Na vašem soukromí nám záleží!

Používáme soubory cookie ke zlepšení uživatelského prostředí a pro reklamní účely. Prohlášení o zásadách ochrany osobních údajů.

Přijmout Spravovat cookies Odmítnout

ITSM jako první kroky k posílení kybernetické bezpečnosti

Kybernetická bezpečnost se pomalu, ale jistě stává TOP prioritou – jak v soukromé, tak veřejné sféře. I přesto bývá pro IT manažera problém obhájit rozpočet k nasazení ochranných prvků. Management & vedení společnosti se domnívají, že firewall/antivirus = 100% bezpečnost v celé organizaci. Proč zmíněné postupy nestačí a jak by mělo IT oddělení odstartovat změnu v kybernetické bezpečnosti?
redakce ALVAO

7. 10. 2022

Obsah článku

Otevřete oči managementu i vedení

Tlačí vás management & vedení organizace jako IT manažera k nízkonákladovým řešením, které nepokryjí kompletní paletu rizik? Nadneste vedení následující otázky. Zkuste najít společné odpovědi a dost možná otevřete oči vašim nadřízeným i dveře k rozpočtu.

  • Vědí vaši zaměstnanci, co je to bezpečnostní incident, a jak mají v jeho případě postupovat?
  • Má vaše IT nastavené procesy, jak postupovat v případě útoku?
  • Kde jsou vaše nejzranitelnější místa a co se stane, pokud budou napadena?

Zeptejte se na otázky znovu a zamyslete se, zda antivirus nebo firewall zmíněné situace vyřeší...

Odstartujte kybernetickou bezpečnost ve firmě s ITSM 

Nejlepší ochranou jsou vědomosti – co se děje v organizaci a její infrastruktuře, jaká máte v IT aktiva, kdo je za ně zodpovědný, co se na nich dělo nebo kam mají zaměstnanci přístupy. 

Odpovědi (nejenom) na zmíněné otázky vám nabízí ITSM – IT Service Management, na jehož podporu lze využít nástrojů Service Desk a Asset Management.

ITSM bývá často přehlížená metoda, jak začítposilovat bezpečnost – i přesto, že potenciál ITSM v rámci kybernetické bezpečnosti je nezměrný.

Service Desk jako základ digitální transformace i první krok ke kybernetické bezpečnosti 

Service Desk bývá prvním krokem k digitalizaci. Slouží jako nástroj pro efektivní řízení – nastane problém a zaměstnanci zběsile nevolají IT oddělení, neklepou na dveře, kdy už bude hotovo, nezahlcují oddělení e-maily, apod. Jednoduše vytvoří požadavek, který se dostane k řešiteli. Celý nástroj funguje na základě tzv. ticketů (požadavků) v Service Desku – uživatelé vidí, kdy bude požadavek hotový a kdo se o něj postará.

Jak nastavit efektivní procesy, abyste odvrátili krizi

Service Desk jasně nastaví ty správné procesy, abyste v případě bezpečnostního incidentu mohli reagovat rychle, efektivně a podchytili krizovou situaci co nejdříve. Zaměstnanci ví, koho mají kontaktovat, k řešiteli se incident dostane okamžitě a díky prioritizaci řešitel na nic nečeká a situaci začíná okamžitě řešit. 

Change management jako pomocná berla pro řízení změn

Vedle nastavení procesů se Service Desk postará i o tzv. change management –⁠ řízení změn a především rizik, které s nimi přichází. Každou změnu musíte perfektně naplánovat. Měli byste znát její dopady. Uvědomit si rizika a obstarat ty správné nástroje a týmy. A právě od toho je tu change management.

Každá akce je zpětně dohledatelná – auditní stopy

Service Desk zjednodušuje nástup/odchod zaměstnancůs každým příchodem vzniká požadavek na IT oddělení, se kterým se pojí vypůjčení přístupových karet, počítače, telefonu, apod. A právě znalost, kdy, komu, a proč bylo co zapůjčeno, je klíčová v rámci interní bezpečnosti.

To stejné platí i ve virtuálním světě. Každý přístup k intranetu a citlivým datům jde přes požadavek v Service Desku na IT oddělení, které musí přístup schválit.

Vždy je možné zpětně dohledat co, kdo a kdy skutečně udělal v oblastech spojených s bezpečností.

Reporty v Service Desku

Pravidelné reporty dokážou odhalit, kde jsou slabší místa, a kam směřovat úsilí. Díky Service Desku přesně víte, jaké jsou nejběžnější poruchy/problémy, které chodí na IT oddělení. 

Asset Management

Máte přehled o veškerém hardwaru a softwaru ve společnosti? S Asset Managementem přesně víte, jakým majetkem firma disponuje, kdo je za něj zodpovědný a kde se zrovna nachází. Všechny informace dostupné na pár kliknutí – žádné dohledávání, ztráty a nejasnosti.

