Odborníci chybí. Pověřit kyberbezpečností IT oddělení ale nemusí být šťastné manažerské rozhodnutí

Už není absolutně žádných pochyb, že české firmy začaly brát kyberbezpečnost vážně. Pandemie koronaviru akcelerovala přechod vlastně celé společnosti do digitálního prostředí a zároveň vytvořila nové digitální hrozby. To posouvá otázku kyberbezpečnosti do popředí zájmu, protože infrastruktury, kterou je teď potřeba zabezpečit, je násobně více. A odborníci chybí.

Do toho ještě přichází chystaná evropská směrnice NIS 2, která povinnost splňovat kritéria kybernetické bezpečnosti rozšiřuje na podstatně více firem včetně celých jejich dodavatelských řetězců než její předchůdkyně z roku 2016. V platnost vstoupí v roce 2023 a do naší národní legislativy se propíše o rok později.

Tip: Chcete se podívat, zda vaše firma podléhá novým povinnostem vyplývajícím z NIS 2? Mrkněte na přehledného průvodce na stránkách NÚKIBu.

Přeškolit pracovníky IT se může prodražit

Vlastního odborníka na kyberbezpečnost si nemůže dovolit každá firma. Dlouhé studium, specifické znalosti a vysoká poptávka po jejich kapacitách tlačí jejich mzdy nahoru. A zdaleka ne všechny firmy, které si vlastního kybersecurity pracovníka můžou dovolit, mají možnost nějakého najmout. Je jich totiž opravdu málo.

Odborníci na kyberbezpečnost se dříve rekrutovali z různých příbuzných oborů, dnes už ale mají své speciální kurzy a studijní programy, třeba na Vysoké škole báňské v Ostravě nebo na Vysokém učení technickém v Brně. Ty ale nechrlí zdaleka tolik odborníků, kolik jich rychle zdigitalizovaný pracovní trh potřebuje.

„A nemůže se o to postarat naše IT?“ napadne často management firem ve snaze najít to nejschůdnější řešení. IT odborníci se ale od odborníků na kyberbezpečnost v kompetencích zásadně liší a představa, že jsou jejich role zaměnitelné, je ve většině případů lichá. Ajťák vám sice nainstaluje Windowsy, bezpečnost vaší sítě ale zajistí mnohem obtížněji. 

Odborník na kyberbezpečnost musí znát zabezpečení používaných platforem i rozumět počítačové kriminalistice. Mít zkušenosti s forenzní analýzou, řízením bezpečnostních incidentů, penetračním testováním i správou bezpečnostních systémů, jako je firewall, antivir či IDPS. A hlavně musí mít koncepční a analytické myšlení, aby tuhle pozici zaštítil a dokázal navrhnout a prosadit bezpečnostní strategii. 

Přehodit celou kyberbezpečnostní agendu na IT není neprůchozí, je ale třeba počítat s náklady navíc. Kromě časově i finančně náročných školení musí firmy samozřejmě navýšit kapacitu svého IT oddělení, aby se s novou agendou popasovalo. Pro IT odborníky to často může znamenat, že se snaží sedět na dvou židlích současně. S tím se může pojit i tříštění pozornosti a ve finále větší chybovost.

„Klíčová je pak podpora vedení společnosti a mandát, který bezpečnost má. I proto by mělo být oddělení bezpečnosti umístěno v organizační struktuře co nejblíže vedení, ideálně prostřednictvím bezpečnostního ředitele, resp. CISO, reportujícího přímo CEO, “ dodává k tématu Radek Šichtanc, ředitel bezpečnosti v O2.

Pozor na „papírové manažery“. O tom, že odborníci na kyberbezpečnost na trhu zoufale chybí, vědí své i etičtí hackeři ze Cyber Rangers a rozpovídali se o tom v našem O2 CyberCastu. A také o tom, že ne všechny kurzy a certifikace na téma kyberbezpečnost jsou to pravé ořechové. Proč „Papíroví bezpečnostní manažeři dodávají firmám falešný pocit bezpečí“, si poslechněte v našem podcastu.

Pomůže outsourcovat?

V takové ne zrovna příjemné situaci se ocitají všechny firmy. Některé hledají vlastní experty, jiné včlenily oblast kyberbezpečnosti pod své IT a další jsou rády, že si kyberpezpečnost můžou outsourcovat jako službu. 

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) je outsourcing dokonce nejčastějším postupem, jak firmy s nedostatkem odborníků v současnosti bojují. Ve finále to může být nejméně nákladné a zároveň intuitivní řešení nejen pro menší a střední podnikatele. 

Firem, které vám zajistí komplexní kyberpezpečnost na klíč, je už na trhu celá řada a většinou umí upravit možnosti a podmínky přímo na míru vašemu podnikání. 

Pokud se chcete zbavit starostí s ochranou vaší firmy proti hackerům i neúmyslným chybám vlastních zaměstnanců, nabízíme několikavrstevný model bezpečnostních řešení. Zvyšuje vaši odolnost proti kybernetickým útokům, minimalizuje ztrátu citlivých dat a vašeho know-how a zajistí vám tak konečně klidné spaní. 

Koncová zařízení všech zaměstnanců před zavirovanými a podvodnými stránkami ochrání O2 Security, pevnou zeď mezi vaši firemní síť a nástrahy veřejného internetu postaví náš O2 Next Generation Firewall, firemní systémy a aplikace před zahlcením ochrání O2 AntiDDoS a komplexní ochranu nad celou vaší firmou zajistí v režimu 24/7 naši „detektivové kyberprostoru“ z O2 Security Expert Centra. 

Co si z článku odnést ?

• S rostoucí digitalizací roste počet bezpečnostních hrozeb.
• I když mají vlastní studijní obory, je odborníků na kyberbezpečnost na trhu nedostatek. Když už jsou, málokterá firma si je může dovolit.
• Firmy často mají pocit, že IT odborníci a ti na kyberbezpečnost mají podobné kompetence a jsou zastupitelní. Je to ale složitější.
• Firmy zjistily, že přeškolit ajťáky a přidat jim další agendu může být velmi nákladné.
• Situaci mnoha firem vyřešil outsourcing kyberbezpečnosti jako služby. Pochvalují si hlavně nižší náklady, pružnost služeb i nepřetržitost bezpečnostního dohledu.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.