Cybersecurity plán

Posted on by Eva Senková
Cybersecurity plán

Prečo plán kyberbezpečnosti nie je iba IT dokument

Plán kyberbezpečnosti je riadiaci rámec, ktorý spája riadenie rizík, kontrolné mechanizmy a postupy reakcie na incidenty do jedného funkčného celku. Jeho účelom nie je eliminovať všetky hrozby, ale dosiahnuť primeranú bezpečnosť vzhľadom na podnikové ciele, regulácie a rozpočtové možnosti. Dobre navrhnutý plán definuje zodpovednosti, metriky, SLA, rozhrania medzi IT/OT/Cloud a stanovuje štandardy, ktoré minimalizujú dopady incidentov na kontinuitu podnikania.

Rámce a princípy: na čom plán stavať

  • Riadenie rizík (ERM) prepojené s kyber rizikami – bezpečnosť ako podnikové riziko, nie ako technický problém.
  • Best practices ako NIST CSF (Identify–Protect–Detect–Respond–Recover), ISO/IEC 27001/2, CIS Controls, Zero Trust princípy (minimálne oprávnenia, neustála verifikácia, segmentácia).
  • Privacy-by-design a security-by-design v životnom cykle systémov a produktov.
  • „Assume breach“ mentalita: predpokladaj kompromitáciu, navrhuj detekciu, obmedzovanie a obnovu.

Inventarizácia a klasifikácia aktív: čo chránime

  • Asset inventory (HW, SW, cloud služby, API, dáta, účty, tajomstvá). Dynamická synchronizácia CMDB s cloud účtami a AD/IdP.
  • Klasifikácia dát (verejné, interné, dôverné, regulované) a mapa tokov dát (kde vznikajú, kto k nim pristupuje, kde sú uložené).
  • Vlastníci aktív (business owners) a technickí správcovia; povinnosti v oblasti dostupnosti, integrity a dôvernosti.

Modelovanie hrozieb a scenáre: proti komu hráme

  • Typy protivníkov: oportunistickí útočníci, organizovaný cybercrime (ransomware affiliate), insider, dodávateľský reťazec, štátom sponzorovaní aktéri.
  • Útočné vektory: phishing a BEC, zneužitie zraniteľností, kompromitácia identity (MFA fatigue), supply-chain (knižnice, CI/CD), misconfig v cloude, útoky na OT/IoT.
  • Metódy: MITRE ATT&CK mapovanie taktických krokov pre prioritné systémy.

Riziková analýza: metodika a register rizík

Riziko = pravdepodobnosť × dopad s priradením vlastníka rizika, mitigácie a cieľového stavu. Dopad posudzujte na financie, právne/regulačné aspekty, reputáciu, bezpečnosť osôb a prevádzku.

ID Riziko Pravdep. Dopad Skóre Mitigácie Vlastník Termín
R-01 Ransomware na file serveroch Vysoká Vysoký H EDR, segmentácia, offsite zálohy, tréning IT Sec Lead Q1
R-02 Únik regulovaných dát Stredná Vysoký H DLP, šifrovanie, PAM, CLS logging DPO Q2
R-03 Dodávateľský reťazec (SaaS) Stredná Stredný M Due diligence, zmluvné SLA, monitorovanie Vendor Mgmt Q1

Kontrolná architektúra: preventívne, detekčné a korektívne opatrenia

  • Preventívne: IAM s MFA, SSO/IdP, least privilege, PAM na privilegované účty, sieťová segmentácia a mikrosegmentácia, hardening baseline, bezpečné konfigurácie cloudu (CSPM), SBOM a kontrola závislostí, bezpečné CI/CD (podpis artefaktov, izolácia runnerov), e-mailová ochrana (DMARC/DKIM/SPF), bezpečnostné brány pre API.
  • Detekčné: EDR/XDR, SIEM s koreláciami, NDR, správa zraniteľností (skener + priorizácia podľa EPSS/KEV), auditné logy s nemenným úložiskom, honeypoty a kanáriky, CASB/SSPM pre cloud.
  • Korektívne: automatizované playbooky (SOAR), patch management, revokácia kľúčov a tokenov, obnova zo záloh, izolácia staníc/sietí.

Identity a prístupy: srdce Zero Trust

  • MFA povinné pre všetky privilegované a externé prístupy; odolné metódy (FIDO2).
  • Role-based access control a Just-In-Time privilegované prístupy cez PAM.
  • Správa životného cyklu účtov (joiner/mover/leaver), kvartálne re-certifikácie prístupov.
  • Ochrana tajomstiev (vault), rotácia kľúčov, zákaz „hardcodovania“ tajomstiev v repozitároch.

