Kyberbezpečnost je rozsáhlé téma zastřešující veškeré postupy a technologie, které udržují systémy a důležitá data v bezpečí. V současném světě, kde jsou téměř všechny naše aktivity stále více spojeny s digitálním prostředím, je zřejmé, že se posouvá do centra pozornosti. Nejenže se stále více dat přesouvá v online prostředí, ale také se rozšiřuje spektrum a roste sofistikovanost kybernetických hrozeb. Všechny zasažené subjekty by se proto měly adaptovat implementací efektivních strategií ochrany a obrany. K tomuto účelu existují rámce kybernetické bezpečnosti, které plní roli průvodce s cílem pomáhat organizacím chránit jejich digitální aktiva a citlivé údaje.
Kybernetické útoky a hrozby jsou na vzestupu a jejich obrovský dopad znamená, že organizace musí najít efektivní a spolehlivé řešení – a to co nejrychleji. Účinná ochrana dat a robustní opatření, navržená k předcházení nebo minimalizaci rizik spojených s digitálním prostředím, nejsou samozřejmostí. Tato opatření úzce souvisí s návrhem a implementací odolné strategie kybernetické bezpečnosti, která by měla kombinovat různé prvky jako například firewally, antivirový software, šifrování, bezpečnostní politiku a školení nebo zálohování dat.
Rámce kybernetické bezpečnosti jsou zde proto, aby pomáhaly organizacím dosáhnout tohoto ideálního stavu. Představují tedy důležitý nástroj pro posilování kybernetické bezpečnosti skládající se z metodik, směrnic a osvědčených postupů, které organizacím umožňují plánovat, hodnotit, upravovat, implementovat a řídit svá opatření zaměřená na kybernetickou a informační bezpečnost.
Existuje několik různých rámců, přičemž každý z nich má své specifické charakteristiky a zaměření. Jedním z nich je Cybersecurity Framework (CSF) vyvinutý Národním institutem pro normy a technologie (NIST) ve Spojených státech, který se stal jedním z předních „průvodců“ v oblasti kybernetické bezpečnosti. Tento rámec nabízí organizacím strukturovaný a přitom pružný přístup k budování a zlepšování jejich kybernetické bezpečnosti a zaměřuje se na pět hlavních oblastí neboli funkcí:
V dynamickém prostředí, v němž dnes všechny organizace operují, je nezbytné, aby takové přístupy nezůstávaly neměnné – právě proto, aby se předešlo rigiditě u těch, kteří je používají. Po téměř deseti letech od vydání verze 1.1 tak NIST CSF prošel důkladnou revizí reagující na dynamické změny v technologiích, rizicích a celkovém prostředí kybernetické bezpečnosti. Aktualizovaná verze rámce označená jako CSF 2.0 byla očekávána v úvodních měsících roku 2024 a přišla konečně s koncem února.
CSF 2.0 v návaznosti na předchozí verze obsahuje nové funkce, které zdůrazňují důležitost správy a dodavatelských řetězců. Zvláštní pozornost je věnována tzv. Quick Start Guides, aby bylo zajištěno, že framework je relevantní a snadno dostupný jak pro menší organizace, tak i jejich větší protějšky po co nejdelší dobu. Hlavní změny tak reflektovaly současné i budoucí výzvy v oblasti kybernetické bezpečnosti a tkvěly ve zjednodušení užívání tohoto rámce pro všechny organizace.
Do verze 2.0 NIST navíc zahrnul šestou oblast „Govern“, jež se zaměřuje na procesy, kterými organizace přijímají a implementují rozhodnutí týkající se kybernetické bezpečnosti. Tato nová oblast se prolíná pěti původními oblastmi a klade důraz na lidský faktor, procesy a technologie nezbytné pro efektivní řízení kybernetické bezpečnosti. I proto je v nejnovější vizualizaci tato oblast vyobrazena uprostřed – ovlivňuje totiž způsob, jak bude organizace implementovat dalších pět funkcí. Některé kategorie se tak s celou jednou novou oblastí musely přizpůsobit novému rozložení, a proto některé z nich nalezneme právě v oblasti „Govern“, včetně řízení rizik dodavatelského řetězce a samotné strategie řízení rizik, které byly v předešlé verzi rámce zařazeny do oblasti „Identify“.
