Často kladené otázky
Je možné vykonávať rolu manažéra kybernetickej bezpečnosti dodávateľským spôsobom?
V oblasti riadenia informačnej bezpečnosti je roky zachovaný princíp, podľa ktorého je štatutárna zodpovednosť za riadenie bezpečnosti (z angl. „Security Governance“) oddelená od výkonnej zodpovednosti za riadenie bezpečnosti (z angl. „Security Operations“).
Kým riadiaca autorita reprezentuje štatutárnu zodpovednosť (Security Governance), manažér kybernetickej bezpečnosti na výkonnej úrovni zodpovedá za každodenné bežné činnosti v oblasti informačnej a kybernetickej bezpečnosti (Security Operations), ktoré sú potenciálne riešiteľné formou zmluvnej zodpovednosti.
Dá sa preto tvrdiť, že výkon niektorých úloh v kybernetickej bezpečnosti (t. j. výkonnú zodpovednosť) je možné obstarať ako službu vykonávanú dodávateľským spôsobom, ktorej parametre sú merateľné a ktoré je možné zazmluvniť prostredníctvom dohody o úrovni služieb (SLA). Zmluva s externým manažérom kybernetickej bezpečnosti môže určovať konkrétne sankcie pre prípad porušenia zmluvou mu uloženej povinnosti. Je si však potrebné uvedomiť, že ide o zmluvnú zodpovednosť, ktorá sa od zákonnej zodpovednosti líši.
Je možné vykonávať riadenie bezpečnosti dodávateľským spôsobom?
V zmysle Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností. Obdobne to platí aj pre starostov obcí a primátorov miest, ktorým táto zodpovednosť vyplýva z osobitných právnych predpisov (napr. zákon o obecnom zriadení).
Povinnosť štatutárneho orgánu konať s odbornou starostlivosťou vyžaduje, aby si štatutár pri konkrétnom rozhodovaní zaobstaral a vyhodnotil všetky objektívne dostupné informácie, týkajúce sa predmetu konkrétneho rozhodovania. Následne sa má štatutár náležite rozhodnúť v kontexte týchto informácií a vlastnej profesionality ako predpokladu pre výkon funkcie. Z uvedeného explicitne vyplýva, že bez ohľadu na druh a rozsah outsourcovaných činností, zákonná (štatutárna) zodpovednosť za riadenie bezpečnosti (Security Governance) patrí prevádzkovateľovi základnej služby a jeho štatutárnemu orgánu. Niektoré zákonné zodpovednosti nie je možné zmluvne preniesť na tretiu stranu, ani sa ich efektívne vzdať. Preto zmluva s manažérom kybernetickej bezpečnosti, ako ani samotná rola manažéra kybernetickej bezpečnosti, nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu (napr. zo štatutárneho orgánu na manažéra kybernetickej bezpečnosti).
Zákonnú zodpovednosť štatutárneho orgánu nie je možné outsourcovať, resp. jej outsourcing štatutárny orgán zodpovednosti nezbaví.
Aké sú typické úlohy manažéra kybernetickej bezpečnosti?
Najmä v komerčnom prostredí sa rola manažéra kybernetickej bezpečnosti zvyčajne uvádza pod skratkou CISO (z anglického Chief Information Security Officer). Úlohy a spôsob vykonávania úloh CISO sú predmetom veľkého množstva odborných článkov, štúdií a prezentácií. A tieto úlohy sú závislé od špecifickej kultúry organizácie a konkrétneho odvetvia.
Vo všeobecnosti CISO zaisťuje ochranu informačných aktív organizácie implementáciou a riadením procesov informačnej a kybernetickej bezpečnosti. Organizuje výkon činností organizácie, súvisiaci so zaručením bezpečnosti informačných aktív v zmysle najlepšej praxe, najmä:
- koncepčne riadi informačnú a kybernetickú bezpečnosť organizácie,
- navrhuje požiadavky na rozpočet a na iné zdroje súvisiace s bezpečnostnými opatreniami a procesmi,
- zabezpečuje implementáciu technických a organizačných bezpečnostných opatrení,
- riadi bežnú prevádzku technických bezpečnostných opatrení,
- riadi integráciu bezpečnostných technológií s cieľom tvorby efektívnych bezpečnostných opatrení na ochranu informačných aktív a základných služieb organizácie,
- zaručuje udržateľnosť organizačných opatrení vrátane vyspelosti bezpečnostných procesov,
- implementuje a zabezpečuje riadny chod procesov riadenia bezpečnostných rizík a ošetrovania bezpečnostných hrozieb,
- navrhuje zmeny a optimalizáciu bezpečnostných riešení,
- z pozície garanta, resp. z pozície projektového manažéra vedie bezpečnostné projekty, napr. implementáciu nových bezpečnostných technológií do prostredia organizácie,
- riadi informačnú a kybernetickú bezpečnosť vo vzťahu s dodávateľmi a pri obstarávaní, projektovaní a vývoji softvéru a systémov,
- riadi bezpečnostnú architektúru organizácie, vypracúva odborné stanoviská k novým zmenám v IT infraštruktúre organizácie, ktoré môžu mať potenciálny vplyv na bezpečnosť informačných aktív organizácie,
- zabezpečuje proces riadenia informačných aktív organizácie v kontexte zaručenia ich bezpečnosti (tzv. IT Asset Management),
- zabezpečuje návrh a aplikáciu metodík pre klasifikáciu informačných aktív a kategorizáciu sietí a informačných systémov,
- zabezpečuje návrh metodík a riadi procesy obnovy prevádzkových činnosti (tzv. Business Continuity Management) vrátane metodík v procesoch plánovania havarijnej obnovy systémov (tzv. Disaster Recovery Planning),
- navrhuje metriky a kľúčové indikátory pre sledovanie vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík (KPI, KRI),
- riadi proces hodnotenia technických zraniteľností systémov,
- riadi procesy detekcie, riešenia a prevencie kybernetických bezpečnostných incidentov,
- zabezpečuje budovanie bezpečnostného povedomia pre oblasť informačnej a kybernetickej bezpečnosti a ochrany osobných údajov,
- zabezpečuje tvorbu a aktualizáciu interných bezpečnostných politík, štandardov a procedúr organizácie,
- vyhodnocuje plnenie vnútorných predpisov súvisiacich s riadením bezpečnosti informačných aktív,
- zabezpečuje poskytovanie súčinnosti internému a externému auditu informačnej a kybernetickej bezpečnosti,
- riadi procesy zaručenia súladu (tzv. compliance management) v oblasti informačnej a kybernetickej bezpečnosti.