Vo fiktívnej firme strednej veľkosti máme za sebou takmer rok práce. Zvládli sme mapovania aktív, analýzu rizík aj ochranu výroby. Je čas na tému, ktorej sa mnohé firmy boja – audit kybernetickej bezpečnosti.
Keď som kolegom vo firme Chrum&Chrum oznámil, že sa chystáme na audit kybernetickej bezpečnosti, prirodzene sa objavila obava: „A čo ak nájdu chyby?“ Odpovedám vždy jednoducho: „Dúfam, že ich nájdu. Preto to predsa robíme.“
Audit je proste spätná väzba. Ak nič nenájde, je niečo zle. Buď je audit zlý, alebo ho robíme so zatvorenými očami. Preto sme si vybrali skúsených audítorov, nie lacné „papierové“ riešenia, ktoré dajú zelenú pečiatku aj bez toho, aby sa pozreli na realitu.
Prvý krok
Spravili sme si interný „pred-audit“, taký vlastný pohľad na to, čo reálne funguje.
Skúsili sme obnoviť dáta zo záloh, testovali sme proces riešenia incidentov, overili sme konfigurácie na sieťových prvkoch a preverili sme správnosť pridelených prístupov. Mnohé veci fungovali dobre, niektoré sme ešte doladili.
Zásadné nastavenie
Audit kybernetickej bezpečnosti totiž nie je o tom, aké máte smernice. Audit je o tom, či podľa nich ozaj žijete. Ak máme dokument, ktorý nikto nepoužíva, je to len papier v skrini.
Tento prístup zdôrazňujem kolegom celý rok – bezpečnosť nie je len o formalizácii, je predovšetkým o výkone. Nerobíme smernice preto, aby sme ich mali. Robíme ich preto, aby chránili ľudí, dáta a výrobu.
Sme v tom spolu
Audit sa netýka iba IT. Audit sa týka celej firmy. Zapájame preto výrobu, logistiku, sklad, HR aj manažment. Niekedy sú to práve nenápadné procesy mimo IT, ktoré rozhodnú o tom, či sa incident rozšíri alebo zastaví.
Výroba pripraví postup, čo robiť, ak prestane komunikovať riadiaca jednotka. HR kontroluje procesy nástupov a odchodov, aby mali prístupové práva vždy aktuálny stav.
Logistika rieši ako pokračovať v expedícii, ak systém nabehne v obmedzenom režime, alebo vôbec. Každý tu má svoju úlohu. Pretože kybernetická bezpečnosť nie je technická disciplína. Je to tímový šport.
Audit nie je razia
Externý audit, ktorý príde po našom internom, odhalí ďalšie slabé miesta. A to je v poriadku. Nie je cieľ dostať jednotku. Cieľ auditu je zistiť, čo ešte vieme zlepšiť, aby naša výroba stála pevne na nohách, aby sme chránili dodávateľov, zákazníkov aj know-how firmy. Je to príležitosť pomenovať veci pravým menom.
Andrej Mišura, manažér kybernetickej bezpečnosti Cyllium
Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený manažér kybernetickej bezpečnosti. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov