Role Ready – role a odpovědnosti v kybernetické bezpečnosti podle NIS2
Většina organizací již řeší nějakou formu kybernetickou bezpečnost a osvětu uživatelů. Když dojde k incidentu, víte, kdo přesně rozhoduje, kdo eskaluje a kdo nese odpovědnost za vzniklé škody?
Role Ready je úroveň řízeného vzdělávání, která převádí kybernetickou bezpečnost z „IT tématu“ do jasně definovaného systému rolí a odpovědností, jak to vyžaduje NIS2.
Výsledkem není další dokument. Výsledkem je fungující rozhodování v reálné situaci.
Popis kurzu:
Tento kurz navazuje na Awareness Core, vytváří strukturu pro rozhodování a připravuje organizaci na: audit, řízení rizik,a dlouhodobý provoz. Je to přechod z osvěty do řízení kybernetické bezpečnosti.
Komu je kurz určen:
Pro
- organizace 150–500 zaměstnanců
- firmy, které: už mají CISO / IT manažera, splnily základní osvětu (Awareness Core), ale při incidentu nemají jasně dané zodpovědnosti
Pro vedení, které chce:
- jasně rozdělenou odpovědnost
- méně eskalací „na poslední chvíli“
Obsah kurzu:
Role-based školení obsahuje workshopy pro:
Liniové manažery a vedoucí týmů
- jejich odpovědnost v kybernetické bezpečnosti
- kdy rozhodují a kdy eskalují
- práce s výjimkami a tlakem na „rychlost“
IT a technické role
- co od nich NIS2 skutečně vyžaduje
- rozdíl mezi provozem a bezpečností
- kdy eskalovat incident
- spolupráce s CISO
Bezpečnostní role
- hranice odpovědností
- rozhodovací pravomoci
- obhajitelnost rolí při auditu
Incident & odpovědnost – praktický workshop
simulace bezpečnostního incidentu
rozhodovací body:
- kdo rozhoduje
- kdo komunikuje
- kdo nese odpovědnost
- role vedení vs. IT vs. bezpečnost
Cílem není technické řešení, ale řízení situace.
Rozšířený compliance výstup
Po dokončení Role Ready vzniká:
- mapa rolí → školení
- přehled odpovědností
- identifikace mezer
Typický stav před Role Ready
- role existují jen „na papíře“
- zaměstnanci nevědí, kdy a komu eskalovat
- manažeři neví, co je jejich odpovědnost
- IT a bezpečnost si předávají odpovědnost
- CISO řeší operativu místo řízení
Riziko podle NIS2
- nejasná odpovědnost = neobhajitelnost při kontrole
- incident bez rozhodnutí = reputační i provozní problém
Materiály:
Co získá manažer kybernetické bezpečnosti
✔ jasně definované role a odpovědnosti
✔ méně eskalací „na poslední chvíli“
✔ menší závislost na jednotlivcích
✔ systém, o který se lze opřít při incidentu
✔ silnější pozici vůči vedení
Cíle kurzu:
1. Jasně vymezit odpovědnosti napříč organizací
- odstranit nejasnosti typu „kdo to má řešit“
- přiřadit odpovědnost: managementu, IT, bezpečnostním rolím
- zajistit, že každý ví za co odpovídá a za co ne
2. Zajistit funkční rozhodování při incidentech a definovat:
- kdo rozhoduje
- kdo eskaluje
- kdo komunikuje
- odstranit improvizaci a chaos
- zkrátit reakční dobu při incidentu
3. Snížit operativní zátěž Manažera KB
- omezit eskalace „na poslední chvíli“
- přesunout část odpovědnosti na management a role
- umožnit Manžerovi KB řídit, ne hasit
4. Připravit organizaci na požadavky NIS2 a prokazatelně naplnit požadavek na:
- vymezení rolí
- odpovědnost vedení
- řízení incidentů
- vytvořit obhajitelný výstup pro kontrolu
5. Vytvořit základ pro další úroveň zralosti a připravit organizaci na:
- řízení aktiv
- řízení rizik
- audit-ready dokumentaci
- umožnit plynulý přechod k Full Compliance
Jak poznáte, že Role Ready splnilo cíl
- při incidentu není spor o odpovědnost
- manažeři vědí, kdy a komu eskalovat
- IT a bezpečnost mají jasně oddělené role
- Manažer KB má oporu v systému, ne v improvizaci
- organizace je schopna obhájit své nastavení při kontrole
Související kurzy:
Předcházející kurzy
Následné kurzy