Mezi další významné změny v rámci CSF patří také CSF 2.0 Reference Tool, jenž zjednodušuje implementaci a umožňuje uživatelům vyhledávat a exportovat základní naváděcí data v uživatelsky přívětivých a strojově čitelných formátech. Prohledávatelný katalog referencí také umožňuje společnostem porovnávat své činnosti s CSF a propojovat je s více než 50 dalšími dokumenty o kybernetické bezpečnosti, což usnadňuje komplexní řízení rizik.
CSF 2.0 představuje významný vývoj původního rámce se změnami navrženými tak, aby řešily současné a budoucí výzvy kybernetické bezpečnosti. Zůstává však dobrovolným rámcem, který navíc nezahrnuje pouze vlastní specifika, ale odkazuje také na NIS / NIS2 (Network and Information Systems Directive) a ISO 27000 (soubor standardů pro řízení informační bezpečnosti), které jsou důležitou součástí celého kybernetického bezpečnostního ekosystému. CSF tak může sloužit jako užitečný nástroj pro organizace usilující o splnění požadavků směrnice NIS2 a naplnění standardů ISO zaměřené na konkrétní procesy pro řízení informační bezpečnosti. Kombinací těchto tří aspektů umožňuje dosažení vyšší úrovně bezpečnosti a plnění řady regulačních požadavků.
Hodnocení kybernetického bezpečnostního rámce je klíčovým krokem pro ty, kteří usilují o zajištění účinné ochrany informačních systémů a dat – jedná se o způsob, kterým lze identifikovat a řešit bezpečnostní rizika a v důsledku lépe alokovat zdroje pro dosažení optimálního bezpečnostního stavu.
Pravidelným hodnocením kybernetického bezpečnostního rámce můžete identifikovat a lépe prioritizovat reakci na potenciální hrozby, identifikovat mezery v plnění konkrétních standardů a zajistit tak včasnou nápravu. Úzce to souvisí také s celkovou identifikací slabých stránek nejen ve vztahu k bezpečnostním opatřením zaměřeným na známé hrozby, ale i ve vztahu nutné adaptace a připravenosti na hrozby budoucí. Silný rámec kybernetické bezpečnosti podporuje kulturu kontinuálního zlepšování a adaptace a navíc pomáhá chránit reputaci a citlivá data, se kterými mnoho subjektů pracuje na denní bázi. I proto je zásadní ho kontinuálně vylepšovat.
K tomu je mimo jiného potřeba určit nejdůležitější kybernetické schopnosti, do kterých by se mělo investovat, a to především vzhledem ke specifičnosti sektoru podnikání a analýze hrozeb. V Deloitte se proto zaměřujeme jak na analýzu schopností jednotlivých subjektů, tak na samotné prostředí jejich podnikání a relevantní hrozby.
Věříme, že i když je samotné zabezpečení velmi důležité, je třeba zdravé dávky neustálé ostražitosti a budování odolnosti vzhledem k vyvíjejícímu se prostředí hrozeb. Za užitečné pak považujeme odrazit takový aspekt v dlouhodobé strategii a také modelu řízení, kterým se subjekt bude v oblasti kybernetické bezpečnosti ubírat. Cílem je nejen reaktivní zavádění potřebných struktur a pravidel pro udržování a zvyšování vlastních schopností v oblasti kybernetické bezpečnosti, ale také
zavedení proaktivní ochrany proti kybernetickým útokům. S tím souvisí celková odolnost, jež odkazuje ke schopnosti efektivně reagovat na kybernetické útoky a zotavit se z nich co nejrychleji, a také faktor opatrnosti, jenž zahrnuje schopnost odhalovat interní a externí hrozby pomocí sběru informací o hrozbách, a tak se na ně proaktivně připravovat.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
