Mnoho firem se potýká s otázkami bezpečnosti informací, proto hledají řešení, jak se o tuto oblast správně postarat. Některé se snaží tuto výzvu vyřešit vlastními zdroji, jiné problematiku ošetření a řízení bezpečnosti informací z části postupují externím firmám. Co je ale správně? A jak se vlastně o kvalifikaci odborníka ujistit? O tom více prozradila Ing. Romana Hofmanová, vedoucí certifikačního orgánu pro certifikaci osob, z České společnosti pro jakost. Do jakých průmyslových oblastí problematika bezpečnosti informací zasahuje nejvíce? Abychom byli přesní, bezpečnost informací je téma, které dnes obklopuje vlastně veškeré podnikání. S nástupem Průmyslu 4.0 a internetu věcí se ukazuje, že se jedná o zcela zásadní téma. Pěkným příkladem je IT a průmysl, vezměme si oblast automotive. Velké automobilky vytvářejí požadavky na provádění auditů kybernetické bezpečnosti na systémech, komponentech i hotových výrobcích. Také jde o to, aby byla výroba perfektně standardizována, protože do ní vstupuje ohromné množství dat. Kybernetická bezpečnost a bezpečnost informací obecně jsou určitými předpoklady pro to, aby všechny prvky, které do procesu výroby nového vozu vstupují, byly standardizovány a zajistily kvalitu finálního produktu. Podobně je tomu i ve službách, kde je to důležité především pro oblast e-commerce nebo logistiku. Systémy musí běžet bezchybně a data správně zpracovávat, aby se zákazníci, i ti interní, dočkali takového servisu, který očekávají. Základem na poli bezpečnosti informací je pak zejména to, aby informace byly důvěrné (tj. přístupné pouze oprávněným osobám), dostupné (v požadovaný čas) a aby byla zachována integrita (správnost a důvěryhodnost) dat. Takže rozhodně se to netýká jen uchovávání hesel internetovými giganty nebo správy studentských účtů. Čím se dnes postupy v oblasti bezpečnosti informací řídí? Evropská organizace pro kvalitu EOQ letos významně revidovala, nebo spíše aktualizovala schéma pro certifikaci manažerů a auditorů bezpečnosti informací. Toto schéma standardizuje požadavky na odbornou způsobilosti těchto odborníků s ohledem na současný kontext. Na jedné straně je zde teorie a legislativní předpisy, na druhé straně schopnost je uplatnit a podle těchto zákonně vytyčených mantinelů postupovat, tvořit, optimalizovat, navrhovat řešení na míru pro podniky. Příslušná personální certifikace tak u manažera či auditora bezpečnosti informací ověřuje nejen znalost teoretických základů, ale zejména schopnost je v praxi uplatnit a vidět souvislosti. Uvědomme si, že pokročilá digitalizace a automatizace v podnicích je možná pouze za předpokladu, že pracovníci mají příslušné znalosti odpovídající úrovni aktuálního poznání. Proč schéma prošlo aktualizací? Původní model zkrátka už nestačil překotnému technologickému vývoji a neakcentoval například ani složitou problematiku GDPR nebo novější právní předpisy. Ovšem to není vše. Když jsme jej v České společnosti pro jakost s kolegy utvářeli, museli jsme se důkladně podívat na vývoj společnosti jako celku. Bezpečnost informací je spojena vždy s lidským faktorem a s tím, jak se společnost a její potřeby mění. Proto byly mimo jiné do nového schématu zahrnuty požadavky na znalosti Listiny základních práv a svobod, zákona o ochraně osobních údajů, zákona o obchodních korporacích, zákona o ochraně utajovaných informací, zákona o informačních systémech veřejné správy a zákona o telekomunikačních službách. Vzhledem ke komplexnosti tohoto schématu byly personální certifikáty M-BI a A-BI zahrnuty do doporučených požadavků pro manažery a auditory kybernetické bezpečnosti v příloze č. 6 k vyhlášce č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů. Je toto schéma platné pouze pro Českou republiku? Zdaleka ne! Tato iniciativa vzešla sice z naší strany, ale nové schéma přijala na své valné hromadě EOQ, tedy je platné pro všechny evropské státy a dále také pro Izrael, Kazachstán a Turecko. V praxi to znamená, že odborník s tímto certifikátem se jím může prokázat ve všech zmíněných zemích, a zvýšit tak svou cenu na trhu práce. Co by měl uživatel, ať už firma, nebo třeba zaměstnanec, vyžadovat, jde-li o bezpečnost informací? Vezměme si například interní podnikové systémy určené zaměstnancům. Očekává se, že dotyčný bude jedinou oprávněnou osobou, která má přístup ke svému účtu, že tento účet bude dostupný 24 hodin denně a že data v něm budou bezchybně zpracovávána a udržována. Ale také, že bude zajištěna ochrana osobních údajů. A podobně je to například s firemními přístupy do různých aplikací a softwarů, ať už vlastních, nebo spravovaných třetí stranou. Vždy je opět třeba zajistit oprávněný přístup pod kvalitním heslem, konzistentnost informací či řádné nakládání s osobními údaji. V čem přesně tedy tkví význam personální certifikace? A proč by měla mít firma vůbec takového specialistu ve svém týmu? Držitel personální certifikace obecně je vždy osoba, která prokázala specifické znalosti a dovednosti v určitém oboru. Tito lidé bývají často těmi, kteří stojí u realizace inovací a projektů zlepšování. Výjimkou nejsou ani manažeři a auditoři bezpečnosti informací. Osoba s certifikacemi M-BI nebo A-BI pomáhá významně posunovat úroveň bezpečnosti informací v rámci své organizace i vztahů s okolím. Ve způsobu zpracování dat, ve způsobu jejich uchovávání, ve způsobu nakládání s nimi. Zavádí v podniku standardy, kterým může rozumět každý profesionál ze zahraničí. Činí tak oblast bezpečnosti informací transparentnější, lépe fungující. S oblibou říkám, že certifikovaný manažer nebo auditor bezpečnosti informací zavádí do svého prostředí pořádek, který dává prostor pro zefektivňování chodu podniku jako celku. V dnešní situaci, kdy mnoho firem využívalo pokud možno práci na dálku a do budoucna ji zřejmě využívat bude, je to o to důležitější. /PaK/