Outsourcing manažera kybernetické bezpečnosti

Zvažujete outsourcing manažera kybernetické bezpečnosti? Pak si přečtěte tento článek, který vás upozorní, na co si dát při outsourcingu pozor.

Domluvit schůzku

Zákon o kybernetické bezpečnosti klade jisté nároky (nejen) na lidské zdroje. Ve vyšším režimu regulace je vyžadováno, aby regulované firmy zajistily bezpečnostní role jako jsou manažer kybernetické bezpečnosti (MKB), architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. V nižším režimu regulace je obecně vyžadováno mít osobu odpovědnou za kyberbezpečnost organizace. Pokud firmy mají vlastního zaměstnance, kterému by některou z bezpečnostních rolí přiřadily, tak mohou narazit na skutečnost, že tito zaměstnanci nemusí splňovat kvalifikační / znalostní předpoklady - to je, mimo jiné, důvod k hledání externí podpory - např. vCISO / MKBaaS.

Úkoly manažera kybernetické bezpečnosti

Nejprve se pojďme zaměřit na vybrané úkoly manažera kybernetické bezpečnosti obecně. Jsou jimi např.:

  • Porozumění kontextu organizace a jejím strategickým a obchodním cílům.

  • Podpora při stanovení rozsahu, hodnocení aktiv a jejich vazeb na ostatní aktiva a tím i na poskytování regulovaných služeb.

  • Mapování současného stavu řízení kybernetické bezpečnosti organizace.

  • Zajištění procesu řízení rizik a podpora s identifikací a hodnocením rizik.

  • S ohledem na rizika, sestavení plánu zvládání rizik (RTP) a prohlášení o aplikovatelnosti (SoA) (přehled bezpečnostních opatření).

  • V návaznosti na předchozí kroky, sestavení/aktualizace bezpečnostní strategie kybernetické bezpečnosti.

  • Odpovědnost za projekt zavádění jednotlivých bezpečnostních opatření.

    • Podpora při výběru vhodných technologických partnerů, dodavatelů bezpečnostních řešení (end-point protection, ZTNA, log management, SIEM/SOAR atd.).

  • U vyššího režimu regulace, spolupráce s architektem kybernetické bezpečnosti na definici cílové bezpečnostní architektury organizace.

  • Spolupráce na zavádění a testování bezpečnostních procesů (např. incident management, řízení přístupů atd.).

  • Komunikace s NÚKIB a příslušným CERT týmem ve věcech regulace.

  • Podpora při zajišťování kyberbezpečnostních školení a zvyšování úrovně bezpečnostního povědomí.

  • Reporting směrem k vedení organizace.

  • Koordinace schůzek výboru pro řízení KB (vyšší režim).

  • ...

Kompetence MKB

Z výše uvedeného výčtu úkolů jsou patrné i jisté kompetence, které by osoba zastávající roli MKB měla mít. Základní požadavky na kompetence MKB jsou:

Znalosti:

  • Normy řady ISO/IEC 27000 (ISMS) a obdobné normy z oblasti bezpečnosti a ICT.

  • Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost.

  • Řízení rizik, řízení kontinuity činností.

  • Relevantní právní a regulatorní požadavky, zejména zákon.

  • Kontext povinné osoby.

Zkušenosti:

  • Prosazování ISMS.

  • Porozumění definicím rizik a rizikovým scénářům, řízení rizik.

  • Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.

Vzdělání a praxe:

  • Roli MKB může vykonávat osoba, která je pro tuto činnost (roli) vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací po dobu alespoň 3 let.

Relevantní certifikace:

  • CISM (ISACA), CRISC (ISACA), CISSP (ISC2) a obdobné.

Profilujete se do role manažera kybernetické bezpečnosti?

Pak by vás mohla zajímat naše nZKB Akademie a naše rekvalifikace.

Zařazení MKB v organizační struktuře

“Kam MKB zařadit v organizační struktuře firmy?” To je častá otázka, kterou dostáváme. Bohužel toto upraveno v regulaci není a neexistuje na to jednoznačný návod. Existuje však jisté omezení, to se týká SoD (segregation of duties), konkrétně toho, že MKB nesmí být odpovědný i za provozní aspekty regulované služby. Tato role by zkrátka měla odpovídat jen za kybernetickou bezpečnost.

