Rozhovor s Ing. Michalem Vaněčkem, místopředsedou představenstva T-SOFT a.s. moderuje Eva Hůlková v Hovorech na Českém rozhlase Plus.

Ve středu 16. března 2016 se uskutečnilo jednání řádné Valné hromady ICT UNIE.

Na programu valné hromady byla mimo jiné i volba členů Řídícího výboru pro informační společnost s mandátem do roku 2019. Jedním ze zvolených členů se stal Ing. Jaroslav Pejčoch, předseda představenstva T-SOFT a.s.

Dne 8. prosince 2015 proběhla v Senátu Parlamentu České republiky odborná konference Státní hrady a zámky a jejich návštěvníci, v rámci které Ing. Jaroslav Pejčoch představil projekt Klíč k památkám.

Záznam byl pořízen nástrojem PreVid. 

Projekt Klíč k památkám má za cíl zlepšit komfort návštěvníků při plánování jejich výletů po památkách, zvýšit návštěvnost památek a přiblížit památky mladé generaci. Velkým přínosem je prezentace památek v 6 jazykových mutacích, od čehož si Ministerstvo kultury a NPÚ slibují přilákání zahraniční klientely. V aplikaci, kterou jsme vyvíjeli společně s firmou STYRAX, a.s., je prezentováno 105 objektů pod správou NPÚ. Plánuje se postupné rozšiřování o další objekty z Asociace majitelů hradů a zámků.

Konferenci pořádal Výbor pro vzdělávání, vědu, kulturu, lidská práva a petice za odborné podpory Národního památkového ústavu (NPÚ).

Oficiální portál Klíč k památkám.

Spuštění věrnostního programu a mobilní aplikace proběhlo 20. prosince 2015.

Sakrujete. Jste nespokojení. Podvědomě tušíte, že se začíná cosi dít. Občas byste počítač hodili z okna. Zuříte na ajťáka, že se fláká, místo aby věděl, co jako uživatel potřebujete. Spíláte programátorům, že zaspali nebo předběhli dobu. Firemnímu systému začínáte nedůvěřovat, protože vás párkrát vypekl. Nastává okamžik pravdy – bude potřeba něco udělat. Neumíte to definovat, jen to jaksi cítíte v kostech. Tajemný hlas vám našeptává, že se blíží průšvih. A vězte, že intuice má pravdu.

O této pravdě je rozhovor s Ing. Michalem Vaněčkem, Ph.D., MBA , místopředsedou představenstva společnosti T-SOFT a.s.

Zachování kontinuity podnikání a ošetření rizik bývá ve firmách často opomíjenou činností. S řádným posouzením rizik a nastavením adekvátních opatření se obvykle začíná až po nějakém významném “průšvihu”. Nečekejte na okamžik, kdy vám někdo zcizí data nebo vyhoří serverovna.

Zkuste se řídit naším desaterem a ochraňte aktiva vaší společnosti.

1. Zaveďte řízení rizik jako proces

Definujte nezbytné role, postupy a vazby, přidělte odpovědnosti a pravomoci. Stanovte, jak často a za jakých okolností se bude provádět revize rizik a celého procesu. Optimálně nastavte tento proces jako jednotný pro potřebu řešení komplexní bezpečnosti celé společnosti.

2. Určete rozsah a hranice

Určete důležité oblasti činností Vaší společnosti a zmapujte si, co všechno v těchto oblastech chcete chránit, jinými slovy udělejte si přehled aktiv. Při definování rozsahu a hranic vycházejte z obchodních cílů společnosti, struktury společnosti a geografických podmínek, právních a smluvních požadavků i obchodních procesů.

3. Vyberte vhodnou metodiku

Vyberte metodiku (nástroj) pro hodnocení rizik, aby byla vhodná a univerzálně použitelná pro všechny oblasti bezpečnosti, které chcete řešit, aby opakovaně poskytovala srovnatelné výsledky a byla přiměřeně jednoduchá a přehledná. Pokud to metodika (nástroj) umožňuje, nadefinujte si vlastní vhodnou škálu pro hodnocení vstupních parametrů (aktiva, hrozby atd.) a pro hodnocení výstupních rizik (např. nízké, střední, vysoké) včetně kritérií pro akceptaci rizik.

4. Ohodnoťte rizika a udržujte jejich přehled

Podle vybrané metodiky vyčíslete a vyhodnoťte rizika. Vytvořte si katalog (registr) rizik, který bude obsahovat přehled všech identifikovaných rizik s jejich popisem a dalšími informacemi, které se k riziku vztahují. Každé riziko by mělo mít svého vlastníka (garanta), který riziko monitoruje a při změně podmínek dává podnět k revizi rizika.

