Externí bezpečnostní manažer: Flexibilní řešení, jeho výhody a nevýhody

Regulatorní tlak v oblasti kybernetické bezpečnosti

Současné prostředí kybernetické bezpečnosti je výrazně ovlivněno rostoucím regulačním tlakem. V rámci Evropské unie byly zavedeny přísné regulace, jako je nařízení Digital Operational Resilience Act (DORA) zaměřené na finanční sektor, které po řadě finančních institucí a jejích dodavatelích vyžaduje vysoké standardy bezpečnosti a provozní odolnosti vůči kybernetickým útokům. 

Směrnice NIS2 rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na více sektorů a zvyšuje požadavky na oznamování incidentů a implementaci ochranných opatření. 

V brzké době se také očekává přijetí Cyber Resilience Act, který zpřísní požadavky na zabezpečení produktů a služeb s digitálním prvkem.

Pro nastavení, kontrolu či zajištění denního fungování systému kybernetické bezpečnosti a odolnosti, a také pro zajištění souladu s těmito právními požadavky, se tak mnoho organizací obrací na externí odborníky. Můžeme se setkat s pojmy jako externí nebo virtuální Chief Information Security Officers (CISO).

Kdo je to externí CISO?

Externí nebo virtuální CISO je odborník na kybernetickou bezpečnost, který poskytuje své služby na částečný úvazek nebo projektové bázi. Jako profesionál v oboru kybernetické bezpečnosti a provozní odolnosti přináší odborné znalosti a zkušenosti z různých odvětví, což umožňuje rychlé nasazení bezpečnostních opatření a zajištění souladu s legislativními požadavky dle specifických potřeb každé organizace.

Typické služby externího CISO zahrnují:

• Návrh a implementace bezpečnostní strategie

• Zajištění souladu s regulatorními požadavky

• Dohled nad kybernetickými riziky

• Podpora rozhodování při incidentech

• Školení a zvyšování povědomí

Výhody externího CISO

Využití externího odborníka pro metodické či praktické řízení kybernetické bezpečnosti v organizaci má svá pozitiva, ale může mít i negativní aspekty, na které musí organizace myslet.

Jaké jsou výhody využití externího bezpečnostního manažera?

Nezávislý pohled a specializovaná expertíza:

• Přináší osvědčené postupy, které mohou být rychle přizpůsobeny specifickým potřebám organizace.
• Externí CISO nabízí objektivní a nezaujatý pohled na bezpečnostní strategii a skutečný stav fungování organizace, přičemž využívá zkušeností z různých odvětví.

Flexibilita a škálovatelnost:

• Organizace může podle potřeby upravit rozsah služeb externího CISO, což je výhodné pro zvládnutí krátkodobých i dlouhodobých projektů.
• Tento přístup umožňuje organizaci lépe řídit náklady a zaměřit se na klíčové oblasti v době zvýšeného rizika.

Přístup k nejnovějším trendům a technologiím:

• Externí CISO přináší přehled o nejnovějších trendech v oblasti kybernetické bezpečnosti, čímž organizaci pomáhá efektivně využívat aktuální technologie a postupy.
• Rychlá implementace ověřených technologií a strategií zajišťuje vyšší úroveň ochrany klíčových aktiv organizace.

Potenciální úspora nákladů:

• Pro menší firmy může být externí CISO nákladově efektivnější, než hledání a zaměstnávání interního odborníka na plný úvazek.
• Organizace platí pouze za služby, které skutečně využije, což může vést k významným úsporám.

Rychlé nasazení:

• Externí CISO může okamžitě začít pracovat bez nutnosti dlouhého školení nebo adaptace, což urychluje implementaci bezpečnostních opatření.

Struktura nákladů: Externí a interní CISO

Náklady na interního CISO zahrnují plat, benefity, školení, certifikace a infrastrukturu, což může být finančně náročné. Interní CISO však nabízí lepší integraci do organizace a vyšší kontinuitu v bezpečnostních strategiích.

Externí CISO poskytuje flexibilitu v cenách a rozsahu služeb, což může být (pro střední a menší) organizace finančně výhodné. Platí se pouze za služby, které jsou v daný okamžik skutečně potřebné a využívané, což vede k úsporám a rychlé implementaci bezpečnostních opatření

Kritéria pro výběr externího CISO

Bezpečnostní a kybernetická rizika a hrozby mají jednoznačně vzrůstající tendenci. Stejně tak se rozšiřuje záběr a požadavky souvisejících regulací. Počet odborníků na kybernetickou bezpečnost však takovýmto tempem bohužel nestoupá. Po externím bezpečnostním manažerovi se proto ohlíží stále více soukromých i veřejnoprávních organizací.

Jaká hlavní kritéria pro výběr externího CISO by měla organizace zohlednit?

• Odborné zkušenosti a certifikace: Kandidát by měl mít doložitelné zkušenosti, nejlépe ze sektorů a oblastí podobných těm, ve kterých organizace působí, a relevantní certifikace jako CISSP nebo CISM.

• Znalost legislativy: Znalost regulací jako GDPR, DORA, NIS2 a jeho česká transpozice (současný i připravovaný zákon o kybernetické bezpečnosti a jejich prováděcí vyhlášky) a Cyber Resilience Act je (pro většinu sektorů) nezbytná.

• Komunikace a prezentace: Schopnost efektivně komunikovat s vedením a dalšími klíčovými zaměstnanci a přesvědčivě prezentovat bezpečnostní strategie a opatření.

• Prokazatelné úspěchy: Reference a úspěšně realizované bezpečnostní projekty jsou důležitým indikátorem kompetence kandidáta.

Využívání externího CISO je běžnou praxí!

V Evropské unii se trend využívání externích CISO a podobně poskytovaných bezpečnostních služeb stále zvyšuje. Platí to nejen pro malé a střední podniky, ale i pro velké organizace. Tento trend je reakcí na stále složitější regulace a rostoucí hrozby v digitálním prostoru.

Podle studie Evropské agentury pro kybernetickou bezpečnost (ENISA) z roku 2021 se zvyšuje počet organizací, které využívají externí bezpečnostní služby. Průzkum společnosti Forrester z roku 2022 odhalil, že 37 % evropských firem spoléhá na externí bezpečnostní experty, včetně role CISO. Tento trend je podpořen i dalšími studiemi, například IDC v roce 2023 uvedlo, že 42 % evropských organizací plánuje v příštích 12 měsících zvýšit výdaje na externí bezpečnostní služby.

Článek v plné verzi naleznete na GDPR.cz.