Manažer kybernetické bezpečnosti zajišťuje řízení kybernetické bezpečnosti v celé její šíři ve firmě. Má na starosti jak stanovení strategie, směrnic, postupů, tak plánování opatření i koordinaci konkrétních aktivit. Nese odpovědnost za ochranu IT a dat před potenciálními hrozbami v celé firmě. Má také na starost soulad kybernetické bezpečnosti s požadavky legislativy. Při výkonu práce vychází z bezpečnostních opatření zavedených v organizaci.
Shrnutí toho, co dělá manažer bezpečnosti v malé a střední firmě
Malé a střední firmy nemají zpravidla dostatek kapacit a zdrojů pro to, aby byl manažer kybernetické bezpečnosti jako samostatná pracovní pozice. Využívají proto externích služeb a najímají, outsourcují manažera kybernetické bezpečnosti jako experta.
Kdy se vám outsourcing manažera kybernetické bezpečnosti vyplatí?
- V malé a střední firmě to není práce na plný úvazek
- Vyšší míra kvalifikace: Najatý expert využívá své znalosti, je to člověk, který se na kybernetickou bezpečnost specializuje.
- Vyřeší vysoké náklady: Při outsourcingu neživíte „celého zaměstnance“, ale hradíte jen pravidelné poplatky za službu a kapacitu experta. Podobně, jako si firmy najímají pověřence pro ochranu osobních údajů podle GDPR.
- Vyřeší specializované požadavky legislativy, jako například NIS2
Co dělá manažer bezpečnosti?
- Vytváří a udržuje bezpečnostní dokumentace a praktické směrnice
- Monitoruje kyberbezpečnostní hrozby
- Reaguje na kyber incidenty
- Školí zaměstnance v oblasti kyberbezpečnosti
- Odpovídá za kontinuitu provozu, zálohování a obnovu dat (DRP)
- Společně s IT manažerem řeší řízení přístupů zaměstnanců a aktualizaci systémů
- Eviduje IT aktiva a řeší rizika v oblasti kyberbezpečnosti
- Řeší bezpečnost IT dodavatelů
- Pravidelně testuje zranitelnosti
Jak Aptien pomůže manažerovi kybernetické bezpečnosti v jeho práci
- Centralizovaný registr rizik: Jediné místo pro dokumentaci a sledování všech identifikovaných rizik.
- Risk Assessment: Nástroje pro hodnocení pravděpodobnosti a dopadu rizik.
- Mapování a vizualizace rizik: Vizuální nástroje pro mapování a pochopení vztahů mezi riziky.
- Analýza dopadů: Vizualizace vztahů mezi aktivy, kritický řetězec
- Compliance Management: Zajišťuje dodržování regulačních požadavků a norem.
- Hlášení a sledování incidentů: Zjednodušuje proces hlášení a správy incidentů.
- Řízení úkolů a opatření: Sleduje implementaci opatření ke zmírnění rizik.
- Nástroje pro spolupráci: Usnadňuje komunikaci a koordinaci mezi členy týmu.
Manažer kybernetické bezpečnosti v malé a střední firmě
Pracovní náplň manažera kybernetické bezpečnosti
1. Řízení bezpečnostní dokumentace a politik
- Vytváří a pravidelně aktualizuje bezpečnostní směrnice, politiky a postupy (např. politika hesel, přístupů, práce z domova, BYOD).
- Nastavuje postupy pro hlášení bezpečnostních incidentů.
- Zajišťuje evidenci a řízení aktiv (hardware, software, data, cloudové služby).
2. Řízení kybernetických rizik
- Identifikuje a vyhodnocuje kybernetická rizika firmy.
- Navrhuje a realizuje opatření ke snížení rizik.
- Provádí pravidelnou revizi rizik s ohledem na nové hrozby.
3. Zabezpečení IT prostředí
- Spolupracuje s IT správcem na implementaci a správě bezpečnostních technologií (antiviry, firewally, zálohování, šifrování).
- Zajišťuje patch management (pravidelné aktualizace a záplaty).
- Nastavuje a kontroluje přístupová práva a oprávnění uživatelů.
- Monitoruje funkčnost a konfigurace bezpečnostních prvků.
4. Monitorování bezpečnosti a hrozeb
- Sleduje bezpečnostní logy, upozornění a události (např. antivirové konzole, firewall, cloudová bezpečnostní centra).
- Sleduje a vyhodnocuje nové hrozby, zranitelnosti a trendy v kybernetické bezpečnosti.
5. Reakce na bezpečnostní incidenty
- Připravuje a spravuje plán reakce na incidenty (incident response plan).
- Koordinuje řešení bezpečnostních incidentů.
- Vyšetřuje, dokumentuje a analyzuje incidenty, navrhuje nápravná a preventivní opatření.
6. Zálohování a obnova dat
- Připravuje a testuje plán obnovy po havárii (disaster recovery plan, DRP) a kontinuitu provozu.
- Zajišťuje nastavení a kontrolu pravidelného zálohování důležitých dat.
7. Školení a zvyšování povědomí zaměstnanců
- Organizuje a vede školení zaměstnanců v oblasti kybernetické bezpečnosti (např. phishing, hesla, práce z domova).
- Zajišťuje pravidelnou komunikaci a osvětu k bezpečnostním tématům.
8. Řízení bezpečnosti dodavatelského řetězce IT (supply chain security)
- Posuzuje bezpečnostní rizika dodavatelů IT služeb a cloudových služeb.
- Zajišťuje, aby smlouvy s dodavateli obsahovaly bezpečnostní požadavky a SLA.
- Koordinuje s externími bezpečnostními dodavateli a konzultanty při složitějších úkolech.
9. Testování bezpečnosti
- Zajišťuje pravidelné testování zranitelností (vlastními nástroji nebo ve spolupráci s externí firmou).
- Koordinuje penetrační testy, pokud je firma objednává (např. při implementaci nových systémů).
10. Dodržování právních a regulačních požadavků
- Sleduje a zajišťuje soulad s legislativou a standardy (např. Kybernetický zákon, GDPR).
- Připravuje podklady pro případné kontroly a audity.