Distribuční síť Gordicu řídí kyberbezpečnost lépe díky CSA
Distribuční síť Gordicu řídí kyberbezpečnost lépe díky CSA
Kybernetická bezpečnost není jen zákonná povinnost, ale existenční nutnost. V dnešní digitální době nejsou útoky hackerů ničím výjimečným a jejich dopady bývají zničující. Pokud máte větší organizaci s rozsáhlou sítí partnerů a obchodníků, pak je nutné dodržovat určité bezpečnostní standardy. Jenom tak neohrozíte bezpečnost mateřské organizace. A přesně na tuto výzvu se zaměřila také naše společnost.
Jednotná bezpečnostní pravidla
Gordic zajišťuje služby svým zákazníkům prostřednictvím sítě distribučních firem, které najdete napříč celou Českou republikou. Na západě od Nového Boru, přes Znojmo na jihu až po Uherské Hradiště na východě naší země. Zatímco si mateřská společnost zakládá na bezpečném vývoji softwarových řešení a vysoké úrovni řízení kybernetické bezpečnosti, u jednotlivých distributorů panoval rozdílný přístup k zajištění kyberbezpečnosti. A právě to jsme se rozhodli změnit a sjednotit. Společně s distribuční sítí jsme proto přijali jednotná bezpečnostní pravidla. Jedním z nich bylo zpracování analýzy rizik a její řízení v aplikaci Cyber Security Audit (CSA).
Postupné zavádění
Vlastní licenci do aplikace CSA dostali členové distribuční sítě na podzim roku 2021. Ve většině případů jsme pro práci s nástrojem volili osoby, které sice s kybernetickou bezpečností mají nějakou zkušenost, ale nejedná se o analytiky s dlouholetou praxí. To proto, abychom otestovali přehlednost a jednoduchost používané aplikace. Chtěli jsme také zjistit, zda se potvrdí i jednoduchá interpretace výsledků a navrhovaných opatření, které z analýzy vyplynou. Úkolem pracovníků naší distribuční sítě bylo nastudovat si vyhlášku o kybernetické bezpečnosti. Na pravidelných schůzkách se zástupcem vzdělávací sekce Gordic poté nahráli data do aplikace CSA a provedli kompletní analýzu rizik. V neposlední řadě začali v CSA kompletně řídit procesní stránku kybernetické bezpečnosti.
Pravidelná kontrola
Díky analýze rizik mají naši distributoři přehled o tom, jak jsou na tom s kybernetickou bezpečností, a navíc má tyto informace k dispozici i centrální bezpečnostní tým. Společně tak mohou zavádět různá bezpečnostní opatření a tím zvyšovat úroveň kybernetické bezpečnosti celé rozsáhlé sítě Gordic. Protože bezpečnost je nikdy nekončící proces, kontrola dat probíhá kvartálně a s ní i zavádění proaktivních opatření. Jedním z členů naší distribuční sítě, který využívá nástroj CSA a provedl kompletní analýzu rizik je společnost BNSOFT ze Znojma. O celém procesu jsme si povídali s jejím vedoucím provozního oddělení Luďkem Bartesem.
Máte k dispozici vlastní licenci do aplikace CSA, do které jste nahráli data a provedli kompletní analýzu rizik. Popíšete nám, jak celý proces probíhal?
Za naši společnost se na tvoření analýzy v nástroji CSA podílelo více lidí – od ředitele, přes vedoucí jednotlivých sekcí až po správce sítě a serverových řešení. Společně jsme stanovili základní kameny nástroje, tedy primární aktiva. Jako první jsme vybrali základní informační systémy, na kterých jsou závislé všechny naše služby a postupně jsme přidávali další aktiva. Teprve když se do celé problematiky více ponoříte, uvědomíte si, kolik věcí je potřeba mít pod kontrolou. A právě v tom nám pomohl nástroj CSA. Nejedná se pouze o primární aktiva, ale také podpůrná. Narazíte na zjištění, že bez některých věcí se vaše společnost neobejde, ať už je to síťová konektivita nebo energetická přípojka. Po stanovení aktiv jsme provedli jejich ohodnocení směrem k možným rizikům. Těch je nepřeberné množství a není snadné všechny podchytit. Proto jsme uvítali možnost se k danému aktivu kdykoliv vrátit. Po nastavení rizik následovalo zavedení opatření. V tom nám pomohla funkce plánu zvládání rizik. Zde máme zavedena, ať už pravidelná opatření, která se každý rok opakují, tak i ta jednorázová, která jsou v procesu zavádění. Vedení naší společnosti uvítalo možnost přidávání lidských a finančních zdrojů, díky které má přehled o nákladech za kybernetickou bezpečnost. V neposlední řadě nesmím zapomenout na prohlášení o aplikovatelnosti, kde si jednoduchou formou checklistu kontrolujeme stav týkající se zákonu o kybernetické bezpečnosti nebo normy ISO 27000.
Bylo pro vás těžké se do tématu analýzy kybernetické bezpečnosti dostat?
Toto téma nás obklopuje dnes a denně. Neznám projekt v našem odvětví, kde by se toto téma neřešilo. Kybernetické bezpečnosti se věnujeme už poměrně dlouho, tudíž to pro nás těžké nebylo. Nástroj CSA vám pomůže pochopit jednotlivé návaznosti.
Jak u vás dopadla analýza rizik, museli jste přijmout nějaká opatření?
Za nás není analýza rizik nikdy kompletní, stále přidáváme další plány a opatření a implementujeme ty stávající. Také případná rizika stále přibývají. Po prvotní analýze rizik jsme však museli upravit některé z našich směrnic.
Doporučil byste ji i jiným firmám?
Rozhodně ano, teprve po rozdělení celého procesu do jednotlivých kroků si uvědomíte princip a důležitost celé bezpečnostní analýzy.
Můžete na závěr našeho rozhovoru shrnout hlavní výhody nástroje CSA?
Hlavní výhodou je možnost se k analýze kdykoliv vrátit a doplnit ji, popřípadě poupravit. Což je, díky tomu, že je celá analýza v cloudu, velmi snadné. Dále kladně hodnotím formu, jakou je nástroj CSA tvořen. Toho totiž v papírové podobě nikdy nedocílíte. Nástroj CSA je vhodným prostředkem, jak kontrolovat a pomáhat naší distribuční síti a také partnerům s kybernetickou bezpečností. Ať už jste obchodní korporace, město nebo příspěvková organizace, neváhejte a vyzkoušejte CSA. Váš bezpečnostní tým tento krok jistě ocení.