Externí bezpečnostní manažer: Flexibilní řešení, jeho výhody a nevýhody

Regulatorní tlak v oblasti kybernetické bezpečnosti

Současné prostředí kybernetické bezpečnosti je výrazně ovlivněno rostoucím regulačním tlakem. V rámci Evropské unie byly zavedeny přísné regulace, jako je nařízení Digital Operational Resilience Act (DORA) zaměřené na finanční sektor, které po řadě finančních institucí a jejích dodavatelích vyžaduje vysoké standardy bezpečnosti a provozní odolnosti vůči kybernetickým útokům.

Směrnice NIS2 rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na více sektorů a zvyšuje požadavky na oznamování incidentů a implementaci ochranných opatření.

V brzké době se také očekává přijetí Cyber Resilience Act, který zpřísní požadavky na zabezpečení produktů a služeb s digitálním prvkem.

Pro nastavení, kontrolu či zajištění denního fungování systému kybernetické bezpečnosti a odolnosti, a také pro zajištění souladu s těmito právními požadavky, se tak mnoho organizací obrací na externí odborníky. Můžeme se setkat s pojmy jako externí nebo virtuální Chief Information Security Officers (CISO).

Kdo je to externí CISO?

Externí nebo virtuální CISO je odborník na kybernetickou bezpečnost, který poskytuje své služby na částečný úvazek nebo projektové bázi. Jako profesionál v oboru kybernetické bezpečnosti a provozní odolnosti přináší odborné znalosti a zkušenosti z různých odvětví, což umožňuje rychlé nasazení bezpečnostních opatření a zajištění souladu s legislativními požadavky dle specifických potřeb každé organizace.

Typické služby externího CISO zahrnují:

• Návrh a implementace bezpečnostní strategie: Externí CISO připravuje strategii šitou na míru potřebám konkrétní organizace, identifikuje rizika a zavádí opatření ke snížení hlavních zranitelností.

• Zajištění souladu s regulatorními požadavky: Externí CISO navrhuje opatření a postupy, aby organizace splňovala veškeré relevantní regulace a standardy, čímž minimalizuje právní rizika.

• Dohled nad kybernetickými riziky: Externí CISO průběžně sleduje a analyzuje potenciální hrozby relevantní pro jeho klienty a spolupracuje na přípravě krizových plánů na jejich zvládnutí.

• Podpora rozhodování při incidentech: Externí CISO se podílí na vyhodnocování závažných kybernetických incidentů a metodicky usměrňuje jak jejich řešení, tak přijetí nápravných opatření.

• Školení a zvyšování povědomí: Externí CISO často vede školení zaměstnanců a zvyšuje jejich povědomí o kybernetických hrozbách, což je klíčové zejména pro prevenci incidentů.

Výhody a nevýhody externího CISO

Využití externího odborníka pro metodické či praktické řízení kybernetické bezpečnosti v organizaci má svá pozitiva, ale může mít i negativní aspekty, na které musí organizace myslet.

Jaké jsou výhody využití externího bezpečnostního manažera?

1. Nezávislý pohled a specializovaná expertíza:

   • Externí CISO nabízí objektivní a nezaujatý pohled na bezpečnostní strategii a skutečný stav fungování organizace, přičemž využívá zkušeností z různých odvětví.

   • Přináší osvědčené postupy, které mohou být rychle přizpůsobeny specifickým potřebám organizace.

2. Flexibilita a škálovatelnost:

   • Organizace může podle potřeby upravit rozsah služeb externího CISO, což je výhodné pro zvládnutí krátkodobých i dlouhodobých projektů.

   • Tento přístup umožňuje organizaci lépe řídit náklady a zaměřit se na klíčové oblasti v době zvýšeného rizika.

3. Přístup k nejnovějším trendům a technologiím:

   • Externí CISO přináší přehled o nejnovějších trendech v oblasti kybernetické bezpečnosti, čímž organizaci pomáhá efektivně využívat aktuální technologie a postupy.

   • Rychlá implementace ověřených technologií a strategií zajišťuje vyšší úroveň ochrany klíčových aktiv organizace.

4. Potenciální úspora nákladů:

   • Pro menší firmy může být externí CISO nákladově efektivnější, než hledání a zaměstnávání interního odborníka na plný úvazek.

   • Organizace platí pouze za služby, které skutečně využije, což může vést k významným úsporám.

5. Rychlé nasazení:

   • Externí CISO může okamžitě začít pracovat bez nutnosti dlouhého školení nebo adaptace, což urychluje implementaci bezpečnostních opatření.

Nevýhody externího CISO

1. Omezená dostupnost:

   • Externí CISO nemusí být vždy dostupný v případě potřeby (na místě či online), což může prodloužit reakční dobu během incidentů či krizových situací.

   • Některé situace mohou vyžadovat fyzickou přítomnost, kterou externí odborník nemusí vždy (rychle) zajistit.

2. Integrace do firemní kultury:

   • Externí odborník nemusí být plně obeznámen s firemní kulturou a interními procesy, včetně těch neformálních, což může ztížit implementaci některých bezpečnostních strategií a konkrétních opatření.

   • Budování důvěry a efektivní spolupráce s interním týmem může trvat delší dobu než v případě interního zaměstnance.

3. Bezpečnostní rizika:

   • Sdílení citlivých informací s externím partnerem vždy představuje riziko úniku interních informací, které musí být dostatečně ošetřeno.

   • Organizace musí zajistit důkladné smluvní ujednání a řízení přístupu k citlivým informacím.

4. Kontinuita a loajalita:

   • Externí CISO je často najímán na krátkodobé projekty, což může ovlivnit kontinuitu při zavádění či řízení kybernetické bezpečnosti.

   • Interní zaměstnanec může mít vyšší úroveň loajality a lepší pochopení dlouhodobých cílů organizace.

Struktura nákladů: Externí a interní CISO

Náklady na interního CISO zahrnují plat, benefity, školení, certifikace a infrastrukturu, což může být finančně náročné. Interní CISO však nabízí lepší integraci do organizace a vyšší kontinuitu v bezpečnostních strategiích.

Externí CISO poskytuje flexibilitu v cenách a rozsahu služeb, což může být (pro střední a menší) organizace finančně výhodné. Platí se pouze za služby, které jsou v daný okamžik skutečně potřebné a využívané, což vede k úsporám a rychlé implementaci bezpečnostních opatření.

Kritéria pro výběr externího CISO

Bezpečnostní a kybernetická rizika a hrozby mají jednoznačně vzrůstající tendenci. Stejně tak se rozšiřuje záběr a požadavky souvisejících regulací. Počet odborníků na kybernetickou bezpečnost však takovýmto tempem bohužel nestoupá. Po externím bezpečnostním manažerovi se proto ohlíží stále více soukromých i veřejnoprávních organizací.

Jaká hlavní kritéria pro výběr externího CISO by měla organizace zohlednit?

1. Odborné zkušenosti a certifikace: Kandidát by měl mít doložitelné zkušenosti, nejlépe ze sektorů a oblastí podobných těm, ve kterých organizace působí, a relevantní certifikace jako CISSP nebo CISM.

2. Znalost legislativy: Znalost regulací jako GDPR, DORA, NIS2 a jeho česká transpozice (současný i připravovaný zákon o kybernetické bezpečnosti a jejich prováděcí vyhlášky) a Cyber Resilience Act je (pro většinu sektorů) nezbytná.

3. Komunikace a prezentace: Schopnost efektivně komunikovat s vedením a dalšími klíčovými zaměstnanci a přesvědčivě prezentovat bezpečnostní strategie a opatření.

4. Prokazatelné úspěchy: Reference a úspěšně realizované bezpečnostní projekty jsou důležitým indikátorem kompetence kandidáta.

Využívání externího CISO je běžnou praxí!

V Evropské unii se trend využívání externích CISO a podobně poskytovaných bezpečnostních služeb stále zvyšuje. Platí to nejen pro malé a střední podniky, ale i pro velké organizace. Tento trend je reakcí na stále složitější regulace a rostoucí hrozby v digitálním prostoru.

V Nizozemsku a Estonsku, které jsou považovány za lídry v digitalizaci a kybernetické bezpečnosti, využívá externí bezpečnostní služby včetně role CISO přibližně 45 % malých a středních podniků. Tyto země mají dobře vyvinutou infrastrukturu pro digitální služby a zároveň se zde silně prosazují inovativní bezpečnostní přístupy.

Podle studie Evropské agentury pro kybernetickou bezpečnost (ENISA) z roku 2021 se zvyšuje počet organizací, které využívají externí bezpečnostní služby. Průzkum společnosti Forrester z roku 2022 odhalil, že 37 % evropských firem spoléhá na externí bezpečnostní experty, včetně role CISO. Tento trend je podpořen i dalšími studiemi, například IDC v roce 2023 uvedlo, že 42 % evropských organizací plánuje v příštích 12 měsících zvýšit výdaje na externí bezpečnostní služby.

Hlavní je odbornost a praktické zkušenosti

Rozhodnutí o využití externího nebo interního CISO závisí na konkrétních potřebách a rozpočtu organizace.

Externí CISO může nabídnout flexibilitu, přístup k odborným znalostem, znalost standardních postupů na trhu a potenciální úspory, zatímco interní CISO poskytuje především lepší integraci do každodenní činnosti organizace a kontinuitu. Pečlivé zvážení těchto faktorů s ohledem na skutečné potřeby organizace je zásadní pro zajištění efektivní kybernetické bezpečnosti, zajištění dostupnosti klíčových produktů a služeb a splnění základních regulatorních povinností.

Ať už se rozhodnete pro externího nebo interního CISO, je klíčové, aby tato role byla obsazena kompetentním odborníkem, který je schopen navigovat organizaci skrze složité a stále se vyvíjející kybernetické hrozby.