Jmenuji se Josef Mynář a od roku 1996 se věnuji nasazení a implementaci SW řešení. Postupně jsem se profiloval pro dodávky projektového řízení na platformě SW Oracle Primavera. Pro tuto oblast jsem získal i certifikace společnosti Oracle a certifikaci IPMA Level B.
V posledních 4 letech jsme se ve firmě začali věnovat i oblasti řízení rizik a implementaci kybernetické bezpečnosti. Ve společnosti NETIA® s.r.o. působím jako jednatel a Business development manager.
Společnost NETIA® s.r.o. se zaměřuje se především na tyto oblasti:
Projektové řízení – SW Oracle – Primavera – dodávka licencí, školení a implementace, podpora BIM
Řízení rizik a interních auditů – SW pro řízení rizik a Interních auditů - dodávky licencí, školení, implementace – cloudové řešení
Řešení pokrytí Zákona o kybernetické bezpečnosti – administrativně organizační opatření, technická opatření - SIEM, Nagios
GDPR/Data Protection Officer – konzultace a zastupování firem a úřadů
Oborová řešení pro řízení rizik – zdravotnictví, strojírenství, veřejná správa
Řízení rizik – tvorba metodik a směrnic
Pracovníci společnosti NETIA® s.r.o. mají rozsáhlé zkušenosti z mnohaletého působení v IT a realizace projektů v České a Slovenské republice.
Pro podporu řízení rizik jsme hledali SW platformu, kde by bylo možné pomocí customizace nastavit proces řízení rizik. Po testování jsme se rozhodli připravit naše řešení na platformě Team assistant, která komplexně splňovala naše požadavky.
Mimo toto připravené řešení máme i další customizace na této platformě: AURIS - SW pro řízení interních auditů a rizik, TAS KYBEZ pro implementace požadavků kybernetického zákona, Risk management tool customizace pro řízení rizik.
Na přelomu roku se nám po dlouhém prověřování a auditu podařilo získat od mezinárodní certifikační autority pro SW produkt osvědčení, že naše SW řešení je v souladu s požadavky systémových norem:
ČSN ISO/IEC 270001:2014 - systém managementu bezpečnosti informací (ISMS)
ČSN ISO 31000:2018 - řízení rizik
Pro zákazníky implementující tyto ISO normy to má zásadní výhodu v tom, že pokud použijí naše řešení, naplní všechny požadavky těchto norem na implementované procesy a bude pro ně jednodušší projít certifikačním procesem.
Proces certifikace byl poměrně dlouhý a složitý. Prvním problémem bylo najít firmu, která má zkušenosti
a dělá takovou certifikaci. Následně se nastavil plán, co bude nutné v rámci certifikace prokázat -
museli jsme mít připravené prostředí odpovídající požadovaným normám.
V rámci prostředí byly nastaveny procesy dle ISO norem. V dalším kroku proběhlo několik kol pohovorů,
prezentací a ukázek námi nastaveného řešení za účasti auditorů certifikační firmy. Výsledkem byl protokol
o certifikaci a vystavené osvědčení.
Komplexní řešení - řízení interních auditů a řízení rizik je nasazeno u organizace Správa železnic,
kde s tímto systémem pracují stovky uživatelů.
Největší výzvy u tohoto zákazníka byly dvě - první, že v rámci útvaru interního auditu nebyl dosud používán žádný SW, takže jsme museli věnovat velkou část práce na proškolení uživatelů.
Druhá výzva byla v oblasti řízení rizik. Celý proces řízení rizik se u zákazníka teprve nasazoval, tudíž procesy nebyly usazené a to znamenalo, že některé nastavené procesy jsme musely korigovat a některé procesy nově přibývaly, jak se vyvíjela metodika práce tohoto oddělení.
Největší výzvou bylo implementovat celý systém řízení rizik s ohledem na připravovaný audit NUKIBem. Společnost provozuje Kritické informační systémy, takže musí implementovat požadavky Zákona o kybernetické bezpečnosti a prováděcí vyhlášky.
V rámci projektu jsme měli na celou implementaci omezený časový rámec, takže největší výzvou byla rychlost dodávky. Celá implementace proběhla v řádu několika měsíců.
Oblast risk managementu je novou rozvíjející se oblastí. Firmy a organizace se postupně učí přecházet na řízení firem dle definice rizik v rámci risk analýz tzv. Enterprise risk management. Pokud se tato oblast dobře uchopí a naimplementuje, podaří se managementu firem a organizací minimalizovat ztráty z identifikovaných rizik. Jak narůstá význam této oblasti a rozšiřuje se řízení rizik přes celé společnosti a organizace, vzrůstá i požadavek na případnou SW podporu.
V oblasti kybernetické bezpečnosti je oblast řízení rizik jednoznačně definovaná Zákonem o kybernetické bezpečnosti a prováděcí vyhláškou o kybernetické bezpečnosti. Pokud organizace spadá pod kybernetický zákon musí tyto požadavky implementovat a je k tomu nutná SW podpora. I u menších organizací se jedná o desítky až stovky aktiv a k tomu o desítky až stovky rizik.
S příchodem pandemie došlo k zásadní změně v rámci běžících projektů. Byly utlumeny osobní schůzky a přešlo se do virtuálního prostředí. Bohužel s tím je možné sledovat částečný pokles produktivity práce, posun práce mimo standardní pracovní dobu atd.