Praktické "umístění" MKB v organizační struktuře souvisí s kulturou firmy. Máte li kulturu organizace takovou, že se u vás hodně “hraje” na tituly a postavení v orgchartu" (typicky univerzitní prostředí, zdravotnictví, státní správa, bezpečnostní složky), pak doporučujeme MKB zařadit pod úroveň vrcholného vedení. U MKB role je obecně klíčová vazba na business (garanty aktiv) a na vrcholné vedení a v neposlední řadě velmi úzká spolupráce s ICT / OT týmy.

Kdy MKB outsourcovat a kdy nikoliv

Nyní si dovolíme zmínit pár situací, kdy dává smysl MKB outsourcovat a kdy nikoliv. Vnímejte však prosím, že jde o časté případy, se kterými se setkáváme, které však nutně nemusí platit všude. V každé organizaci je vhodné posoudit outsourcing vs. využití vlastních zdrojů individuálně (na úrovni strategického řízení vaší firmy, CEO, COO, CFO apod.) a to s ohledem na kulturu firmy, její business apod.

Outsourcing MKB vhodný

Kdy je pravděpodobně vhodný outsourcing role MKB:

  • Pokud váš business přímo nestojí na digitálních službách a ICT / OT obecně.

  • Pokud jste malá / střední firma bez vlastních security týmů.

  • “Zelená louka” v oblasti řízení KB.

  • Jste např. úspěšný startup, uplatňujete security by default/by design principy, ale nemáte dostatek vlastních lidských zdrojů na MKB roli.

  • Z důvodu finanční optimalizace (tlak investora, založení vlastní firmy coby kompetenčního centra / centra sdílených služeb apod.).

Dlouhodobě není vhodný outsourcing

Kdy outsourcing MKB nemusí být z dlouhodobého hlediska vhodný:

  • Pokud jste velká korporace bez vlastních security týmů, bude pro vás MKBaaS s největší pravděpodobností natolik nákladná, že budete zvažovat, zda se Vám více vyplatí vlastní zdroje.

  • Pokud je hlavní činnost vašeho businessu přímo postavená na digitálních službách a ICT / OT obecně, pak se bez interních cybersecurity kompetencí pravděpodobně neobejdete.

  • Pokud jste velká korporace s vlastními security týmy.

  • Pokud jste firma se zahraničním vlastníkem a přesahem do zahraničí (váš poskytovatel MKBaaS nemusí vždy znát specifika regulací v jiných členských státech).

  • Typ businessu, kdy se vám ze strategického hlediska nehodí, aby vaši bezpečnost řešil jen externí dodavatel.

Agendu MKB zajišťuje organizace interně s externí podporou

U organizací a případů, kdy dlouhodobě není vhodné MKB roli outsourcovat naopak velice dobře funguje model, kdy se interní security týmy doplňují o externí kompetence. Externí pohled pak security týmům odbourává "klapky na očích" a přináší řadu doporučení, dovedností a zkušeností zíkaných odjinud.

Výhody outsourcingu MKB

V čem pro vás může být outsourcing MKB výhodný:

  • Expertní, nezávislý pohled.

    • Zkušenosti, které poskytovatel MKBaaS získá během jednoho roku získá vlastní zaměstnanec až v průběhu několika let (pokud vůbec).

    • Expertíza - Znalost trendů a best-practices.

    • Kontakty na kolegy z oboru a dodavatele security služeb a vendory.

  • Úspora nákladů.

    • Škálovatelnost služby v čase dle potřeb klienta (zpravidla při zahájení spolupráce, kdy se začíná se zaváděním požadavků nZKB jsou vyšší nároky na čas poskytovatele, což se v čase může snižovat).

    • Úspora na vlastních zdrojích (náklady na zaměstnance vs. outsourcing).

  • Nezávislost na vendorech.

    • MKBaaS je většinou služba, která není závislá na konkrétním vendorovi bezpečnostního řešení. I když vám pravděpodobně MKB bude schopen doporučit určitá řešení, se kterými má dobré zkušenosti a se kterými může mít uzavřená partnerství.

  • Možnost téměř okamžitého poskytování služeb (snadný onboarding).

    • Onboarding MKBaaS může být poměrně rychlý, zpravidla se skládá s předání potřebných kontaktů a provedení úvodní analýzy současného stavu (chcete li - gap analýzy). Následně se zahajuje samotné poskytování MKBaaS.

Nevýhody

Jaké jsou nevýhody outsourcingu MKB:

  • Poskytovatel MKBaaS = Nový významný dodavatel.

