Jaké jsou vaše bezpečnostní slabiny? Audity fyzické i kybernetické ochrany

Bezpečnost se často řeší až ve chvílích, kdy nastane problém. Tedy v momentu, kdy nad situací máte omezenou kontrolu. Dopady incidentu jsou poté mnohem závažnější, než kdyby byla rizika identifikována a řešena včas, ještě před tím, než k samotné události dojde. Jak by v krizové situaci obstála vaše organizace, a měla by vůbec připravené postupy, o které se může opřít?

Bezpečnostní dokumentace a plán objektu během odborného auditu

Článek GBH Academy

Audity fyzické i kybernetické ochrany

Slabé místo musí být vidět dřív, než vznikne incident.

Řada společností se dnes zaměřuje na jednotlivá bezpečnostní opatření, například kamerové systémy, vstupní karty nebo interní pravidla. Samostatná opatření ale nemusí automaticky znamenat funkční bezpečnostní systém. Bezpečnostní audit dokáže ukázat, zda jednotlivé části skutečně fungují jako celek, od technického zabezpečení přes připravenost personálu až po krizové postupy. Nejde přitom pouze o hledání problémů, ale především o získání jasného přehledu o rizicích, prioritách a konkrétních krocích, které povedou ke zvýšení bezpečnosti. Přesně na to se GBH Academy soustředí a je schopno zajistit audit fyzické i kybernetické bezpečnosti.

AUDIT FYZICKÉ BEZPEČNOSTI

Audit je zaměřen na tzv. měkké cíle, tedy objekty s vysokou koncentrací osob a nízkou úrovní ochrany. Mohou mezi ně patřit školy, úřady, nemocnice, velké firmy, sociální služby nebo kulturní a sportovní instituce. V posledních letech se ukazuje, jak zranitelné tyto objekty jsou. A výjimkou bohužel není ani Česká republika. Přesvědčili jsme se o tom při střelbě na Filozofické fakultě Univerzity Karlovy nebo na úřadě v Chřibské.

Plošná zákonná povinnost zavádět konkrétní bezpečnostní opatření sice zatím neexistuje, stále častěji se však objevují doporučené standardy, které vytvářejí očekávanou úroveň zabezpečení. Firmy a instituce tak dnes neřeší pouze samotnou ochranu osob, ale také otázku své odpovědnosti a připravenosti na hrozby.

Co audit přinese?

Audit fyzické bezpečnosti GBH Academy představuje nezávislé posouzení připravenosti objektu na závažný násilný útok. Jeho cílem není pouze identifikovat slabá místa, ale především navrhnout konkrétní opatření. Organizace tak nezískává obecná doporučení, ale jasný plán s prioritami, harmonogramem a odhadem nákladů na potřebné změny.

Audit odpovídá na praktické otázky, které si vedení firmy či instituce často klade až ve chvíli, kdy nastane krizová situace. Jak je objekt připraven na závažný útok? Kudy se lze do budovy dostat a jak je řízen vstup osob? Jak by personál zvládl první minuty, než dorazí policie? Nebo kolik budou opatření stát a jak je rozvrhnout v čase? Výstup je poté stavěný tak, aby s ním mohl pracovat ředitel, starosta, board i provozní manažer.

Jaké jsou fáze auditu?

Posouzení probíhá v několika navazujících krocích. Nejprve dochází k analýze samotného objektu a jeho okolí, včetně identifikace možných zdrojů hrozeb a způsobů útoku. Následuje fyzická kontrola objektu, během které se hodnotí například režim vstupu osob do budovy, připravenost vnitřních prostor a připravenost na vnitřní evakuaci nebo využití technologií, jako jsou kamery a elektronické zabezpečovací systémy.

Stejný důraz je kladen také na lidský faktor. Hodnotí se úroveň školení zaměstnanců, existence krizových plánů, systém varování i nastavení spolupráce se složkami integrovaného záchranného systému. Výstupem není pouze identifikace rizik, ale především konkrétní bezpečnostní plán obsahující doporučené kroky, harmonogram realizace a postupy pro řešení mimořádných situací.

Připravenost lze posílit také modelovými situacemi. V rámci školení ochrany proti aktivnímu útočníkovi si personál může vyzkoušet, jak reagovat v krizi, a ověřit si správnost postupů v kontrolovaném prostředí. Tím se výrazně zvyšuje schopnost reagovat rychle a koordinovaně i v momentě, kdy už nejde o cvičení, ale o reálnou situaci.

Audit zajišťují experti z praxe

Analýzu zpracovává přímo Lumír Němec, bývalý velitel skupiny zvláštních operací zásahové jednotky URNA Policie ČR a speciálních jednotek SOG Armády ČR. Má zkušenosti z misí v Kosovu, Iráku a Afghánistánu. Mezi další členy týmu patří bývalí příslušníci Armády a Policie ČR, kteří se v praxi setkávali s ochranou osob a objektů, řešením krizových situací i reakcí na bezpečnostní incidenty.