5. Volte vhodnou strategii a postup při zvládání (ošetření) rizik

Zpracujte si plán pro realizaci navržených opatření (Plán zvládání rizik), kde stanovíte priority (pořadí) opatření, termíny, odpovědnosti apod.
Při výběru vhodných protiopatření vždy zvažujte efektivitu navrhovaných opatření tak, aby cena opatření nepřevyšovala potenciální ztráty. Snažte se preferovat preventivní opatření, která vyjdou ve výsledku levněji, než řešení následků incidentů. Kde to lze, volte opatření, která mají co nejširší působnost, tj. pokrývají více rizik, případně více oblastí komplexní bezpečnosti, typicky se jedná např. o organizačně administrativní opatření. Některá rizika se vyplatí raději akceptovat, než volit nepřiměřeně drahá opatření. Další možností je přenos rizika na pojišťovnu. Realizovaná bezpečnost by měla být vždy v souladu se strategií a business plánem společnosti, ochrana života a zdraví osob je ale vždy na prvním místě.

6. Nezapomeňte na mobilní zařízení

BYOD (Bring Your Own Device) je trend moderní doby, který se nedá zakázat ani ignorovat. Udělejte si přehled, jaké informace si nosí uživatelé s sebou, a zanalyzujte si s tím související rizika. Stanovte základní pravidla pro používání firemních dat, zahrnující jak pravidla bezpečného zacházení, tak technická opatření. Lze samozřejmě nasadit i systémy centrální správy mobilních zařízení (MDM), případně systémy DLP (Data Leakage Protection) proti úniku dat. Při řešení mobilní bezpečnosti zapomeňte na klasický perimetr a volte přístup „bezpečného úniku dat“ (Secure breach).

7. Evidujte a řiďte bezpečnostní incidenty

Zaveďte centralizovaný proces hlášení a řešení bezpečnostních problémů (incidentů). Použijte vhodný systém, který bude zpracovávat nejen hlášení od automatizovaných systémů (např. typu SIEM), ale také hlášení od uživatelů. Zahrňte do procesu také postupy eskalace a případně i varování. Řešení incidentů doveďte až ke konkrétním opatřením voleným dle strategie zvládání rizik. Dle okolností revidujte výsledky hodnocení rizik (katalog rizik).

8. Vzdělávejte uživatele

Lidský faktor je nejčastější (cca 80%) a také nejhůře ovlivnitelnou příčinou bezpečnostních incidentů. Proti některým hrozbám, jako je např. metoda sociálního inženýrství, je v podstatě jedinou možnou obranou uživatel s dostatečným bezpečnostním povědomím. Nejúčinnější metodou vzdělávání je ovšem osobní zkušenost. I ta se dá ale zprostředkovat např. formou „penetračních testů“ pomocí sociálního inženýrství.

9. Veďte dokumentaci a záznamy

Mějte proces řízení rizik řádně zdokumentován (co je psáno, to je dáno) a i zde aplikujte principy řízení dokumentů (garant dokumentu, identifikace, schvalování, řízení verzí, šíření). Důležité dokumenty a záznamy, které v rámci procesu vznikají, uchovávejte po nezbytně dlouhou dobu a zpřístupněte je jen těm uživatelům, kteří je nutně potřebují ke své práci (zásada „need to know“).

10. Udržujte zpětnou vazbu

Mějte proces řízení rizik zavedený v tzv. cyklu PDCA (Plan-Do-Check-Act, tj. Demingův model). Definujte si vhodné metriky pro sledování efektivity realizovaných opatření. Provádějte kontroly a audity a dle výsledků těchto činností systematicky vylepšujte jak vlastní proces řízení rizik, tak bezpečnost v jednotlivých oblastech.

Naše společnost má s problematikou bezpečnosti informací a analýzy rizik bohaté zkušenosti z řady projektů. Pokud budete potřebovat poradit, tak nás neváhejte kontaktovat.

Mezinárodní organizace TIEMS pořádala výroční konferenci v Římě ve dnech 30. září až 2. října 2015.

Konference se zúčastnili celosvětoví odborníci a řada národních delegací z oblastí, které byly v nedávné době postiženy velkými katastrofami. Přijeli zástupci Nepálu, Číny, Indie, Nového Zélandu, Koreje a dalších.

Panelové diskuze na téma zemětřesení v Nepálu se první den zúčastnil předseda představenstva T-SOFT, Ing. Jaroslav Pejčoch.

Earthquake Disaster in Nepal

TIEMS (The International Emergency Management Society) je mezinárodní organizací poskytující globální fórum pro výchovu, vzdělávání, certifikaci a politiku pro krizové řízení a zvládání katastrof. TIEMS po světě zřizuje národní pobočky, které realizují své aktivity pod heslem „Mysli globálně a pracuj lokálně.“