Jak stará jsou vaše rizika?

Pamatujete si ještě, když se objevila zranitelnost Heartbleed a ohrozila vaši organizaci? Nyní mohou mít za následek podobné ohrožení technologie od společností Huawei a ZTE. V obou případech se jednalo o rizika, a proto je nasnadě otázka, jak se s nimi vypořádává vaše analýza rizik. Dokáže nově identifikovanou hrozbu reflektovat a v zítřejším reportu uvidíte o kolik rizikovější je nedostupnost nebo odposlech vámi spravované infrastruktury? Nikoliv? Pak vaše analýza rizik rozhodně není dostatečně flexibilní.

V souvislosti s kampaní ohrožených technologií Huawei se na nás obrátil jeden z našich dlouholetých zákazníků. Během krátké doby měl zohlednit tuto hrozbu v jím prováděné analýze rizik. Požadavkem zákazníka bylo vyhovět úřadu a zároveň zjistit, zda tuto hrozbu musí ve srovnání s ostatními hrozbami řešit prioritně či nikoliv. Naši konzultanti nejprve analyzovali stávající způsob řízení informačních rizik a hrozbu v něm zohlednili. Také se však zaměřili na slabá místa celého procesu, jako např. pravidelné aktualizace seznamů aktiv, chybějící vazby mezi jednotlivými aktivy, a definice odpovědností jednotlivých uživatelů v rámci procesu řízení rizik. Prvním klíčovým poznatkem pro zákazníka byl výstup z analýzy rizik, ze kterého usoudil, že aktuální hrozba v celém kontextu organizace nepatří k nejzávažnějším a může být vyřešena s časovým odstupem. Druhým důležitým poznatkem pak bylo naše doporučení pro zavedení integrovaného systému pro řízení GRC (tzv. Governance, Risk, Compliance), který by odstranil slabá místa v procesu řízení rizik a umožnil flexibilně reagovat na nově vzniklá rizika. V průběhu půl roku jsme u zákazníka tuto novou technologii zavedli a celý proces řízení rizik do něj integrovali. U zákazníka se nový přístup k řízení rizik natolik zalíbil, že se rozhodl GRC nástroj rozšířit i pro oblast auditu a souladu s GDPR.

GRC se ukázal jako vhodný nástroj nejen pro pokrytí procesů řízení informačních aktiv a rizik, nýbrž i dalších činností spojených s řízením organizace. Společnost díky jeho používání sdílí a využívá v něm uložené informace napříč odděleními. Informace jsou pravidelně aktualizovány, což vede k zefektivnění všech činností ve společnosti a, ve svém důsledku, šetří náklady.

Popis řešení

GRC nástroje zastřešují podporu řízení organizace, rizik a souladu a představují komplexní řešení poskytující každé organizaci podporu pro zlepšení úrovně bezpečnosti. Jádrem tohoto nástroje je databáze informačních aktiv a propracovaný proces řízení informačních rizik, nad kterými jsou vystaveny další agendy jako řízení souladu, řízení dodavatelských vztahů, řízení incidentů a zranitelností aj.

GRC nástroje navíc disponují širokou škálou integračních a automatizačních možností, čímž udržují data aktuální a úplná.

V rámci naší dodávky však nikdy necílíme pouze na implementaci GRC nástroje. V prvé řadě se zaměřujeme na revizi a zkvalitnění procesů. Uvědomujeme si, že kvalitní proces je základem transformace dat na hodnotné výstupy.

Přínosy našeho řešení

Naše řešení má smysl, protože:

• Aktuální a provázaná data spolu s automatizovanými procesy umožňují včasnou reakci.
• Revidujeme a optimalizujeme procesy řízení informační bezpečnosti.
• Zavedení systému napomáhá k zvýšení kvality zpracovávaných dat.
• Díky němu optimalizujeme náklady na řízení informační bezpečnosti.
• Vytvoříme centralizované místo pro uchovávání a sdílení informací ve společnosti.
• Naše řešení je flexibilní, umožňuje širokou paletu využití a podporuje spolupráci jednotlivých oddělení.

Reference​