Plán kybernetické bezpečnosti: řízení rizik, kontrolní mechanismy a reakce na incidenty

Drmi

Proč plán kyberbezpečnosti není pouze IT dokument

Plán kyberbezpečnosti je řídící rámec, který propojuje řízení rizik, kontrolní mechanismy a postupy reakce na incidenty do jednoho funkčního celku. Jeho účelem není eliminovat všechny hrozby, ale dosáhnout přiměřené bezpečnosti vzhledem k podnikovým cílům, regulacím a rozpočtovým možnostem. Dobře navržený plán definuje odpovědnosti, metriky, SLA, rozhraní mezi IT/OT/Cloud a stanovuje standardy, které minimalizují dopady incidentů na kontinuitu podnikání.

Rámce a principy: na čem plán stavět

  • Řízení rizik (ERM) propojené s kyber riziky – bezpečnost jako podnikové riziko, nikoli jako technický problém.
  • Best practices jako NIST CSF (Identify–Protect–Detect–Respond–Recover), ISO/IEC 27001/2, CIS Controls, Zero Trust principy (minimální oprávnění, neustálá verifikace, segmentace).
  • Privacy-by-design a security-by-design v životním cyklu systémů a produktů.
  • „Assume breach“ mentalita: předpokládej kompromitaci, navrhuj detekci, omezení a obnovu.

Inventarizace a klasifikace aktiv: co chráníme

  • Asset inventory (HW, SW, cloudové služby, API, data, účty, tajemství). Dynamická synchronizace CMDB s cloudovými účty a AD/IdP.
  • Klasifikace dat (veřejné, interní, důvěrné, regulované) a mapa toků dat (kde vznikají, kdo k nim přistupuje, kde jsou uloženy).
  • Vlastníci aktiv (business owners) a technické správy; povinnosti v oblasti dostupnosti, integrity a důvěrnosti.

Modelování hrozeb a scénáře: proti komu hrajeme

  • Typy protivníků: oportunističtí útočníci, organizovaný kyberkriminalita (ransomware affiliate), insider, dodavatelský řetězec, státem sponzorovaní aktéři.
  • Útočné vektory: phishing a BEC, zneužití zranitelností, kompromitace identity (MFA fatigue), supply-chain (knihovny, CI/CD), misconfig v cloudu, útoky na OT/IoT.
  • Metody: MITRE ATT&CK mapování taktických kroků pro prioritní systémy.

Riziková analýza: metodika a registr rizik

Riziko = pravděpodobnost × dopad s přiřazením vlastníka rizika, mitigací a cílového stavu. Dopad posuzujte z hlediska financí, právních/regulačních aspektů, reputace, bezpečnosti osob a provozu.

ID Riziko Pravděp. Dopad Skóre Mitigace Vlastník Termín
R-01 Ransomware na file serverech Vysoká Vysoký V EDR, segmentace, offsite zálohy, školení IT Sec Lead Q1
R-02 Únik regulovaných dat Střední Vysoký V DLP, šifrování, PAM, CLS logging DPO Q2
R-03 Dodavatelský řetězec (SaaS) Střední Střední S Due diligence, smluvní SLA, monitoring Vendor Mgmt Q1

Kontrolní architektura: preventivní, detekční a korektivní opatření

  • Preventivní: IAM s MFA, SSO/IdP, least privilege, PAM na privilegované účty, síťová segmentace a mikrosegmentace, hardening baseline, bezpečné konfigurace cloudu (CSPM), SBOM a kontrola závislostí, bezpečné CI/CD (podpis artefaktů, izolace runnerů), e-mailová ochrana (DMARC/DKIM/SPF), bezpečnostní brány pro API.
  • Detekční: EDR/XDR, SIEM s korelacemi, NDR, správa zranitelností (skener + prioritizace podle EPSS/KEV), auditní logy s neměnným úložištěm, honeypoty a kanárky, CASB/SSPM pro cloud.
  • Korektivní: automatizované playbooky (SOAR), patch management, revokace klíčů a tokenů, obnova ze záloh, izolace stanic/sítí.

Identity a přístupy: srdce Zero Trust

  • MFA povinné pro všechny privilegované a externí přístupy; odolné metody (FIDO2).
  • Role-based access control a Just-In-Time privilegované přístupy přes PAM.
  • Správa životního cyklu účtů (joiner/mover/leaver), kvartální recertifikace přístupů.
  • Ochrana tajemství (vault), rotace klíčů, zákaz „hardcodování“ tajemství v repozitářích.

Bezpečný vývoj a DevSecOps

  • Shift-left: SAST/DAST/IAST, SCA na knihovny, podpis kontejnerů a artefaktů, politika pro open-source příspěvky.
  • Pipeline gatekeeping podle kritičnosti; zásady pro infra jako kód (IaC) se skenováním misconfigů.
  • Bug bounty/vulnerability disclosure program a pravidelné penetrační testy.

Cloud bezpečnost a multicloud specifika

  • Landing zóny s guardrails, oddělené účty/projekty podle prostředí a citlivosti.
  • KMS a šifrování „at rest“ a „in transit“, zákaz veřejných bucketů, privátní endpointy.
  • SSPM/CSPM kontinuální monitoring konfigurací a compliance.

Vulnerability a patch management: rytmus a prioritizace

  • Klasifikace zranitelností podle aktivního exploitování (KEV), expozice na internetu a kritičnosti aktiva.
  • SLAs: kritické do 7 dnů, vysoké do 14 dnů (nebo dohodnuté dle rizika/provozu), dokumentované výjimky.
  • Canary release a staged rollouts pro minimalizaci provozního rizika.

