TOP

KYBEZ

Princip APIPA: bezpečný a spolehlivý proces pro vývoj IT v organizaci

Buď zbytečně nebo příliš málo. Tak by se dalo shrnout vybavení organizací nejen z pohledu bezpečnostních
softwarů. Jak z toho ven?

Pořízení softwaru či služby do organizace vychází většinou z jasně daných a smysluplných potřeb. Neustálým
vývojem prostředí však dochází k tomu, že některé systémy postupně zastarají nebo se jejich funkce třou s 
dalšími systémy či už nedokáží komunikovat dříve napojenými softwary.

Právě z těchto důvodů by organizace měly řídit nakupování služeb v oblasti IT dle cyklického principu APIPA,
který se skládá z těchto fází:

1. Analýza

Právě zde dochází k odhalení nedostatků, které je třeba vyřešit. Můžeme si tu představit cokoliv např. středně
velká firma nemá řešení monitoring síťového provozu.  

2. Projekt

Na základě zjištěných informací společnost vypracuje projekt, jakým způsobem bude chtít řešit daný nedostatek.
V této fázi může vyhledat dodavatele systému monitoringu síťového provozu a vyřešit s nimi cenovou nabídku.

3. Implementace

Organizace zavede vybrané systému. Dojde k proškolení uživatelů, tak aby s nimi uměli pracovat a zvládli naplno
využít jejich potenciál. Pokud uživatelé nepochopí, jak systém funguje a nedokáží využít jeho přednosti, pak je
pořízení systému zbytečné. Při zavádění systému musí jednoznačně dojít k součinnosti i ze strany dodavatele.

4. Provoz

V tomto bodě veškeré funkce systému zcela správně fungují a uživatelé (respektive společnost) dokáže systém
naplno využít. Čili v našem případě v organizaci dochází k monitoringu síťového provozu, na jehož základě jsou
přijata další bezpečnostní opatření.

5. Audit

Následná kontrola by měla dát jasnou odpověď na otázku, zda se pořízení nového systému společnosti vyplatilo
či nevyplatilo a proč. Nakonec se firma může dozvědět, že tento nástroj je zbytečný nebo, že jeho potenciál není
naplněn vzhledem k nedostatečným znalostem a schopnostem zaměstnanců, což je mnohem častější případ.

Pokud postup APIPA aplikujeme na aktuální téma GDPR, mohou jednotlivé fáze a jejich výstupy vypadat následovně:
 

Analýza
Analýza GDPR

Projekt
Zřídit DPO, zavést systém na vyhledání a mapování osobních údajů

Implementace
Zavedení DPO, pořízení PIL a PDL, proškolení personálu

Provoz
Aktivní činnost DPO, přesné používání nástrojů

Audit
Zhodnocení všech zavedených opatření (modifikovaná Analýza GDPR)

 

Pří zavádění nových technologií do organizace nesmí být žádná fáze přeskočena. Organizace musí dbát na zpětnou
vazbu od zaměstnanců (uživatelů) i dodavatelů. Je nutné, aby se investice vrátila či abyste alespoň díky včasnému
auditu přišli o co nejméně prostředků.

Mohlo by Vás zajímat: 

V ČR startuje středoškolské studium kybernetické bezpečnosti 

3 tipy na české knihy z oblasti kybernetické bezpečnosti 

Vláda schválí novelizaci vyhlášky o kybernetické bezpečnosti