Bezpečný vývoj a DevSecOps

  • Shift-left: SAST/DAST/IAST, SCA na knižnice, podpis kontajnerov a artefaktov, politika pre open-source príspevky.
  • Pipeline gatekeeping podľa kritickosti; zásady pre infra ako kód (IaC) so skenovaním misconfigov.
  • Bug bounty/vulnerability disclosure program a pravidelné penetračné testy.

Cloud bezpečnosť a multicloud špecifiká

  • Landing zóny s guardrails, oddelené účty/projekty podľa prostredí a citlivosti.
  • KMS a šifrovanie „at rest“ a „in transit“, zákaz verejných bucketov, privátne endpoiny.
  • SSPM/CSPM kontinuálne monitorovanie konfigurácií a compliance.

Vulnerability a patch management: rytmus a prioritizácia

  • Klasifikácia zraniteľností podľa aktívneho exploitovania (KEV), expozície do internetu a kritickosti aktíva.
  • SLAs: kritické do 7 dní, vysoké do 14 dní (alebo dohodnuté podľa rizika/prevádzky), dokumentované výnimky.
  • Canary release a staged rollouts pre minimalizáciu prevádzkového rizika.

Ochrana dát: šifrovanie, DLP a zálohovanie

  • Šifrovanie na úrovni disku, databáz a aplikácií; tokenizácia pre citlivé polia.
  • DLP pravidlá podľa klasifikácie; monitoring exfiltrácie cez e-mail, web, cloud úložiská.
  • 3-2-1-1 pravidlo záloh: 3 kópie, 2 médiá, 1 offsite, 1 nemenná (immutable) – pravidelné testy obnovy.

Kontinuita a obnova: BIA, RTO/RPO, runbooky

  • BIA (Business Impact Analysis) pre určovanie priorít; RTO/RPO podľa kritickosti služieb.
  • Runbooky pre obnovu kľúčových systémov (ERP, e-mail, identita, sieť, cloud workloady).
  • Oddelenie backup domény od produkčných identít a siete, offline recovery plán.

Security awareness a kultúra

  • Program vzdelávania podľa rolí (developer, admin, manažér, prvá línia), simulované phishing kampane.
  • Bezpečnostné štandardy a „clean desk/screen“ zásady, hlásenie incidentov bez obáv (no-blame).

Správa dodávateľov a tretích strán

  • Due diligence: bezpečnostné dotazníky, certifikácie, výsledky auditov, pen-test vyhodnotenia.
  • Zmluvné klauzuly: bezpečnostné požiadavky, SLA, notifikácia incidentov, právo na audit.
  • Kontinuálne monitorovanie kritických SaaS/IaaS, ukončovanie prístupov pri offboardingu.

Governance, roly a RACI

Oblasť Responsible Accountable Consulted Informed
Riziková analýza Security Risk Lead CISO Biznis vlastníci ExCo
Incident response IR Manager CISO PR/Legal/HR/IT Ops ExCo, DPO
Patch management IT Ops CTO Sec Eng Produktové tímy

Incident Response: životný cyklus a prahové úrovne

  • Príprava: playbooky, kontakty, nástroje (IR toolkit), právny rámec, retainer s forenznou firmou.
  • Detekcia a analýza: triage ticket, klasifikácia, zber artefaktov, zachovanie dôkazov.
  • Obsahovanie: krátkodobé (izolácia hosta, blok IP/domén), dlhodobé (reset tajomstiev, segmentácia).
  • Eradikácia: odstránenie malvéru, uzavretie vektorov, patching, zmena konfigurácií.
  • Obnova: validácia systémov, postupné pripájanie, zvýšené monitorovanie.
  • Poučenie: post-incident review, aktualizácia kontrol, tréning, metriky.

Severita incidentov a eskalačná matica

Severita Kritériá Reakčný čas Komunikácia
SEV-1 Ransomware, únik regulovaných dát, výpadok kritickej služby > 1h < 15 min War room, ExCo, regulačný orgán/DPO
SEV-2 Aktívny kompromis bez dopadu na produkciu < 30 min IR tím, vedúci útvarov
SEV-3 Podozrivá aktivita, neúspešný útok < 4 h SecOps, lokálne tímy

Komunikačný plán pri incidente

  • Interné kanály: dedikovaný war-room (chat/bridge), denníky udalostí, rozhodovacie body.
  • Externé strany: zákazníci, partneri, cert autority (ak kľúče), CERT/CSIRT, orgány dohľadu, poisťovňa.
  • Právne a PR: koordinované schválené správy, časovanie notifikácií, minimalizácia právnych rizík.