Ochrana dat: šifrování, DLP a zálohování

  • Šifrování na úrovni disku, databází a aplikací; tokenizace pro citlivá pole.
  • DLP pravidla podle klasifikace; monitoring exfiltrace přes e-mail, web, cloudová úložiště.
  • 3-2-1-1 pravidlo záloh: 3 kopie, 2 média, 1 offsite, 1 neměnná (immutable) – pravidelné testy obnovy.

Kontinuita a obnova: BIA, RTO/RPO, runbooky

  • BIA (Business Impact Analysis) pro určování priorit; RTO/RPO podle kritičnosti služeb.
  • Runbooky pro obnovu klíčových systémů (ERP, e-mail, identita, síť, cloud workloady).
  • Oddělení backup domény od produkčních identit a sítě, offline recovery plán.

Security awareness a kultura

  • Program vzdělávání podle rolí (developer, admin, manažer, první linie), simulované phishing kampaně.
  • Bezpečnostní standardy a „clean desk/screen“ zásady, hlášení incidentů bez obav (no-blame).

Správa dodavatelů a třetích stran

  • Due diligence: bezpečnostní dotazníky, certifikace, výsledky auditů, pen-test vyhodnocení.
  • Smluvní klauzule: bezpečnostní požadavky, SLA, notifikace incidentů, právo na audit.
  • Kontinuální monitoring kritických SaaS/IaaS, ukončování přístupů při offboardingu.

Governance, role a RACI

Oblast Responsible Accountable Consulted Informed
Riziková analýza Security Risk Lead CISO Business vlastníci ExCo
Incident response IR Manager CISO PR/Legal/HR/IT Ops ExCo, DPO
Patch management IT Ops CTO Sec Eng Produktové týmy

Incident Response: životní cyklus a prahové úrovně

  • Příprava: playbooky, kontakty, nástroje (IR toolkit), právní rámec, retainer s forenzní firmou.
  • Detekce a analýza: triage ticket, klasifikace, sběr artefaktů, zachování důkazů.
  • Obsahování: krátkodobé (izolace hosta, blok IP/domén), dlouhodobé (reset tajemství, segmentace).
  • Eradikace: odstranění malwaru, uzavření vektorů, patchování, změna konfigurací.
  • Obnova: validace systémů, postupné připojování, zvýšené monitorování.
  • Poučení: post-incident review, aktualizace kontrol, školení, metriky.

Severita incidentů a eskalační matice

Severita Kritéria Reakční čas Komunikace
SEV-1 Ransomware, únik regulovaných dat, výpadek kritické služby > 1h < 15 min War room, ExCo, regulační orgán/DPO
SEV-2 Aktivní kompromis bez dopadu na produkci < 30 min IR tým, vedoucí útvarů
SEV-3 Podezřelá aktivita, neúspěšný útok < 4 h SecOps, lokální týmy

Komunikační plán při incidentu

  • Interní kanály: dedikovaný war-room (chat/bridge), deníky událostí, rozhodovací body.
  • Externí strany: zákazníci, partneři, certifikační autority (pokud klíče), CERT/CSIRT, orgány dohledu, pojišťovna.
  • Právní a PR: koordinované schválené zprávy, časování notifikací, minimalizace právních rizik.

Playbooky: konkrétní scénáře

  • Ransomware: izolace segmentů, odpojení záloh od sítě, forenzní obraz, rozhodnutí o vyjednávání (s právním a pojišťovnou), obnova podle priorit, rotace všech klíčů/tajemství.
  • Phishing/BEC: reset přihlašovacích údajů, revize pravidel přeposílání, analýza mailboxu, posílení DMARC, školení.
  • Únik dat: identifikace rozsahu a kategorie dat, notifikace DPO, posouzení povinnosti hlášení, zpřísnění DLP.
  • Supply-chain kompromis: revize důvěry třetích stran, rotace integrací a tokenů, audit CI/CD, SBOM diff.

Metriky a KPI: jak měřit zralost a účinnost

  • MTTD/MTTR (čas do detekce/reakce), čas do izolace, čas do obnovy.
  • Patch compliance dle kritičnosti, pokrytí EDR, MFA coverage, % šifrovaných zařízení.
  • Phishing fail rate, počet high-severity zranitelností po SLA, účast na cvičeních.
  • Počet a typy incidentů za čtvrtletí, procento incidentů s odstraněním příčiny.

Audit, compliance a důkazní stopa

  • Politiky a standardy s verzováním a schvalováním; roční revize.
  • Evidenční záznamy o přístupech, změnách, výjimkách; neměnné logy a retention dle regulací.
  • Interní audity, externí certifikace a nápravné plány (CAPA).

Kyberpojištění: propojení s plánem reakce

  • Požadavky pojistitele (MFA, EDR, zálohy) zabudované do kontrol.
  • Notifikační povinnosti a schvalování nákladů během incidentu; využití IR retaineru.

Rozpočet a prioritizace: kde začít

  • Rychlé výhry: MFA pro všechny, EDR na koncové body, zálohy s immutabilitou, e-mailová ochrana a DMARC, základ

Súvisiace články

Výškové stohování v obchodním skladování

Výškové stohování umožňuje bezpečné ukládání palet přes 4 metry, optimalizuje využití skladovací kapacity a zvyšuje efektivitu manipulace se zbožím, čímž snižuje náklady a zlepšuje řízení zásob v obchodních skladech.