Co jsou organizační opatření
Organizační opatření znamenají zavedení nějakého procesu, systému řízení, kontrolních mechanismů, zavedení směrnice, nebo pracovního postupu, stanovení požadavků na dodavatele a podobně. Zahrnují také vzdělávání uživatelů. Organizační opatření znamená změnu chování lidí nebo změnu procesů.
- Organizační opatření jsou založená na změnách procesů nebo organizace práce.
- Pro změnu chování uživatelů je nezbytný tréning, školení a vzdělávání lidí
Jaká organizační opatření jsou pro naši firmu vhodná?
Konkrétní organizační opatření musí přirozeně vycházet z konkrétní situace a potřeb a velikosti vaší organizace a provedené analýzy rizik. Jiná organizační opatření bude mít malá rodinná firma o pár lidech a jiná firma s tisíci zaměstnanci. Zavedení většiny z nich poměrně snadné a v kombinaci s technickými opatřeními vám pomůže proti nejběžnějším IT rizikům.
Nejčastější a doporučená organizační opatření kyberbezpečnosti ve středních firmách
Uvedený seznam nejlepších opatření a nástrojů je založený na zkušenostech středních firme a nejlepší praxi a obsahuje pouze základní výčet opatření, které se praxi ukázaly jako nejčastější.
Zavedení politik bezpečnosti a rolí do organizace
- zavedení systematického řízení bezpečnosti informací
- zavedené bezpečnostní politiky a standardy
- role a odpovědnosti (CISO/IT, vlastníci systémů)
- pravidelný reporting vedení
- řízení výjimek
Systematické řízení rizik
- identifikace kritických problémů, aktiv a procesů
- metodika pro řízení rizikrisk metodika + registry rizik
- pravidelné hodnocení (aspoň ročně)
- vazba na zdroje (aktiva)
HR bezpečnost, řízení přístupu k informacím
- prověřování, nástup, vzdělávání a přidělování oprávnění v souladu s jejich pracovním zařazením (na základě role)
- prověřování (screening) před nástupem
- nástup zaměstnance: přidělení správného oprávnění a proškolení a to včetně oprávnění přístupu do prostor firmy
- odchod: odebrání přístupů při odchodu, mlčenlivost
- změny práv při změně role
- evidence předaného / vráceného vybavení
- ošetření ochrany dat, intelektuálního vlastnictví a případně konkurenční doložky v pracovních smlouvách
Řízení IT aktiv (řízení Informačních technologií) - ITSM / ITAM
- kompletní evidence HW/SW/SaaS/účtů, aktuální informace o vašem IT prostředí
- lifecycle: pořízení–změny–vyřazení (včetně mazání dat)
- údržba, a provozní deník nad jednotlivými prvky IT
- pravidelné zálohy důležitých dat
- řízení bezpečnosti informací a dat: mazání, šifrování přenosu
- pravidelně aktualizace software, a firemních aplikací
- pořízení - volba správné a bezpečné technologie
- monitoring
Vzdělávání lidí, povědomí o bezpečnosti, kultura bezpečnosti
- zavedené vstupní školení zaměstnanců (v rámci onboardingu)
- simulace útoků
- zavedený pravidelný trénink a školení stávajících zaměstnanců
- zavedená kultura bezpečnostii (kybernetická hygiena, politika hesel, účtů, ochrany koncových zařízení)
Řízení dodavatelů nakupovaných služeb (Supply chain)
- seznam dodavatelů a dodávaných služeb + kritičnost
- security požadavky ve smlouvách, ošetřené smlouvy s dodavateli - SLA, NDA, exit
- hodnocení klíčových dodavatelů
- mějte pod kontrolou pracovníky dodavatelů, kteří mohou přistupovat k vašim datům a aktivům
Incident management (IR) a hlášení, Zvládání incidentů a řízení kontinuity
- systém hlášení incidentů incidentů
- eskalační procedury + kontaktní body + komunikace
- post-incident review
- krizová komunikace
Business Continuity & DR (odolnost služeb)
- obnova, reakce na havárie
- obnova procesů
- BCP/DRP pro klíčové služby
- RTO/RPO cíle dle kritičnosti
- pravidelné testy obnovy
Bezpečné pořizování nových technologií a řízení změn
- bezpečnostní požadavky na nové systémy
- řízené změny/konfigurace + rollback
- schvalování výjimek a změn
- pod kontrolou změny ve vašem IT prostředí (musíte znát dopady změn)
Měření účinnosti, audit, zlepšování
- KPI/KRI pro bezpečnost
- interní audity / pen-testy dle rizik • review vedením • plán nápravných opatření