MM: Čím se dnes postupy v oblasti bezpečnosti informací řídí?
R. Hofmanová: Evropská organizace pro kvalitu EOQ letos významně revidovala, nebo spíše aktualizovala schéma pro certifikaci manažerů a auditorů bezpečnosti, která je vlastně průvodcem bezpečností informací a dává odborníkům potřebné kompetence. Na jedné straně je zde znalost teorie a legislativní předpisy, na druhé straně je zde schopnost uplatnit je a podle těchto zákonně vytyčených mantinelů postupovat, tvořit, optimalizovat, navrhovat řešení na míru pro podniky. Certifikace tak manažera či auditora bezpečnosti vybavuje nejen teoretickým zázemím, ale zejména schopností jej v praxi uplatnit a vidět souvislosti. Uvědomme si, že pokročilá digitalizace a automatizace v podnicích je možná pouze za předpokladu, že pracovníci mají příslušné znalosti odpovídající úrovni aktuálního poznání. Nesprávné zabezpečení dat může ohrozit fungování podniku, proto mít správně zabezpečená data, ať ta pro výrobu, ale především data zákazníků a zaměstnanců, je dnes již nezbytná nutnost.
MM: Proč schéma prošlo aktualizací?
R. Hofmanová: Původní model zkrátka už nestačil překotnému technologickému vývoji a neakcentoval například ani problematiku GDPR nebo novější právní předpisy. Avšak to není vše. Když jsme jej v České společnosti pro jakost s kolegy utvářeli, museli jsme se důkladně podívat na vývoj společnosti jako celku. Bezpečnost informací je vždy spojena s lidským faktorem a s tím, jak se společnost a její potřeby mění. Proto byly mimo jiné do nového schématu zahrnuty požadavky na znalost Listiny základních práv a svobod, zákona o ochraně osobních údajů, zákona o obchodních korporacích, zákona o ochraně utajovaných informací, zákona o informačních systémech veřejné správy nebo zákona o telekomunikačních službách. Vzhledem ke komplexnosti tohoto schématu byly personální certifikáty M-BI a A-BI zahrnuty do doporučených požadavků pro manažery a auditory kybernetické bezpečnosti v příloze č. 6 k vyhlášce č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů.
MM: Je platné pouze pro Českou republiku?
R. Hofmanová: Zdaleka ne! Tato iniciativa vzešla sice z naší strany, ale nové schéma přijala na své valné hromadě EOQ, tedy je platné pro všechny evropské státy a dále také pro Izrael, Kazachstán a Turecko. V praxi to znamená, že odborník s tímto certifikátem může působit ve všech zmíněných zemích. A do silně globalizovaného světa průmyslu a služeb to zavádí určité jednotné standardy. Je to jako s matematikou. Je všude na světě principiálně stejná.
MM: V čem přesně tedy tkví význam certifikace? A proč by měla mít firma vůbec takového specialistu ve svém týmu?
R. Hofmanová: Držitel personální certifikace je vždy osoba, která prokázala specifické znalosti a dovednosti v určitém oboru. Tito lidé bývají často těmi, kteří stojí u realizace inovací a projektů zlepšování. Výjimkou nejsou ani manažeři a auditoři bezpečnosti informací. Osoba s certifikacemi M-BI nebo A-BI pomáhá významně posunovat kvalitu v rámci společnosti. Ve způsobu zpracování dat, ve způsobu jejich uchovávání, ve způsobu nakládání s nimi. Zavádí v podniku standardy, kterým může rozumět každý profesionál ze zahraničí. Činí tak oblast bezpečnosti informací transparentnější. S oblibou říkám, že certifikovaný manažer nebo auditor bezpečnosti informací zavádí do svého prostředí pořádek, který dává prostor pro zefektivňování podniku jako celku.
Kateřina Šimková