  • Omezené kapacity poskytovatele a tím i dostupnost (definované ve smlouvě).

  • MKBaaS není totéž, co vlastní zaměstnanec.

    • Externí MKB není plnohodnotnou součástí firemní kultury a nemusí být dostupný tak, jako vlastní zaměstnanec.

    • Tím, že externí MKB netráví všechen svůj čas jen ve vaší firmě, je hodně závislý informacích, které mu poskytnete.

  • Co když se stane kritický incident u více zákazníků poskytovatele MKBaaS, zvládne se všem současně věnovat?

  • MKBaaS nemusí být výhodný pro velké korporace s vlastními security týmy - viz kapitola “Kdy MKB outsourcovat a kdy nikoliv“.

  • Pokud je MKB závislý na vendorech může se vám stát, že nezná konkrétní bezpečnostní aspekty vašich technologií, pokud jsou odlišné od jeho partnerských vendorů. Prověřujte si to.

Mylná očekávání

S využíváním outsourcingu MKB jsou z pohledu zákazníků často spojená mylná očekávání. Níže proto některá z nich uvádíme na pravou míru:

  • MKB neudělá vše za regulovanou firmu (bez součinnosti ze strany regulované firmy a často i dodavatelů se neobejdete).

  • Outsourcingem MKB se firma nezbavuje odpovědnosti za kybernetickou bezpečnost.

  • Regulovaná firma bude muset zajistit další zdroje (HR, finance, procesy, nástroje atd.).

  • MKB nebude provozovat a konfigurovat bezpečnostní nástroje.

  • MKB nebude analyzovat podezřelé emaily a malware.

Úskalí

Vybraná úskalí MKBaaS, která byste měli vnímat:

  • I když outsourcujete MKB, je nutné počítat s tím, že MKB vezme hodně času i vašim ostatním zaměstnancům - bude usilovně komunikovat s vrcholným vedením, s garanty aktiv a s ICT/OT týmy atd.

  • Exit strategie - Co když se po půl roce, kdy vám externí MKB pomáhá zajišťovat shodu s nZKB, rozhodnete spolupráci ukončit? Startujete znovu na zelené louce?

  • Pokud poskytovatel MKB využívá své vlastní GRC a další nástroje - ošetřete si, co s tím po ukončení spolupráce.

  • Upravte si způsoby a formy komunikace: zákazník - MKB - vendoři a další stakeholdeři.

  • Nedostatečná transparentnost poskytování MKBaaS.

  • “Hope is not enough strategy” aneb, když statutár prohlásí: “Já doufám, že když tu máme podepsanou smlouvu na MKBaaS, kyber útok nám už nehrozí.”

  • Definice shared responsibility modelu ve smlouvě na MKBaaS, definice zákonem požadovaných smluvních požadavků s tímto významným dodavatelem.

  • Pozor na hybridní/centrální řízení KB ze strany zahraničních mateřských společností.

  • Metriky související s MKBaaS (např. míra zajištění shody v čase).

Výběr vhodného dodavatele MKBaaS

Na co se soustředit při hledání vhodného partnera, který vám zajistí outsourcing MKB:

  • Prokazatelné reference - jednotlivců i týmu (dodavatelské firmy).

  • Odborné certifikace členů týmu - jsou důležité, ale měly by se hodnotit v kombinaci s praxí.

  • Certifikace společnosti dodavatele podle ISO/IEC 27001 je základní minimum, ale nespoléhejte jen na to a myslete např. i na zákaznické audity.

  • Kompetence jednotlivců v týmu dodavatele.

    • Pozor na kompetence zaměstnanců dodavatele! Dejte si pozor na to, aby u vás poskytovatel MKB nevyhrál zakázku jen proto, že má jednoho externího experta, který má požadovanou praxi, certifikace atd., kterého k vám však po získání zakázky “nepustí”. To si ošetřujte už při výběrových řízeních. Stává se to opravdu často.

  • Dostupnost (zastupitelnost týmu dodavatele + pohotovost).

  • Transparentnost a podpora při exit strategii!

  • Definice smlouvy a shared responsibility modelu ve smlouvě.

  • Vhodné nastavení hodnotících kritérií (výběr pouze na základě ceny nedoporučujeme).

V GUARDIANS.cz je MKBaaS jedna z našich standardních služeb, proto vám rádi s rolí MKB pomůžeme.