Revízia analýzy rizík

26. jun 2024

 

Prečo robiť pravidelnú revíziu analýzy rizík

V zmysle zákona 69/2018 Z. z. o kybernetickej bezpečnosti sa bezpečnostné opatrenia  prijímajú a realizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti. Riadenie rizík pozostáva z pravidelného preskúmavania identifikovaných rizík a v závislosti od toho aktualizácie prijatých bezpečnostných opatrení. Odporúča sa prehodnocovať analýzu rizík aspoň raz ročne. Každoročné prehodnotenie analýzy rizík umožňuje proaktívne identifikovať, hodnotiť a riadiť riziká, čím sa zabezpečuje neustála kybernetická a informačná bezpečnosť. Je nevyhnutná z viacerých dôvodov:

  1. Zmeny v prostredí a podmienkach
  • Právne predpisy, regulácie, ekonomické podmienky a trhové trendy sa neustále menia. Čo bolo relevantné minulý rok, nemusí byť aktuálne tento rok.
  • Zmeny v organizačnej štruktúre, technológiách, procesoch a produktoch môžu viesť k novým rizikám alebo zmenám v existujúcich rizikách. Ak dôjde k výrazným zmenám v IT infraštruktúre, ako sú zavádzanie nových systémov, aktualizácie softvéru, migrácie na cloud alebo integrácia nových technológií, je potrebné prehodnotiť analýzu rizík, aby sa zohľadnili nové hrozby a zraniteľnosti.

 

  1. Vývoj nových hrozieb a zraniteľností
  • Rýchly vývoj v oblasti kybernetickej bezpečnosti znamená, že nové hrozby a zraniteľnosti sa objavujú takmer neustále. Útočníci prichádzajú s novými technikami a nástrojmi, ktoré môžu obísť existujúce bezpečnostné opatrenia.

 

  1. Hodnotenie efektívnosti opatrení
  • Prehodnotenie a aktualizácia rizík umožňuje zhodnotiť, či sú existujúce opatrenia na zmiernenie rizík stále účinné alebo či je potrebné zaviesť nové opatrenia.

 

  1. Zabezpečenie súladu s predpismi
  • Ak interné alebo externé audity a hodnotenia identifikujú nedostatky alebo oblasti na zlepšenie, analýza rizík by mala byť prehodnotená a aktualizovaná na základe týchto zistení.  V prípade jej neaktuálnosti nie ste v súlade so zákonom 69/2018 Z. z. o kybernetickej bezpečnosti a pri kontrole Vám NBÚ môže a už aj udeľuje pokutu.

 

  1. Incidenty a bezpečnostné udalosti
  • Po akomkoľvek kybernetickom incidente alebo významnej bezpečnostnej udalosti je potrebné prehodnotiť analýzu rizík, aby sa zistili príčiny a zabránilo opakovaniu podobných udalostí.

Vypracovanie analýzy rizík je cyklický proces, ktorý si vyžaduje pravidelné aktualizácie a prispôsobovanie neustále sa meniacim sa podmienkam a hrozbám.

RNDr. Daniel Schikor

manažér kybernetickej bezpečnosti