O2: Pověřit kyberbezpečností IT oddělení nemusí být šťastné manažerské rozhodnutí

Do toho ještě přichází chystaná evropská směrnice NIS 2, která povinnost splňovat kritéria kybernetické bezpečnosti rozšiřuje na podstatně více firem včetně celých jejich dodavatelských řetězců než její předchůdkyně z roku 2016. V platnost vstoupí v roce 2023 a do naší národní legislativy se propíše o rok později.

Přeškolit pracovníky IT se může prodražit

Vlastního odborníka na kyberbezpečnost si nemůže dovolit každá firma. Dlouhé studium, specifické znalosti a vysoká poptávka po jejich kapacitách tlačí jejich mzdy nahoru. A zdaleka ne všechny firmy, které si vlastního kybersecurity pracovníka můžou dovolit, mají možnost nějakého najmout. Je jich totiž opravdu málo.

Odborníci na kyberbezpečnost se dříve rekrutovali z různých příbuzných oborů, dnes už ale mají své speciální kurzy a studijní programy, třeba na Vysoké škole báňské v Ostravě nebo na Vysokém učení technickém v Brně. Ty ale nechrlí zdaleka tolik odborníků, kolik jich rychle zdigitalizovaný pracovní trh potřebuje.

„A nemůže se o to postarat naše IT?“ napadne často management firem ve snaze najít to nejschůdnější řešení. IT odborníci se ale od odborníků na kyberbezpečnost v kompetencích zásadně liší a představa, že jsou jejich role zaměnitelné, je ve většině případů lichá. Ajťák vám sice nainstaluje Windowsy, bezpečnost vaší sítě ale zajistí mnohem obtížněji.

Odborník na kyberbezpečnost musí znát zabezpečení používaných platforem i rozumět počítačové kriminalistice. Mít zkušenosti s forenzní analýzou, řízením bezpečnostních incidentů, penetračním testováním i správou bezpečnostních systémů, jako je firewall, antivir či IDPS. A hlavně musí mít koncepční a analytické myšlení, aby tuhle pozici zaštítil a dokázal navrhnout a prosadit bezpečnostní strategii.

Přehodit celou kyberbezpečnostní agendu na IT není neprůchozí, je ale třeba počítat s náklady navíc. Kromě časově i finančně náročných školení musí firmy samozřejmě navýšit kapacitu svého IT oddělení, aby se s novou agendou popasovalo. Pro IT odborníky to často může znamenat, že se snaží sedět na dvou židlích současně. S tím se může pojit i tříštění pozornosti a ve finále větší chybovost.

„Klíčová je pak podpora vedení společnosti a mandát, který bezpečnost má. I proto by mělo být oddělení bezpečnosti umístěno v organizační struktuře co nejblíže vedení, ideálně prostřednictvím bezpečnostního ředitele, resp. CISO, reportujícího přímo CEO, “ dodává k tématu Radek Šichtanc, ředitel bezpečnosti v O2.

Pomůže outsourcovat?

V takové ne zrovna příjemné situaci se ocitají všechny firmy. Některé hledají vlastní experty, jiné včlenily oblast kyberbezpečnosti pod své IT a další jsou rády, že si kyberpezpečnost můžou outsourcovat jako službu.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je outsourcing dokonce nejčastějším postupem, jak firmy s nedostatkem odborníků v současnosti bojují. Ve finále to může být nejméně nákladné a zároveň intuitivní řešení nejen pro menší a střední podnikatele.

Firem, které vám zajistí komplexní kyberpezpečnost na klíč, je už na trhu celá řada a většinou umí upravit možnosti a podmínky přímo na míru vašemu podnikání.

Co si z článku odnést ?

• S rostoucí digitalizací roste počet bezpečnostních hrozeb.
• I když mají vlastní studijní obory, je odborníků na kyberbezpečnost na trhu nedostatek. Když už jsou, málokterá firma si je může dovolit.
• Firmy často mají pocit, že IT odborníci a ti na kyberbezpečnost mají podobné kompetence a jsou zastupitelní. Je to ale složitější.
• Firmy zjistily, že přeškolit ajťáky a přidat jim další agendu může být velmi nákladné.
• Situaci mnoha firem vyřešil outsourcing kyberbezpečnosti jako služby. Pochvalují si hlavně nižší náklady, pružnost služeb i nepřetržitost bezpečnostního dohledu.