Na základe požiadaviek vyplývajúcich z novely zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti sme v uplynulom období úspešne realizovali projekt zameraný na analýzu rizík informačnej bezpečnosti a klasifikáciu informácií u zákazníka pôsobiaceho v segmente energetiky.
Hlavným cieľom projektu bolo zabezpečiť súlad s legislatívnymi požiadavkami v oblasti kybernetickej bezpečnosti prostredníctvom dôkladnej analýzy informačných aktív a informačných systémov, ich kategorizácie a následnej analýzy rizík. Projekt bol rozdelený do dvoch hlavných etáp:
1. etapa – Klasifikácia informácií a systémov
V prvej fáze sme sa zamerali na posúdenie a prípadnú úpravu klasifikácie informačných aktív, ako aj na kategorizáciu informačných systémov a sietí zákazníka. Výstupom tejto časti bolo vypracovanie návrhu bezpečnostnej politiky a metodického postupu, ktorý zohľadňuje špecifiká prevádzkovaných systémov a legislatívne nároky kladené na prevádzkovateľov základnej služby.
2. etapa – Analýza rizík a návrh opatrení
Na základe schválenia predloženej klasifikácie sme následne realizovali komplexnú analýzu rizík, ktorej cieľom bolo identifikovať potenciálne hrozby a slabé miesta v procesoch, systémoch a infraštruktúre zákazníka. Súčasťou výstupu bol návrh vhodných bezpečnostných opatrení, ako aj doplnenie alebo vypracovanie chýbajúcej bezpečnostnej dokumentácie vrátane aktualizácie bezpečnostných politík.
Analýza rizík predstavuje kľúčový prvok riadenia informačnej bezpečnosti. Je to systematický proces, ktorý organizáciám umožňuje identifikovať, hodnotiť a prioritizovať riziká spojené s ich činnosťou, technológiami a infraštruktúrou. V prostredí s rastúcimi kybernetickými hrozbami je schopnosť predvídať a minimalizovať dopad nepredvídaných udalostí – od finančných strát, cez právne dôsledky až po reputačné riziká – nevyhnutná pre zabezpečenie stability a udržateľného rozvoja.
V tomto konkrétnom prípade sme klientovi poskytli komplexný a prakticky orientovaný rámec na riadenie rizík, ktorý pokrýva identifikáciu hrozieb, hodnotenie pravdepodobnosti ich výskytu, analýzu potenciálnych dopadov a návrh efektívnych zmierňujúcich opatrení.
Výsledkom analýzy rizík bola sada výstupov, ktoré zákazníkovi umožňujú lepšie riadiť a monitorovať riziká v reálnom čase. Medzi hlavné výstupy patria:
• Register rizík – prehľadná databáza identifikovaných rizík s ich klasifikáciou a stavom riešenia,
• Analýza pravdepodobnosti a dopadu – hodnotenie každého rizika z pohľadu závažnosti a pravdepodobnosti výskytu,
• Plány zmiernenia rizík – konkrétne kroky a odporúčané opatrenia na minimalizáciu dopadu jednotlivých rizík,
• Správy o sledovaní a kontrole rizík – nástroje na pravidelné vyhodnocovanie stavu a vývoja rizík v čase.
Tento projekt potvrdzuje naše odborné skúsenosti a záväzok voči zvyšovaniu kybernetickej bezpečnosti našich klientov. Vďaka systematickému prístupu a úzkej spolupráci s klientom sa nám podarilo vytvoriť prakticky udržateľné riešenie, ktoré reflektuje nielen požiadavky legislatívy, ale aj konkrétne potreby organizácie.