U evidence hardwaru/softwaru Asset Management ani zdaleka nekončí. Software vám pomůže zpracovat analýzu rizik, vedení kvality dodavatelů a spoustu dalšího.

Evidence aktiv a vzájemných vazeb mezi aktivy

Z aktiv (CRM, poštovní klient, i obyčejné PC) je složená firemní infrastruktura. Některá jsou více důležitá – síťové přepínače (switche), jiná méně – koncová zařízení. Důležitější aktiva se vážou na desítky i stovky méně podstatných. 

Díky kompletní evidenci aktiv a především díky evidenci vazeb víte, co bude v případě problému zasaženo a jaký rozsah problém napáchá. Kompletní evidence majetku v Asset Managementu vám navíc v případě problému napoví, zda máte v organizaci náhradu za nefunkční/napadené zařízení, v jakém je stavu, a kde přesně se nachází (např. číslo skladu).

Efektivní analýza rizik

Co se stane, když přijdete o největšího klienta? Jak se poperete se zdražením výrobních materiálů? Máte slabá místa v infrastruktuře, která doslova čekají na výpadek nebo kybernetický útok? Asset Management se postará o podkladová data pro analýzu rizik (nejen) v rámci kybernetické bezpečnosti. Díky analýze víte, jaké hrozby mohou nastat, jak jim předcházet, i v jaké následky mohou vyústit.

Přehledné řízení dodavatelů

Mají vaši dodavatelé potřebné certifikace? Řeč je o ISO 27001 – mezinárodně uznávaný standard, který definuje požadavky na systém bezpečnosti a jejího řízení. V Asset Managementu můžete evidovat, zda dodavatelé splňují vámi určená kritéria (např. právě certifikace) a na jejich základě odhalit potenciální rizika.

Řízení oprávnění na úrovni aktiv a jejich vlastností

Marketing nepotřebuje oprávnění ke vstupu do serverovny. Vývojář nepotřebuje přístup k analytikám webu a HR nepotřebuje přístupové karty do dílny. Každý zaměstnanec má přístupy, které jsou nutné pro jeho práci – Asset Management pomáhá k vyladěné interní bezpečnosti.

Jak využít spojení Service Desk & Asset Management v rámci bezpečnosti

Instituce si nechávají implementovat jeden nebo druhý software s myšlenkou, že druhý již nepotřebují, ale právě kombinace obou výrazně posílí bezpečnost

Příklad: v Service Desku naplánujete pravidelné audity, kontroly rizik a v Asset Managementu zpracujete evidenci aktiv a vazeb mezi nimi. 

Další příkladová situace: Uživatel v Service Desku pravidelně hlásí problém s PC. Evidence v Assetu podá řešiteli kompletní záznam  – vidí vazby na konkrétní konfigurační položku. V softwaru okamžitě vidí její pozici, atributy a diagram vazeb. Řešitel nemusí nic dohledávat. Pokud v Assetu zjistí, že se nejedná o problém spojený s hardwarem (životnost, problémový kus...), začíná okamžitě řešit potenciální hrozbu. 

ITSM není všemocný 

ITSM nezabrání útokům ve výskytu. ITSM v důsledku není ani bezpečnostní nástroj – samostatně nezajistí bezpečnost jako takovou. Jaký má tedy význam? ITSM je odrazový můstek kybernetické bezpečnosti, na kterém teprve můžete stavět rozsáhlou obranu proti fondovaným útokům.


Zpět na výpis článků

Související články

Radosti a starosti IT manažera: Příběh o plánování rozpočtu v IT oddělení

Jozef Hlaváč, IT manažer ve firmě Moog, využívá ALVAO Asset Management pro efektivní plánování rozpočtu a nákupu techniky. Díky tomuto nástroji dosáhl transparentnosti a efektivity IT týmu. Přečtěte si jeho zkušenost při plánování rozpočtu.

Jozef Hlaváč

10.6.2024

3 minuty čtení

Jak se připravit na DORA a vše, co potřebujete vědět

Zákon o digitální provozní odolnosti (DORA -Digital Operational Resilience Act) je nové nařízení EU, které mění přístup organizací působících ve finančním sektoru k bezpečnosti v oblasti IT. V platnost vejde 17.1. 2025, s implementací potřebných změn tedy není vhodné otálet.

Adam Šima

28.5.2024

7 minut čtení

IT service management (ITSM) vs enterprise service management (ESM). V čem je rozdíl?

Ve světě podnikových služeb a technologií se můžeme setkat s pojmy IT Service Management (ITSM) a Enterprise Service Management (ESM). Ačkoliv oba rámce znějí podobně a sdílí společné principy i podobné cíle, existují mezi nimi rozdíly, které je nutné pro pochopení a správnou implementaci brát v...

Adam Šima

2.5.2024

6 minut čtení

Odebírejte CIO newsletter

  • to nejlepším z našeho blogu
  • tipy a triky z IT managmentu
  • inspirativní rozhovory s CIO českých i zahraničních firem
  • pozvánky na webináře a konference


Přihlaste se k odběru newsletteru