Andrej Mišura, manažér kybernetickej bezpečnostiSkupina CYLLIUM
StoryEditor

Takto to robím ja. Poradňa manažéra kybernetickej bezpečnosti 1/12

31.01.2025, 00:00

Každý mesiac sa bude s vami deliť o svoje praktické skúsenosti skúsený profesionál. Budeme svedkami spoločnej cesty bezpečáka a firemného manažmentu. Táto cesta totiž čaká toho roku aj stovky a tisíce slovenských firiem!

Som manažérom kybernetickej bezpečnosti

Koncom roka ma oslovil jeden z majiteľov firmy Chrum&Chrum a ponúkol mi pozíciu manažéra kybernetickej bezpečnosti. Firma vyrába proteínové tyčinky a špeciálnu výživu a patrí medzi lídrov na trhu. Ponuku som prijal, dnes mám za sebou prvý mesiac.

Prvý krok

Moja úloha ako manažéra kybernetickej bezpečnosti je jasná – zabezpečiť, aby všetko od receptov až po zákaznícke dáta zostalo chránené a proces výroby a distribúcie bežal ako hodinky. Na prvý pohľad to znie jednoducho, ale veľmi rýchlo som pochopil, že pred sebou mám veľkú výzvu.

Získavam spojencov

Prvé dni som venoval spoznávaniu ako firma funguje. Prešiel som si výrobné haly, videl som, ako sa miešajú ingrediencie, a rozprával sa s tímami na všetkých úrovniach. V každej diskusii som sa opýtam rovnaké otázky: „Čo je pre vás najdôležitejšie? Čo by vás zastavilo v práci?“ Ich odpovede mi pomohli pochopiť, na čom vo firme naozaj záleží. Od začiatku mi je jasné, že kybernetická bezpečnosť je pre firmu novinka, bude čo robiť.

Diskusia s vedením

Hneď na začiatku som išiel za generálnym riaditeľom. Vedel som, že ak nezískam jeho podporu, skončil som. Vysvetlil som mu, že ako štatutár nesie zodpovednosť za ochranu údajov aj za plynulosť výroby. Ak budeme PZS – prevádzkovateľ základnej služby tak tú zodpovednosť má dokonca trestnoprávnu.

Na stole som mal plán činností na rok a ukázal som mu, že bezpečnosť nie je len náklad, ale investícia, ktorá môže zachrániť firmu pred katastrofou. Máme spoločný cieľ, aby firma vyrábala aj zajtra. Po chvíľke ticha mi podal ruku a povedal: „Andrej, máš moju podporu. Ideme na to.“

Bezpečnostný výbor

Je jasné, že bez zapojenia manažmentu sa nič nepohne. Ako prvý krok som na porade vedenia navrhol založenie bezpečnostného výboru, čo je vlastne tím na prijímanie strategických rozhodnutí v oblasti kybernetickej bezpečnosti. Tím som poskladal z ľudí, ktorí vedia, ako firma žije – od IT cez výrobu až po financie. Generálny riaditeľ súhlasil že zoberie pozíciu predsedu výboru.

Výbor bude našou platformou na diskusiu o rizikách, návrhoch riešení a rozhodnutiach. Stretávať sa budeme pravidelne každý mesiac a vždy vyhodnotíme, čo sa podarilo a kde máme rezervy.

Na prvom stretnutí výboru som im predstavil plán konkrétnych aktivít na každý mesiac.

  • Február: Spravíme vstupný hĺbkový audit stavu bezpečnosti, overíme či nespadneme pod Zákon o kybernetickej bezpečnosti č. 69/2018 Z.z. v jeho novelizovanej podobe.
  • Marec: Urobíme si poriadok, inventár dôležitých informácií, podporných aktív a ich závislostí je nevyhnutý základ. Pridáme klasifikáciu informácií.
  • Apríl: Analýza dopadov a Analýza rizík. Vypracujeme návrh opatrení na zmierňovanie rizík.
  • Máj: Formalizujeme riadenie bezpečnosti, vypracujeme riadiacu dokumentáciu, nastavíme kontrolný systém a definujeme merateľné ciele.
  • Jún: Budeme sa venovať technickým opatreniam na viacerých úrovniach bezpečnostnej architektúry.
  • Júl: Téma biznis kontinuity nastaví procesy na zvládanie krízových situácií, vypracujeme havarijne plány a otestujeme ich, áno aj zálohovanie a obnovu.
  • August: Nastavíme procesy riešenia kybernetických bezpečnostných incidentov.
  • September: Preškolíme zamestnancov a nastavíme plán budovania bezpečnostného povedomia. Prejdeme zmluvy s dodávateľmi a nastavíme požiadavky bezpečnosti do nich.
  • Október: Budeme sa venovať OT bezpečnosti, teda zabezpečeniu samotnej výroby a riadiacich systémov.
  • November: Pripravíme sa na audit kybernetickej bezpečnosti.
  • December: Vyhodnotíme, čo sa podarilo a čo nie, pripravíme sa na ďalší rok.

Začiatok cesty

Viem, že budovanie bezpečnosti nie je o zložitých technológiách, ale o správnych základoch. Ak vedenie pochopí význam bezpečnosti, tieto hodnoty prenesú aj na zamestnancov. Postupne tak môžeme zavádzať konkrétne opatrenia – od analýzy rizík po implementáciu ochranných technológií.

Chrum& Chrum má pred sebou dlhú cestu, ale verím, že to zvládneme. Spolu môžeme vybudovať prostredie, kde budú zamestnanci pracovať bez obáv, kde si zákazníci môžu byť istí, že ich údaje sú v bezpečí a akcionári že chránime ich investície.

Poradňu pre vás pripravuje Andrej Mišura, manažér kybernetickej bezpečnosti.

Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
08. február 2025 10:31