Celé posouzení vychází z metodiky Ministerstva vnitra České republiky, normy ČSN 73 4400 a ověřených postupů z reálné praxe. Díky tomu není audit založený na obecných doporučeních, ale na zkušenostech z prostředí, kde rozhoduje rychlost, přesnost a funkčnost jednotlivých opatření v praxi.

AUDIT KYBERNETICKÉ BEZPEČNOSTI

Kybernetická bezpečnost dnes není pouze otázkou IT oddělení, ale zásadní součástí řízení celé organizace. Data, přístupy, e-mailová komunikace i cloudové systémy tvoří infrastrukturu, na které stojí každodenní provoz. Co se ale stane, když dojde k úniku přístupových údajů, napadení e-mailové schránky nebo zašifrování klíčových dat? A má vaše organizace jasně nastavené postupy, které v takové situaci fungují bez improvizace?

Zkušenost ukazuje, že většina kybernetických incidentů nevzniká kvůli selhání technologií, ale kvůli nedostatečně nastaveným procesům, slabým místům v přístupech nebo lidské chybě. Právě proto už nestačí mít pouze antivirovou ochranu nebo základní IT zabezpečení. Organizace potřebují ucelený pohled na to, jak jsou jejich systémy, data a lidé skutečně chráněni.

V čem je audit užitečný?

Kybernetický audit GBH Academy prověřuje, jak organizace nakládá s daty, přístupy, systémy a dodavateli a zda je dostatečně připravena na současné kybernetické hrozby. Výsledkem je přehled možných rizik a konkrétní doporučení pro posílení bezpečnosti.

Důležitou součástí je také vyhodnocení regulatorního postavení organizace v rámci nového zákona o kybernetické bezpečnosti. Ten stanovuje povinnosti pro poskytovatele regulovaných služeb a zavádí dvoustupňový systém požadavků na zabezpečení. Pro řadu organizací tak audit není jen otázkou bezpečnosti, ale i nutného souladu s právním rámcem. Audit je často vyžadován také pro sjednání kyberpojistky nebo při veřejných zakázkách.

Z čeho se audit skládá?

Analýza probíhá ve třech krocích. Nejprve se vyhodnocuje, do jaké úrovně regulace organizace spadá a co reálně musí splnit. Následuje detailní analýza rozdílu mezi požadovaným stavem a realitou provozu. Konkrétně se audit zaměřuje na správu identit a přístupů, práci s hesly, vícefaktorové ověřování, zabezpečení e-mailové komunikace, zálohování, ale i vzdálený přístup a nakládání s citlivými daty. Součástí posouzení je také kontrola dodavatelů externích služeb, které často představují nejslabší článek celé bezpečnostní struktury.

Na základě provedené analýzy vzniká plán, který převádí zjištěná rizika do konkrétních kroků. Nejde jen o seznam problémů, ale o praktický návod, co má organizace udělat hned, co v následujících měsících a co řešit dlouhodobě. Součástí je také příprava dokumentů, jako jsou bezpečnostní pravidla, interní směrnice a další podklady vyžadované legislativou, které lze rovnou využít v praxi nebo předat odpovědným týmům.

Audit zároveň řeší i to, kdo má v organizaci za kybernetickou bezpečnost odpovědnost. Tyto role musí být jasně určené a funkční. V případě potřeby je lze zajistit přes experty GBH Academy. Cílem je, aby bezpečnost nestála jen na papíře, ale fungovala i v reálném provozu.

Kdo vaši kybernetickou bezpečnost posoudí?

Audit provádí tým zkušených odborníků z velkých technologických firem a bývalí členové zpravodajských služeb, tedy lidé, kteří vědí, jak čelit útokům obchodní a průmyslové špionáže, odposlechům nebo sledování elektronické komunikace. Zároveň splňují zákonné požadavky na kvalifikaci, praxi i nezávislost. Jejich odbornost je doložena certifikacemi Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a akreditovaného certifikačního orgánu TAYLLORCOX. Přístup kombinuje požadavky zákona s praktickými zkušenostmi z reálných bezpečnostních incidentů.

Bezpečnost není jednorázové opatření, ale proces, který se musí pravidelně ověřovat a upravovat podle reálných rizik. Audity fyzické i kybernetické bezpečnosti GBH Academy dávají organizacím jasný přehled o tom, kde se dnes nacházejí, jaká rizika podceňují a jaké kroky mají udělat jako první. Tým GBH Academy má za sebou zakázky pro více než tisíc organizací napříč sektory. Zkušenosti z těchto projektů se promítají do každého dalšího auditu. Kompletní nabídku služeb naleznete na stránkách GBH Academy. Přiblížit se nám můžete také skrze sociální sítě Facebook, Instagram a TikTok.

Máte zájem o školení?

Pošlete nám poptávku — vrátíme se s návrhem termínu a programu na míru.