Jedou vaše informační technologie po bezpečné cestě?

Robert Gogela, 21. srpen 2008 08:48 1 komentářů
Rubriky: Security, Byznys

Klic
Informační technologie (dále jen IT) jsou dnes pro každou firmu úplnou samozřejmostí. Jejich hlavní přínos spočívá především ve zrychlení firemních procesů a zefektivnění lidských zdrojů. Vzpomenete si ještě, kolik času uplynulo od napsání obchodního dopisu na psacím stroji po jeho doručení adresátovi? Asi ano. Víte ale, jak je dnes vaše firma na službách IT závislá? Právě v dnešním článku se podíváme na problematiku zabezpečení dat ve firmách.

Robert-gogela
Robert Gogela, Information
Security Senior Consultant,
Asseco Czech Republic

Představte si situaci, že zítra přijdete do práce a z důvodu poruchy IT nebudete schopni vytvořit a odeslat aktuální podklady do výroby. Přemýšleli jste, co budete v takovém případě dělat? Předpokládám, že začnete počítat ztráty a položíte si otázku: „Mohlo se tomu předejít?“

Chyby způsobují vlastní zaměstnanci

V mnoha případech ano, protože naprostá většina problémů v oblasti IT je způsobena pochybením vlastních zaměstnanců nebo firmy, která se o vaše IT stará. Lidský faktor (odborní specialisté, běžní uživatelé) bude vždy rozhodovat o skutečné míře spolehlivosti a bezpečnosti. Ačkoliv většina manažerů průběžně hodnotí ekonomické parametry svých firem, mnohem méně obvyklé je, aby průběžně hodnotili také význam jednotlivých služeb IT pro fungování firmy.

Společnosti si nejsou plně vědomy, které služby IT jsou pro jejich fungování důležité a které méně. Zvládnutí tohoto problému je většinou ponecháno na oddělení IT, které se snaží intuitivně odhadnout, do kterých systémů je potřeba investovat. Jste si ale jisti, že toto oddělení zná vaše skutečné potřeby? Pokud jim říkáte, že všechny provozované aplikace jsou pro vaši firmu stejně kritické, tak si výskytem problémů můžete být prakticky jisti.

Zatímco se firmy v případě svých hlavních podnikatelských aktivit chovají velmi racionálně (počítají náklady a výnosy), tak v případě hodnocení možných rizik převažuje mylný úsudek. Uvedu nejčastěji uváděný příklad mylného hodnocení rizik, a tím je míra rizik letecké a silniční dopravy. Pravděpodobnost, že se stanete obětí letecké nehody je zhruba 1:4 000 000, pokud letíte s renomovanou společností.

Otázka vyhodnocení rizik

U společnosti, která vykazuje častou nehodovost, je riziko o něco vyšší, přesto stále zanedbatelné. Pravděpodobnost, že zahynete v autě, je zhruba 1:300. Při celoživotním řízení auta je samozřejmě ještě vyšší. Přes tato fakta pociťuje většina lidí při létání mnohem větší obavy než při jízdě autem. To se v praxi bohužel projevuje i podstatně měkčími opatřeními bezpečnosti silničního provozu.

Firmy-celkem
Obr. 1 – Podíl výskytu incidentů

Podobně je tomu i při intuitivním hodnocení rizik spojených s provozem IT. Mnoho firem aplikovalo různě nákladné technologie na prevenci před mediálně prezentovanými „katastrofami“ způsobenými počítačovými viry nebo tzv. hackery. Neříkám, že tyto technologie nemají pro váš klidnější spánek význam. Zamysleli jste se ale, jaká je například pravděpodobnost, že vážně onemocní klíčový zaměstnanec vašeho oddělení IT? A jste si jisti, že je ve vaší firmě někdo další se stejnými znalostmi vašich IT systémů, kdo je schopen jej nahradit? Provedli jste alespoň rámcově analýzu možných rizik spojených s provozem IT, odhad jejich pravděpodobností a kalkulace případných obchodních ztrát?

Prevence snižuje možnost hrozeb

Pokud jste na většinu dosud položených otázek odpověděli kladně, pak patříte mezi šťastnou menšinu majitelů, kteří se snaží zvládat možná rizika a závislost své firmy na IT. V opačném případě není důvod k panice, ale je žádoucí se těmito otázkami více zabývat. Cílem zvládnutí bezpečnosti provozovaných IT systémů je zavést preventivní opatření a zajistit jejich provoz tak, aby bylo omezeno působení možných hrozeb a aby byly v maximální možné míře eliminovány škody. Přínos zvládnuté bezpečnosti IT systémů pak spočívá, podobně jako u pojištění, v minimalizaci ztrát při událostech, jako jsou výpadky systému, ztráta dat, prozrazení informací, odliv personálu a podobně.

Dopady-obr
Obr. 2 – Dopady incidentů na podnikání

Jistě jste si již položili i další otázku: „Jaké jsou nejčastější incidenty bezpečnosti IT?“ Odpověď na ni není úplně jednoduchá. V mnoha zemích, včetně České republiky, se provádějí různé průzkumy, ale jejich vypovídací schopnost je často diskutabilní. Je to způsobeno zejména tím, že žádná firma se nechce „chlubit“ incidenty se závažnými dopady.

Nicméně, všechny průzkumy se shodují na tom, že zhruba 70 – 80 % incidentů je způsobeno nedbalostí nebo z úmyslu vlastních zaměstnanců. V České republice patří k nejčastějším incidentům výpadky napájení a síťové komunikace. Následující grafy uvádějí nejčastější typy incidentů a závažnost dopadů, které byly publikovány v letošním vládním průzkumu stavu informační bezpečnosti firem ve Velké Británii (2008 Information Security Breaches Survey).

O řešení bezpečnosti IT systémů existuje mnoho dostupných informačních zdrojů. Především jsou to katalogy nejlepších praktik a doporučení uznávaných norem, jako např. ISO/IEC 20000, ISO/IEC 27002, ISO/IEC 18028, NIST SP 800-*, OSSTMM nebo OWASP. Určitě není efektivní pokoušet se řešit celou problematiku bez pomoci zkušených specialistů. Skutečné odborníky zpravidla poznáte tak, že vám nebudou nabízet jeden „nejlepší“ produkt, který vše vyřeší, ale budou s vámi podrobně diskutovat potřeby vaší firmy a nabídnou vám variantní řešení „na míru“.

Profil

Robert Gogela pracuje na pozici Information Security Senior Consultant ve společnosti Asseco Czech Republic. Zabývá se problematikou bezpečnosti informačních systémů více než 10 let. Podílel se na realizaci projektu První certifikační autority (I.CA) a na bezpečnostních projektech informačních systémů ministerstva obrany a ministerstva vnitra. Specializuje se na analýzy rizik, vytváření architektur bezpečnosti informačních systémů a zajištění ochrany osobních údajů. Svůj volný čas věnuje cestování, jízdě na kole s přáteli a plavání.


Komentáře

NR #1
NR 29. srpen 2008 12:14

Z jakého průzkumu jsou publikovaná data? Zdroj není uveden ...

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 3 komentářů

Starší zprávičky

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

Eurowag dokončil akvizici firmy Princip

Pavel Houser , 20. únor 2017 16:12

W.A.G. payment solutions proniká na trh telematických služeb....

Více 0 komentářů

Samsung zpřístupňuje nové čipy 5G RFIC

Pavel Houser , 20. únor 2017 16:01

Čip dokáže poskytnout větší pokrytí v pásmu milimetrových vln (mmWave)....

Více 0 komentářů

Soud povolil vydání Dotcoma do USA, ten se znovu odvolá

ČTK , 20. únor 2017 12:00

Novozélandský soud zamítl odvolání internetového magnáta německého původu Kima Dotcoma proti jeho vy...

Více 0 komentářů

AbcPráce