Playbooky: konkrétne scenáre

  • Ransomware: izolácia segmentov, odpojenie záloh od siete, forenzný obraz, rozhodnutie o vyjednávaní (s právnym a poisťovňou), obnova podľa priorít, rotácia všetkých kľúčov/tajomstiev.
  • Phishing/BEC: reset kredencií, revízia pravidiel preposielania, analýza mailboxu, DMARC posilnenie, tréning.
  • Únik dát: identifikácia rozsahu a kategórie dát, notifikácia DPO, posúdenie povinnosti hlásenia, DLP sprísnenie.
  • Supply-chain kompromis: revízia dôvery tretích strán, rotácia integrácií a tokenov, audit CI/CD, SBOM diff.

Metriky a KPI: ako merať zrelosť a účinnosť

  • MTTD/MTTR (čas do detekcie/reakcie), čas do izolácie, čas do obnovy.
  • Patch compliance podľa kritickosti, pokrytie EDR, MFA coverage, % šifrovaných zariadení.
  • Phishing fail rate, počet high-severity zraniteľností po SLA, účasť na cvičeniach.
  • Počet a typy incidentov na štvrťrok, percento incidentov s root-cause odstránením.

Audit, compliance a dôkazná stopa

  • Politiky a štandardy s verziovaním a schvaľovaním; ročná revízia.
  • Evidencia o prístupoch, zmenách, výnimkách; nemenné logy a retencia podľa regulácií.
  • Interné audity, externé certifikácie a nápravných plány (CAPA).

Kyberpoistenie: prepojenie s plánom reakcie

  • Požiadavky poistiteľa (MFA, EDR, zálohy) zapracované do kontrol.
  • Notifikačné povinnosti a schvaľovanie nákladov počas incidentu; využitie IR retaineru.

Rozpočet a prioritizácia: kde začať

  • Rýchle výhry: MFA pre všetkých, EDR na koncové body, zálohy s immutability, e-mailová ochrana a DMARC, základný SIEM s kritickými use-case.
  • Strednodobé iniciatívy: PAM, CSPM/SSPM, DLP, segmentácia siete, centralizovaný správca tajomstiev.
  • Dlhodobé: Zero Trust sieť, SOC s 24/7, automatizované SOAR playbooky, program bug bounty.

Plán zavádzania: 90–180–365 dní

  1. Dni 1–90: inventár a klasifikácia, MFA, EDR, zálohy a test obnovy, phishing tréning, základné playbooky IR, SIEM use-case pre identity a e-mail.
  2. Dni 91–180: PAM, CSPM, patch SLAs, DLP pilot, segmentácia, tabletop cvičenie SEV-1.
  3. Dni 181–365: SOC/SIEM rozšírenie, SOAR, pen-test/Red Team, supply-chain due diligence, certifikačný program (napr. ISO/IEC 27001).

Tabletop a technické cvičenia: pripravenosť v praxi

  • Tabletop s manažmentom a kľúčovými tímami (právne, PR, HR) – 2× ročne.
  • Technické cvičenia (purple teaming) podľa ATT&CK; validácia detekčných pravidiel a playbookov.
  • Obnova z „holého železa“ – cvičenie obnovy domény identity a kritickej aplikácie.

Šablóny a minimálne náležitosti plánu

  • Politiky: bezpečnostná politika, klasifikácia dát, patching, prístupy, MDM, BYOD, IR politika.
  • Štandardy: hardening baseline, šifrovacie normy, logovanie a retencia, CI/CD bezpečnosť.
  • Playbooky: ransomware, phishing/BEC, únik dát, insider, cloud misconfig, zneužitá API kľúčenka.
  • Kontaktný zoznam a eskalačný strom: 24/7 čísla, alternatívne kanály.

Bezpečnosť ako schopnosť rýchlo sa zotaviť

Plán kyberbezpečnosti vytvára operačnú schopnosť predchádzať, odhaľovať a zvládať incidenty s minimálnym dopadom na podnikanie. Kľúčom je realistická práca s rizikom, implementácia praktických kontrol, pravidelné cvičenia a meranie účinnosti. Organizácia, ktorá kombinuje prevenciu s rýchlou reakciou a obnovou, nie je iba menej zraniteľná – je odolná a pripravená udržať si dôveru zákazníkov aj v krízových momentoch.

Related Posts

Drill-down alebo vnorenie

Drill-down alebo Vnorenie v Manažmente Pojem „Drill-down“ alebo „Vnorenie“ predstavuje pohyb po úrovniach hierarchie danej dimenzie zhora nadol. V manažmente a analýze dát je „Drill-down“ […]

inkaso mýtneho / toll collection

Inkaso mýtneho: Prevod Platobných Prostriedkov za Cestnú Infraštruktúru Inkaso mýtneho, často označované aj ako „toll collection,“ je dôležitým pojmom v oblasti dopravy a cestnej infraštruktúry. […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *