Když duben odchází

Duben už teda odešel, ale protože bylo dost jiné práce, tak jsem se k tomu dostal až nyní.

K názvu mě inspirovala žlutošpendlíková barva na známkách pana prezidenta a přišlo mi škoda toho nevyužít. Mám prostě rád svět okolo Rozdělovací třídy. Vyrostl jsem na tom.

Ale k věci. V dubnu proběhly dvě akce. První byla svačina na téma Kybernetická bezpečnost z pohledu auditora s Martinem Drastichem na téma TISAX a druhou konference Kyberbezpečnost 2023 – prakticky, funkčně, legislativně správně, kterou pořádali kamarádi z DATASYSu, kteří nám rovněž pořídili pivo a párek na tu první akci. Za což jim děkujeme. Proč se k tomu vracím? Bylo tam pár myšlenek, které si myslím, že by neměly zapadnout.

Tou první je věc, o které hovořil Martin. Implementace systému řízení je podle jeho zkušeností především otázka změny myšlení. I když společnost zavede nějaké ISMS a třeba projde certifikací, trvá několik let, pokud teda vůbec, než se změní její myšlení a chování, pochopí, o čem to skutečně je a začnou to brát opravdu vážně, nejen jako povinný papír.

Samotná příprava je tak na rok, pokud začínáte na zelené louce, což víceméně odpovídá lhůtám z NIS2. Pokud již něco máte, např. 27001, a potřebujete doplnit po něco jiného, např. TISAX, tak je potřeba počítat s třemi měsíci.

Zcela klíčové je zde, podle mě, to pochopení a změna myšlení. Pokud tím neprojdete, utratíte spoustu peněz a nemusíte se zrovna moc posunout.

Druhá věc, která mě zaujala, byla informace pana Špidly, že na Slovensku již spočítali, kolik organizací spadne pod NIS2. Přiznám se, že deset tisíc mi připadá opravdu dost. Na druhou stranu mě to nějak nevzrušuje, protože si myslím, že je potřeba se na NIS2 vykašlat a začít budovat skutečný systém řízení bezpečnosti informací. Proč tomu tak je jsme se pokusili objasnit tady.

Jsem zvědavý, na kolik to spočítají u nás.

Konference DATASYSu byla podle mě velmi povedená. Složení přednášejících dávalo smysl. Takže bych Vás rád pozval na jejich podzimní pražskou variantu.