Ing. and Ing. Martin Drastich, MBA, Ph.D., se zabývá bezpečností informací a ochranou osobních údajů více než 15 let. Dosáhl pozice Senior Auditor a je členem několika certifikačních orgánů pro systémy managementu a automobilový průmysl. V současnosti je Lead Auditor v přední automobilové společnosti v oblastech ISMS, CSMS, SUMS a TISAX.
Během své praxe jste se jako auditor bezpečnosti informačních systémů setkal s řadou klientů. Můžete se pokusit obecně shrnout, jak vážně vnímají jednotlivé společnosti problematiku informační bezpečnosti?
Odpovědné společnosti si uvědomují, že každá informace má svoji hodnotu a musí se náležitě chránit. Stále častěji se stává, že zákazníci vyžadují certifikaci na bezpečnost informací v systémech managementu, automobilovém průmyslu (TISAX – Trusted Information Security Assessment Exchange) nebo některé spadají pod zákon o kybernetické bezpečnosti. Vrcholem kariéry auditora bezpečnosti informací v ČR je stát se Lead Auditor ve Škoda Auto a.s.
Setkal jsem se i se zákazníky, kteří zastávají názor „zatím se nám nic nestalo“, tak proč bychom měli investovat do zabezpečení informací? Vždy si vzpomenu na vtipné moudro, že uživatelé se dělí na 2 skupiny. Ti, co zálohují, a ti, co ještě nepřišli o data.
Asi se shodneme, že problematika informační bezpečnosti nabývá na významu. Co byste ze svého pohledu doporučil těm, kdo s problematikou informační bezpečnosti chtějí začít?
Význam bezpečnosti vidíme všude kolem nás. Příkladem může být medializovaný útok na Benešovskou nemocnici, který způsobil „vypnutí“ nemocnice na jeden měsíc s odhadovanou škodou 60 mil. Kč. Na tomto příkladu můžeme vidět, že investice do zabezpečení a školení zaměstnanců by stála zlomek této sumy. Ze své 15leté praxe s implementací a auditováním bezpečnosti informací (ISO/IEC 27001:2013, TISAX) musím doporučit vybrat si zkušeného konzultanta. Problematika je široká, nelze ji zvládnout přenesením odpovědnosti na vedoucího IT oddělení, manažera kvality nebo personalistu. A to z důvodu toho, že problematika zasahuje do oblastí fyzické bezpečnosti, organizační bezpečnosti, personální bezpečnosti, ICT bezpečnosti (infrastruktura, SW, HW, zálohování BCM, DRP atd.), bezpečnosti v dodavatelských vztazích včetně souladu s právními a smluvními požadavky.
Zkušený konzultant poradí se soupisem aktiv (procesy, informace, HW, SW, lidé, fyzická místa), metodikou a provedením každoroční analýzy rizik, interním auditem, klasifikací informací, řízením bezpečnostních incidentů, monitorování a měření výkonnosti systému (KPI), školením zaměstnanců z bezpečnosti informací a přípravou potřebné dokumentace.
V oblasti kybernetické bezpečnosti jistě nejde o moc veselé historky z natáčení, ale mohl byste přesto uvést nějaké příklady, kde se společnosti dopouštějí největších chyb?
Největší chybou je, že vedení společnosti se v implementaci neangažuje (nevyčlení dostatečné lidské a finanční zdroje). Zapomíná se na ustanovení rolí (bezpečnostní manažer, bezpečnostní tým, vlastník aktiva, interní auditor atd.) včetně jejich kvalifikačních požadavků a zajištění odborného vyškolení těchto lidí. Podstatné je, aby bezpečnostní manažer měl odpovídající pozici v organizační struktuře atd. Nezbytné je samozřejmě také pravidelné proškolování uživatelů. Hrozby se stále vyvíjejí a jsou sofistikovanější a uživatelé musí vědět, na co si dávat pozor a jak reagovat. Je lehce paradoxní, že jsou povinná například požární školení, ale jak čelit hrozbám, kterým jsme vystaveni každý den, se neučíme.
Děkujeme za rozhovor.
text: Jindřich Osladil
foto: archiv Martin Drastich