Jedou vaše informační technologie po bezpečné cestě?

Robert Gogela, 21. srpen 2008 08:48 1 komentářů
Rubriky: Security, Byznys

Klic
Informační technologie (dále jen IT) jsou dnes pro každou firmu úplnou samozřejmostí. Jejich hlavní přínos spočívá především ve zrychlení firemních procesů a zefektivnění lidských zdrojů. Vzpomenete si ještě, kolik času uplynulo od napsání obchodního dopisu na psacím stroji po jeho doručení adresátovi? Asi ano. Víte ale, jak je dnes vaše firma na službách IT závislá? Právě v dnešním článku se podíváme na problematiku zabezpečení dat ve firmách.

Robert-gogela
Robert Gogela, Information
Security Senior Consultant,
Asseco Czech Republic

Představte si situaci, že zítra přijdete do práce a z důvodu poruchy IT nebudete schopni vytvořit a odeslat aktuální podklady do výroby. Přemýšleli jste, co budete v takovém případě dělat? Předpokládám, že začnete počítat ztráty a položíte si otázku: „Mohlo se tomu předejít?“

Chyby způsobují vlastní zaměstnanci

V mnoha případech ano, protože naprostá většina problémů v oblasti IT je způsobena pochybením vlastních zaměstnanců nebo firmy, která se o vaše IT stará. Lidský faktor (odborní specialisté, běžní uživatelé) bude vždy rozhodovat o skutečné míře spolehlivosti a bezpečnosti. Ačkoliv většina manažerů průběžně hodnotí ekonomické parametry svých firem, mnohem méně obvyklé je, aby průběžně hodnotili také význam jednotlivých služeb IT pro fungování firmy.

Společnosti si nejsou plně vědomy, které služby IT jsou pro jejich fungování důležité a které méně. Zvládnutí tohoto problému je většinou ponecháno na oddělení IT, které se snaží intuitivně odhadnout, do kterých systémů je potřeba investovat. Jste si ale jisti, že toto oddělení zná vaše skutečné potřeby? Pokud jim říkáte, že všechny provozované aplikace jsou pro vaši firmu stejně kritické, tak si výskytem problémů můžete být prakticky jisti.

Zatímco se firmy v případě svých hlavních podnikatelských aktivit chovají velmi racionálně (počítají náklady a výnosy), tak v případě hodnocení možných rizik převažuje mylný úsudek. Uvedu nejčastěji uváděný příklad mylného hodnocení rizik, a tím je míra rizik letecké a silniční dopravy. Pravděpodobnost, že se stanete obětí letecké nehody je zhruba 1:4 000 000, pokud letíte s renomovanou společností.

Otázka vyhodnocení rizik

U společnosti, která vykazuje častou nehodovost, je riziko o něco vyšší, přesto stále zanedbatelné. Pravděpodobnost, že zahynete v autě, je zhruba 1:300. Při celoživotním řízení auta je samozřejmě ještě vyšší. Přes tato fakta pociťuje většina lidí při létání mnohem větší obavy než při jízdě autem. To se v praxi bohužel projevuje i podstatně měkčími opatřeními bezpečnosti silničního provozu.

Firmy-celkem
Obr. 1 – Podíl výskytu incidentů

Podobně je tomu i při intuitivním hodnocení rizik spojených s provozem IT. Mnoho firem aplikovalo různě nákladné technologie na prevenci před mediálně prezentovanými „katastrofami“ způsobenými počítačovými viry nebo tzv. hackery. Neříkám, že tyto technologie nemají pro váš klidnější spánek význam. Zamysleli jste se ale, jaká je například pravděpodobnost, že vážně onemocní klíčový zaměstnanec vašeho oddělení IT? A jste si jisti, že je ve vaší firmě někdo další se stejnými znalostmi vašich IT systémů, kdo je schopen jej nahradit? Provedli jste alespoň rámcově analýzu možných rizik spojených s provozem IT, odhad jejich pravděpodobností a kalkulace případných obchodních ztrát?

