Kybernetická bezpečnost firem se dnes musí řídit z té nejvyšší úrovně řízení. Nestačí jen mít schopného technika nebo administrátora – bezpečnostní strategie je efektivní teprve tehdy, když se o ní mluví u jednoho stolu s vedením.
Základem kybernetické odolnosti organizace je zdravá firemní kultura, která podporuje otevřenost a spolupráci. Pokud se zaměstnanci bojí upozornit na problém nebo nemají jistotu, že se jejich hlášení bere vážně, i sebelepší technická opatření selžou.
Když se lidé cítí bezpečně při oznamování incidentů a chyby se vnímají jako příležitost k učení, firma získává skutečnou výhodu – kolektivní ostražitost. V mnoha českých firmách se přístup mění: Z formálního školení se stává aktivní komunikace o tom, proč je bezpečnost společnou odpovědností všech, nejen IT oddělení.
Mnoho firem má dnes svého CISO (Chief Information Security Officer, manažer informační bezpečnosti, pozn. red.), ale skutečná efektivita závisí na tom, zda mu naslouchá i vedení. Pokud si management nerozumí s bezpečnostními odborníky, ztrácí firma schopnost reagovat na rizika včas.
Členové představenstva by měli chápat základní principy a metriky kyberbezpečnosti, aby mohli činit informovaná rozhodnutí. Nestačí spoléhat na to, že to „někdo pohlídá“ – vedení nese odpovědnost za celou organizaci.
Některé společnosti už proto zavedly školení pro management zaměřené nikoli na technické detaily, ale na simulace útoků či krizové řízení. Tato praktická cvičení dokazují, že vzdělané vedení dokáže během reálného incidentu reagovat rychleji a efektivněji.
Evropská směrnice NIS2 jasně stanovuje, že za kybernetickou bezpečnost nese odpovědnost statutární orgán společnosti. To znamená, že vedení musí mít přehled o rizicích, jasně rozdělené role a dostatek zdrojů pro realizaci bezpečnostní strategie. Nejde o formalitu – manažeři mohou nést přímou odpovědnost za zanedbání povinností.
Proto je klíčové, aby CISO a vedení spolupracovali v partnerství, ne v hierarchii. Jako osvědčený model se ukazuje zřízení interních „kybernetických rad“, v nichž se pravidelně setkávají CISO, členové představenstva i vedoucí provozu. Tento formát podporuje informované rozhodování a přenáší odpovědnost z úzkého IT oddělení na celou organizaci.
Bezpečnostní strategie není jednorázovým projektem. Aby zůstala funkční, musí být pravidelně testována, aktualizována a měřena. Firmy, které provádějí pravidelné simulace incidentů, tzv. tabletop cvičení, dokáží často odhalit slabá místa dřív, než se projeví v praxi. Bez kontinuálního řízení se i dobře nastavená opatření rychle stanou zastaralými. Kyberbezpečnost je nikdy nekončící proces.
Menší a střední firmy často nemají kapacity na vlastní pozici CISO, přesto potřebují odborné vedení v oblasti bezpečnosti. Řešením je model CISO jako služba, který umožňuje spolupráci s externím expertem na částečný úvazek. Tento přístup firmě poskytuje strategické řízení kyberbezpečnosti, dohled nad legislativními povinnostmi, školení zaměstnanců i reporting vůči vedení a regulátorům.
Kyberútoky přicházejí dnes a denně – a většina z nich cílí právě na lidskou chybu nebo nedostatečné procesy. Firmy, které se věnují prevenci, investují do vzdělávání a mají jasně definované krizové scénáře, ztrácejí méně času, peněz i reputace.
Kyberbezpečnost dnes není otázkou technologií, ale řízení a důvěry. Tam, kde spolu CISO a vedení otevřeně komunikují, vzniká prostředí, které dokáže čelit i složitým krizím. V konečném důsledku jde o vztah mezi lidmi – o ochotu naslouchat, sdílet informace a učit se. Právě to rozhoduje o tom, zda firma zůstane odolná i v době, kdy digitální hrozby nikdy nespí.
Autor je odborník společnosti BDO na kyberbezpečnost
(Redakčně upraveno)
