Kyberbezpečnost ve vaší škole VI.
6. Důležitá otázka pro ředitele školy: Jak rozvíjet kyberbezpečnostní pozici organizace?
V prvních pěti částech seriálu Kyberbezpečnost ve vaší škole jsme procházeli proces řízení informačních rizik: od rychlého posouzení aktuálního stavu přes poznání hrozeb a modelového hackerského útoku až po formování organizace obrany a využití podpůrných technologií a služeb. Dokážeme si představit následky útoku a víme, že naším prvořadým úkolem je tyto následky mírnit a předcházet jim.
Cílem bylo získat základní poznání problematiky a schopnost ředitele školy uchopit řízení informační bezpečnosti – byť k tomu bude často zapotřebí poradenská pomoc. To je ale v řízení organizace běžná věc: statutár, ředitel nebo CEO není odborníkem na všechny činnosti, které řízení obnáší, nemusí být ani odborníkem na služby poskytované organizací. Přesto musí být schopen se ve všem patřičně orientovat, řídit a úkolovat podřízené, kteří mohou mít v dané oblasti více znalostí.
Záměrně říkám „uchopit řízení informační bezpečnosti“, protože jde o něco nového, co neznali ani nepotřebovali naši předchůdci třeba před dvaceti lety – pro mnohé z nás jde o změnu, k níž došlo v průběhu kariéry. Tou dobou ještě nebyla IT technika a služby rozvinuté natolik, že by to lákalo kriminální podsvětí k jejich nekalé činnosti. Dnes je to naopak: hackerské útoky a podvodné techniky se stávají dominantou organizovaného zločinu.
Je jasné, že svět kyberbezpečnostních rizik je velmi dynamický. Do budoucnosti tomu nebude jinak. Co z toho vyplývá pro manažery?
Nutnost trvalého rozvoje kyberbezpečnostní pozice organizace.
Nebude tedy stačit zavést nová opatření a pořídit adekvátní technologie. Řídit informační rizika, věnovat se řízení informační bezpečnosti a správy informačních aktiv se musíme věnovat kontinuálně. Nejde ani tak o denní činnost ředitele, ale o schopnost vést svůj tým tak, aby momentální stav ochrany vždy odpovídal aktuálním rizikům. Pro úspěšné řízení trvalého rozvoje si můžeme vypůjčit tzv. Demingův cyklus PDCA – metodologii, která je obecně užitečná pro řízení všech aktivit, které vyžadují trvalé zdokonalování tolik potřebné v informační bezpečnosti.
Nepůjdeme zde do detailu cyklu (na internetu při zadání „Demingův cyklus“ lze snadno najít více informací). Důležité je si uvědomit nutnost cyklického zlepšování.
Proč? Důvodů je více.
Jedním z nich je rozšiřování intenzity využití IT techniky: Primární informace zpracováváme elektronicky, sdílíme e-mailem nebo přes výměnná zařízení, platíme přes internet, můžeme pracovat na dálku, komunikovat přes videokonference, používáme cloudové služby. Neuplyne snad rok, aby nepřišlo něco nového, co začneme intenzivněji využívat. To vše rozšiřuje tzv. plochu vystavenou útoku. Rostou tak nároky na naši ochranu bez ohledu na prostředí hrozeb.
Druhým důvodem je bohužel silný rozvoj světa online hrozeb. Pokud v bezpečnostní pozici budeme zdánlivě stagnovat – tedy zůstaneme na zavedených opatřeních a technologiích delší dobu, hrozí ztráta bezpečnostní pozice, a tím se naše vybudovaná ochrana ve skutečnosti citelně sníží. V neprospěch tohoto hraje i fakt, že dobře chráněné organizace budou pro útočníky obtížnějším cílem. Naproti tomu škola se zastaralou technologií ochrany a s nefunkční organizací v této oblasti bude najednou cílem mnohem snazším – a průšvih je tak hned pravděpodobnějším. Platí zde rčení „kdo chvíli stál, stojí opodál“.
Dobrým důvodem může být také rozvoj technologií pro ochranu. Nejen tedy jejich schopnosti reakce na aktuální hrozby, ale také cena, která může být zpočátku vysoká, postupem času se může stát dostupná pro všechny, kdo danou technologii potřebují využít.
Proto velmi doporučuji si najít poradce v oblasti informační bezpečnosti, s nímž jako ředitel či ředitelka budete v pravidelném kontaktu: zatím postačí sejít se jednou za pololetí a probrat, co je nového ve světě hrozeb a jaké jsou aktuálně možnosti využití techniky a návazných služeb. To vám pomůže utvořit si představu o dalším rozvoji ochrany organizace pomocí technologií a nárocích na rozpočet.
Zde se znovu vrátím k antivirové ochraně. Jestliže naše technologie ochrany koncových zařízení zůstala u antiviru (což byla před dvaceti roky technologická špička) riskujeme dnes, že snadno podlehneme hackerskému útoku. Podobné je to u jiných technologií, nástrojů a služeb.
Role ředitele v procesu řízení kyberbezpečnosti
Všechny články seriálu „Kyberbezpečnost ve vaší škole“ měly za cíl ukázat, že online bezpečnost může řídit jedině ředitel. Že není možné tuto funkci nechat na nikom jiném, ať už by šlo o zkušeného IT manažera, učitele IT oboru nebo externí subjekt. Vykonávat související činnosti jistě budou, ale řídit, úkolovat a kontrolovat je může jedině ten, kdo nese manažerské riziko za celek. A právě ředitel je ten, kdo řídí všechny procesy a zdroje, které mají na bezpečnost vliv, a stanovuje potřebný rozpočet.
Pro řízení kyberbezpečnosti se můžeme inspirovat v řízení fyzické bezpečnosti a přístupu do budovy: Zatímco technické aspekty jsou pravděpodobně řešeny projektantem a odbornou firmou, správa a provoz budou pravděpodobně v rukou školníka. Avšak zodpovědnost za zadání úkolů všem těmto složkám leží na řediteli školy. Stejně tak nastavení organizace: komu a jak předáme klíče, stanovení pravidel přístupu, kam kdo smí a kam nikoliv, evidenci a další záležitosti organizačního charakteru. V rámci celého systému je také důležitá kontrola a rozvoj, které mohou být vyvolány vnějšími podmínkami nebo vnitřními potřebami.
Začali jste řídit informační rizika?
Nebo k tomu ještě potřebujete více informací?
Chcete-li se dozvědět více, můžete nás požádat o reprint všech článků „Kyberbezpečnost ve škole“, nebo se účastnit akreditovaných kurzů KYBERBEZPEČNOST VE VAŠÍ ŠKOLE na stránce https://eshop.everesta.cz/akreditovane-kurzy.html
Můžete si objednat prezenční školení, konzultaci i poradenskou službu. Neváhejte nám napsat zprávu na jan.skerle@everesta.cz
Pro časopis Řízení školy 9/23:
RNDr. Jan Škerle – spolupráce se školami, IT specialista Everesta, s.r.o.
Ing. Josef Javora – poradce v řízení informačních rizik a ochraně proti moderním hrozbám