Z praxe vyplýva, že mnohé organizácie ešte aj v súčasnosti podceňujú a odkladajú riešenie bezpečnosti a spoliehajú sa na to, že majú k dispozícii čas až do decembra 2026. Stretávame aj so situáciami, keď sa zákazník po roku opätovne ozve s požiadavkou na obnovenie pôvodnej cenovej ponuky. Takýto moment často naznačuje, že organizácia v medziobdobí neurobila žiadne kroky a riešenie odkladala. Výsledkom je návrat na začiatok, ale s menším časovým priestorom a vyšším tlakom na realizáciu. Práve odsúvanie a ponechanie si zahájenia si činností v oblasti bezpečnosti organizácie až na posledný kvartál, rozhodne nepatrí k prístupom, ktorý odporúčame.
Vzhľadom na to, že kybernetická bezpečnosť nie je jednorazový krok, ktorý sa dá „dokončiť na poslednú chvíľu“, ale komplexný proces, ktorý si vyžaduje čas, koordináciu a postupné zavádzanie opatrení sa v AXENTA vždy snažíme upozorňovať na riziká plynúce z odkladania povinností a celkovej nečinnosti organizácií.
Na druhej strane však existujú organizácie, ktoré chcú postupovať systematicky a bez zbytočného odkladania. V úvodnej fáze je potrebné zvládnuť prvé kroky, vrátane registračných úkonov a komunikácie s regulátorom, kde vieme zákazníka podporiť napríklad podaním cez dátovú schránku. V ďalšej časti sa preto pozrieme na základné kroky, očakávania a výber vhodného partnera.
Po tom, ako má organizácia potvrdené, že je zaradená medzi povinné subjekty a zapísaná v registri prevádzkovateľa základných služieb, prirodzene nasleduje fáza hľadania partnera. Zvyčajne si zákazník urobí základný prieskum trhu a osloví viaceré spoločnosti, ktoré poskytujú služby v oblasti kybernetickej bezpečnosti.
Voľba vhodného partnera na spoluprácu by nemala byť postavená výlučne na cene, pretože výrazne nízka cenová ponuka spravidla neznamená kvalitné riešenie. Ponúkané riešenie musí vychádzať z aktuálnej legislatívy (Zákon o kybernetickej bezpečnosti) v SR a ČR a požiadaviek z nej plynúcich, nie zo všeobecných rámcov prijatých v NIS2 alebo interpretácií na ktoré sa ešte množstvo spoločností odvoláva. Je kľúčové zamerať sa aj na detaily v komunikácii ako napríklad používanie nesprávnej terminológie, ktoré môžu byť varovným prstom, či si vyberáte partnera, ktorý skutočne má vedomosti a skúsenosti, alebo pracuje skôr so všeobecnými pojmami než s reálnou znalosťou legislatívnych a technických súvislostí. Zásadnú úlohu zohrávajú pri výbere budúceho partnera aj referencie, ktoré je vhodné si nielen vyhľadať, ale aj overiť.
Prvé stretnutie je v tomto kontexte kľúčové, pretože nejde len o predstavenie služby, ale o vzájomné pochopenie situácie v akej sa organizácia nachádza. Úvodná komunikácia prebieha nielen s vedením spoločnosti, ktoré je priamo zodpovedné za plnenie legislatívnych požiadaviek, ale aj s jednotlivými útvarmi, ktoré vstupujú do procesu prípravy analýzy rizík. V mnohých prípadoch sa ukazuje, že organizácie nemajú samostatne definovanú oblasť bezpečnosti, a preto je potrebné vysvetliť, prečo sa diskusia začína na úrovni IT a postupne sa rozširuje smerom k manažmentu. Kybernetická bezpečnosť sa totiž dotýka celej organizácie, nie iba technického oddelenia.
Správny postup začína nastavením jasného harmonogramu činností, ktorý je dôkladne komunikovaný so zákazníkom a reflektuje jeho konkrétnu situáciu a potreby. Následne prebiehajú stretnutia na úrovni lokálneho IT, prípadne ICT, a postupne aj s vyšším riadením alebo skupinovým CISO, ak je súčasťou štruktúry organizácie. Už v tejto fáze je dôležité nastaviť realistické očakávania.
Kľúčovým pri zahájení celého procesu je zvoliť si správne poradie krokov. Na začiatku je potrebné vypracovať a nechať schváliť vedením spoločnosti stratégiu kybernetickej bezpečnosti, ktorá určuje smer a základné princípy a súčasne je nevyhnutné jej komunikovanie do vnútra organizácie. Nadväzuje na ňu spracovanie riadenia aktív, ktoré poskytuje prehľad o tom, čo je potrebné chrániť. Až na tomto základe je možné vykonať analýzu rizík, ktorá predstavuje najdôležitejší vstup pre ďalšie rozhodovanie. Práve analýza rizík je z pohľadu praxe kľúčovým dokumentom. Na základe jej výstupov sa navrhujú, prijímajú a vykonávajú bezpečnostné opatrenia tak, aby ošetrili všetky identifikované riziká a zároveň napĺňali požiadavky stratégie kybernetickej bezpečnosti. Bez kvalitne spracovanej analýzy nie je možné prijímať správne a efektívne opatrenia.
Až následne prichádzajú na rad technické opatrenia, ktoré tieto rozhodnutia pretavujú do praxe a umožňujú včasnú detekciu, vyhodnotenie a reakciu na bezpečnostné udalosti.
Kybernetická bezpečnosť v kontexte zákonných povinností tak nie je otázkou jedného rozhodnutia alebo jedného projektu. Je to proces, ktorý začína pochopením vlastnej situácie, pokračuje systematickým nastavením krokov a vyžaduje aktívny prístup od prvého momentu a preto je tu AXENTA, ktorá vás prevedie celým procesom.