- Hana Skoupá
Nevíte, jestli máte v kybernetické bezpečnosti všechno správně nastavené? GAP analýza vám pomůže zjistit, jak na tom skutečně jste – kde splňujete požadavky, kde vám něco chybí a co s tím dál. Je to první krok, pokud chcete mít jistotu, že neděláte zbytečná opatření, ale ani nic zásadního nepodceňujete.
Co je to GAP analýza a k čemu slouží?
GAP analýza je metoda, která slouží k porovnání současného stavu s požadovaným cílovým stavem – třeba právě v oblasti kybernetické bezpečnosti, compliance nebo IT procesů. Výsledkem je identifikace tzv. „mezer“ (anglicky gaps), tedy oblastí, kde je potřeba provést změny, doplnit ochranu nebo zlepšit postupy. Cílem je mít jasný přehled o tom, co chybí k dosažení konkrétních cílů nebo souladu s normou.
GAP analýza může být úzká (zaměřená na konkrétní oblast), nebo široká (například komplexní pohled na řízení informační bezpečnosti v celé organizaci). Nejčastěji se zpracovává v těchto situacích:
- před příchodem nové legislativy (například nový Zákon o kybernetické bezpečnosti),
- před certifikačním auditem nebo recertifikací (ISO 27001, TISAX),
- po významných změnách ve společnosti (například akvizice, nový ERP systém, přechod do cloudu a podobná změna IT infrastruktury),
- nebo pravidelně jako součást řízení kybernetických rizik.
Jak GAP analýza probíhá?
Kvalitní GAP analýza není jen o kontrolních seznamech a dokumentaci. Vychází z kombinace různých vstupů – od pohovorů s lidmi ve firmě, přes přezkoumání procesů a technických opatření, až po to, co je (nebo není) napsáno v interních směrnicích. Obvykle zahrnuje tyto kroky:
Zmapování současného stavu
Provedou se rozhovory s klíčovými lidmi, prověří se dokumentace, zabezpečení systémů a to, jaké procesy reálně ve firmě fungují.
Definice požadovaného cíle
Stanovení, k čemu se má výchozí stav společnosti porovnat (například podle ISO 27001, nové legislativy nebo interních politik) a čeho chce dosáhnout.
Identifikace rozdílů (mezer)
Na základě porovnání výchozího stavu s požadovaným cílem se identifikují rozdíly – tedy oblasti, kde firma nesplňuje to, co by podle zvoleného rámce měla.
Návrhy opatření
Pro každý zjištěný rozdíl (tzv. gap) se navrhnou kroky k nápravě. Včetně toho, kdo je má na starost, do kdy by měly být hotové a jaké zdroje budou vyžadovat.
Výstupem by neměl být složitý dokument plný odborných výrazů, ale přehledný akční plán, kterému porozumí i ne-IT vedení. Dobrý výstup obsahuje jasně pojmenované rozdíly, jejich závažnost a doporučený postup řešení, ideálně s časovým a finančním odhadem.
GAP analýza jako základ přípravy na nový Zákon o kybernetické bezpečnosti
GAP analýza je ideální nástroj pro posouzení vašeho stavu kybernetické bezpečnosti vůči požadavkům nového Zákona o kybernetické bezpečnosti, který začne platit v listopadu 2025. Protože pokud už nějaká opatření máte (třeba i částečně nebo neformálně), znamená to, že nezačínáte od nuly. O to víc dává smysl udělat si přehled – kde už máte splněno, kde jsou mezery a co je potřeba doladit. GAP analýza vám pomůže zaměřit se na podstatné a neřešit zbytečnosti.
Podobně funguje i příprava na certifikace – například ISO 27001 nebo TISAX. Bez důkladné vstupní analýzy je obtížné identifikovat, kde může při auditu vzniknout problém a na čem máte zapracovat.
Příklad
Výrobní společnost se na začátku roku 2025 začala připravovat na požadavky připravovaného Zákona o kybernetické bezpečnosti, který má začít platit v listopadu 2025. Základní technická i organizační opatření už měla nějakým způsobem zavedená. GAP analýza odhalila mezery v těchto oblastech:
- Chybělo systematické řízení rizik – rizika nebyla popsána, řízení neprobíhalo průběžně.
- Neexistoval školící plán – zaměstnanci prošli pouze jednorázovým školením při nástupu.
- Bezpečnostní incidenty se neřešily podle žádného scénáře – chyběl plán reakce.
Díky analýze bylo možné tyto mezery rychle pojmenovat a připravit plán nápravných kroků – včetně zavedení řízení rizik podle normy ISO 27005 a vytvoření ročního školícího plánu.
Na co si dát pozor?
Základní porovnání si zvládnete udělat sami. Zapojení interního týmu má výhodu v detailní znalosti prostředí. V praxi ale doporučujeme zapojit i externího odborníka, který přináší zkušenost, nadhled a znalost požadavků, které se mění (například nové zákony, trendy v útocích, best practices z oboru). Pokud plánujete GAP analýzu zadat externě, doporučujeme si pohlídat:
- Podle čeho se bude hodnotit – lepší než obecné „zlepšit bezpečnost“, je potřeba jasně stanovit rámec (například ISO, nový Zákon o kybernetické bezpečnosti, interní politika).
- Kdo bude zapojen – nestačí mluvit jen s IT oddělením. Důležité jsou i HR, vedení nebo klíčoví zaměstnanci v provozu.
- Jaký bude výstup – měl by být srozumitelný, strukturovaný a akční. Ideálně ve formě, která se dá rovnou zapracovat do plánu aktivit.
Kde jsou nejčastěji mezery?
V kybernetické bezpečnosti se často opakují podobné nedostatky. Mezi ty časté patří například:
- Řízení rizik: Chybí systematický přístup k identifikaci a hodnocení kybernetických rizik.
- Dokumentace: Nejsou zpracované nebo aktualizované směrnice a bezpečnostní politiky.
- Školení: Zaměstnanci nejsou pravidelně školeni v oblasti kybernetické bezpečnosti.
- Technická opatření: Zastaralé systémy, chybějící zálohování, slabé řízení přístupů.
- Incident management: Neexistuje plán pro řešení bezpečnostních incidentů.
Odhalte nedostatky včas
Ať už se chystáte na nový Zákon o kybernetické bezpečnosti, certifikaci ISO 27001, nebo jen chcete zvýšit úroveň své kybernetické bezpečnosti, kvalitně provedená GAP analýza vám poskytne pevný základ pro informované rozhodování a plánování. Nečekejte, až bude pozdě a zjistěte, kde máte mezery, a začněte je řešit dříve, než na ně narazí útočníci.
