégiu 3-2-1 a kompletnú dokumentáciu. To všetko v úzkej spolupráci s interným IT tímom, nie namiesto neho. Cyllinder prináša best practices tam, kde predtým rozhodoval zvyk alebo časový tlak.
Strategické riadenie bezpečnosti: keď manažér kybernetickej bezpečnosti nestačí
Niektoré organizácie potrebujú viac než manažéra kybernetickej bezpečnosti a viac než technológie. Potrebujú niekoho, kto prevezme zodpovednosť za celý ekosystém IT a bezpečnosti na strategickej úrovni. Niekoho, kto sedí pri stole s vedením a rozumie biznisu rovnako ako technológiám.
Strategické riadenie IT a bezpečnosti je odpoveďou na otázku, ktorú si kladú mnohí CEO a CFO: ako zabezpečiť, aby IT a bezpečnosť fungovali ako hodinky, bez toho, aby sme budovali interný tím troch seniorných pozícií?
Namiesto hľadania a financovania CTO, CISO a IT manažéra získava organizácia jeden zmluvný vzťah s tímom certifikovaných odborníkov, ktorý pokrýva IT stratégiu a architektúru, riadenie kybernetickej bezpečnosti vrátane incident managementu, legislatívny súlad s NIS2, ISO 27001, GDPR a DORA, kontinuitu podnikania a disaster recovery, aj pravidelný reporting pre vedenie a board.
Pre organizácie od 50 zamestnancov ponúkame úroveň Program s kompletným outsourcingom riadenia. Pre väčšie alebo regulované organizácie je tu úroveň Executive, ktorá pridáva dedikovaného senior konzultanta na úrovni vedenia, zastúpenie pri rokovaniach s regulátormi a reakciu do 2 hodín. Prechod na službu trvá 4 až 8 týždňov a prebieha v štyroch fázach: discovery, transition, stabilizácia a kontinuálne riadenie.
Čo reálne získate
Keď sa na to pozrieme očami CEO alebo CFO, strategické riadenie bezpečnosti prináša tri kľúčové veci.
Po prvé, ucelené riadenie bezpečnosti a IT pod jednou strechou. Žiadne fragmentované dodávateľské vzťahy, žiadne medzery medzi auditom, technológiami a riadením. Jeden partner, ktorý vidí celý obraz a preberá zodpovednosť.
Po druhé, merateľné náklady a výstupy. Presne definovaný rozsah služby, jasné KPI, pravidelné reporty. Žiadne skryté náklady, žiadne prekvapenia. CFO vie, čo platí a čo za to dostáva.
Po tretie, jasné zodpovednosti. Kto za čo zodpovedá je definované zmluvne. Keď príde incident, keď zavolá regulátor, keď treba rozhodnutie, viete presne, kto koná. To je niečo, čo v modeli „riešime to interne, ako sa dá“ jednoducho neexistuje.
Jeden partner na celú cestu
V Cyllium pokrývame celú cestu zrelosti bezpečnosti organizácie. Od manažéra kybernetickej bezpečnosti, cez bezpečnostné technológie a Cyllinder program, až po strategické riadenie na úrovni vedenia. S viac ako 22 rokmi skúseností, 200 úspešnými projektmi v 8 odvetviach a tímom s 15 medzinárodnými certifikáciami vrátane CISA, CISM, CEH a ISA 62443.
Nečakajte na incident. Nečakajte na regulátora. Bezpečnosť nie je projekt, ktorý raz ukončíte. Je to proces, ktorý niekto musí riadiť.
Ak chcete zistiť, kde na tejto ceste sa nachádza vaša organizácia a aký je logický ďalší krok, ozvite sa nám. Radi vám pomôžeme.