Skip to Content

Proč už nestačí jen míti Filipa

CISO, manažer bezpečnosti

Jak je důležité míti CISO a ne jenom Filipa?

Toto je Humornější pojetí o již zmíněném tématu, které naleznete zde

Jak je důležité míti Filipa? více potřebujete CISO a klidně ať se jmenuje Filip

Proč je dobré mít CISO (manažer bezpečnosti)

Protože zatímco Filip vás zachránil maximálně ve společnosti, ve vaši dobré víře nebo poradil jak nastavit email v telefonu, CISO vás může zachránit před titulkem na Seznamu:

„Naše data jsou pro nás prioritou.“

vydaným tři hodiny po ransomware útoku.

Kdo je CISO

Co vlastně dělá CISO?

Na papíře je to Chief Information Security Officer.

V praxi člověk, který:

  • ví, že „admin/admin“ není strategie,
  • tuší, proč není dobrý nápad sdílet firemní hesla v Excelu,
  • a dokáže managementu vysvětlit, že kyberbezpečnost není „IT paranoia“, ale způsob, jak nepřijít o firmu.

CISO nespravuje jen security.

Spravuje hlavně klid.

Klid managementu.

Klid zákazníků.

Klid právního oddělení.

A někdy i klid účetní, která už po třetí klikla na „DHL faktura.zip“.

Externí CISO aneb bezpečnost bez korporátního superhrdiny na payrollu

Mít interního seniorního CISO je skvělé.

Stejně jako mít:

  • vlastního pilota,
  • someliéra,
  • nebo Formuli 1 na cestu do Lidlu.

Technicky možné.

Ekonomicky občas diskutabilní.

Proto firmy stále častěji volí externího CISO.

Dostanou:

  • zkušenosti z reálných incidentů,
  • bezpečnostní leadership,
  • governance,
  • compliance,
  • krizové řízení,
  • a člověka, který pozná problém dřív, než začne hořet Slack.

Bez nutnosti prodávat ledvinu HR oddělení.

Nejčastější security realita ve firmách

„Bezpečnost řeší Filip z IT“

Filip:

  • spravuje notebooky,
  • řeší tiskárny,
  • nastavuje Teamsy,
  • restartuje router,
  • a protože jednou četl článek o phishingu, stal se i security oddělením.

Filip je šikovný.

Ale Filip není strategie.

NIS2? ISO 27001?

Spousta firem bere compliance jako návštěvu zubaře.

Všichni vědí, že to jednou přijde.

Nikdo to nechce řešit dnes.

Pak přijde audit.

A najednou vznikají dokumenty rychlostí startupového pitch decku.

cloudy ciso

Cloud everywhere

Dřív byla infrastruktura server ve sklepě.

Dnes je:

  • něco v AWS,
  • něco v Azure,
  • něco v Microsoft 365,
  • něco v Google Workspace,
  • něco v SaaSu,
  • a něco „někde, ale Pepa říkal, že to funguje“.

Moderní security už není o jednom firewallu.

Je o tom neztratit přehled ve vlastním digitálním vesmíru.

vyhody CISO

Co externí CISO reálně přináší?

Nejen nekonečné tabulky a strašení hackerama.

Ale hlavně:

  • analýzu rizik,
  • bezpečnostní strategii,
  • incident response,
  • vendor management,
  • compliance,
  • reporting pro management,
  • a schopnost překládat mezi světem IT a světem lidí, kteří říkají:

„A fakt by někdo útočil zrovna na nás?“

Ano.

Právě na vás.

Největší omyl firem?

Že security je náklad.

Ve skutečnosti je drahý až incident.

Ransomware totiž nepřijde jen pro data.

Přijde:

  • pro reputaci,
  • zákazníky,
  • provoz,
  • důvěru,
  • a někdy i pro nejhezčí kvartální výsledky.

reputace firmy

Takže proč je důležité míti CISO?

Protože moderní firma bez security leadershipu funguje trochu jako penthouse bez dveří.

Vypadá draze.

Dokud někdo nevejde dovnitř.

A protože dnes už nestačí mít dobrý produkt, dobrý sales nebo dobrý marketing.

Je potřeba mít i někoho,

kdo zajistí, že vám jednoho dne nezačne CFO psát v 02:13 ráno:

„Proč jsou naše servery v Rumunsku?“

 

Co je CISO a proč je důležitý pro firmu