Prevence snižuje možnost hrozeb

Pokud jste na většinu dosud položených otázek odpověděli kladně, pak patříte mezi šťastnou menšinu majitelů, kteří se snaží zvládat možná rizika a závislost své firmy na IT. V opačném případě není důvod k panice, ale je žádoucí se těmito otázkami více zabývat. Cílem zvládnutí bezpečnosti provozovaných IT systémů je zavést preventivní opatření a zajistit jejich provoz tak, aby bylo omezeno působení možných hrozeb a aby byly v maximální možné míře eliminovány škody. Přínos zvládnuté bezpečnosti IT systémů pak spočívá, podobně jako u pojištění, v minimalizaci ztrát při událostech, jako jsou výpadky systému, ztráta dat, prozrazení informací, odliv personálu a podobně.

Dopady-obr
Obr. 2 – Dopady incidentů na podnikání

Jistě jste si již položili i další otázku: „Jaké jsou nejčastější incidenty bezpečnosti IT?“ Odpověď na ni není úplně jednoduchá. V mnoha zemích, včetně České republiky, se provádějí různé průzkumy, ale jejich vypovídací schopnost je často diskutabilní. Je to způsobeno zejména tím, že žádná firma se nechce „chlubit“ incidenty se závažnými dopady.

Nicméně, všechny průzkumy se shodují na tom, že zhruba 70 – 80 % incidentů je způsobeno nedbalostí nebo z úmyslu vlastních zaměstnanců. V České republice patří k nejčastějším incidentům výpadky napájení a síťové komunikace. Následující grafy uvádějí nejčastější typy incidentů a závažnost dopadů, které byly publikovány v letošním vládním průzkumu stavu informační bezpečnosti firem ve Velké Británii (2008 Information Security Breaches Survey).

O řešení bezpečnosti IT systémů existuje mnoho dostupných informačních zdrojů. Především jsou to katalogy nejlepších praktik a doporučení uznávaných norem, jako např. ISO/IEC 20000, ISO/IEC 27002, ISO/IEC 18028, NIST SP 800-*, OSSTMM nebo OWASP. Určitě není efektivní pokoušet se řešit celou problematiku bez pomoci zkušených specialistů. Skutečné odborníky zpravidla poznáte tak, že vám nebudou nabízet jeden „nejlepší“ produkt, který vše vyřeší, ale budou s vámi podrobně diskutovat potřeby vaší firmy a nabídnou vám variantní řešení „na míru“.

Profil

Robert Gogela pracuje na pozici Information Security Senior Consultant ve společnosti Asseco Czech Republic. Zabývá se problematikou bezpečnosti informačních systémů více než 10 let. Podílel se na realizaci projektu První certifikační autority (I.CA) a na bezpečnostních projektech informačních systémů ministerstva obrany a ministerstva vnitra. Specializuje se na analýzy rizik, vytváření architektur bezpečnosti informačních systémů a zajištění ochrany osobních údajů. Svůj volný čas věnuje cestování, jízdě na kole s přáteli a plavání.


Komentáře

NR #1
NR 29. srpen 2008 12:14

Z jakého průzkumu jsou publikovaná data? Zdroj není uveden ...

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 1 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

Starší zprávičky

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 6 komentářů

SUSE a Supermicro uzavírají globální partnerství

Pavel Houser , 20. červenec 2017 10:00

Firmy poskytnou řešení pro kritickou infrastrukturu, softwarově definovaná datová centra a integrova...

Více 0 komentářů

Chytrou domácnost vzdáleně řídí 17 % Čechů

Pavel Houser , 20. červenec 2017 09:00

Řízení chytrých domácností v ČR láká hlavně kvůli kontrole nákladů za energie. Ve světě je hlavní mo...

Více 2 komentářů

PayPal a Visa budou nabízet debetní karty v Evropě

ČTK , 20. červenec 2017 08:00

PayPal svou bankovní licenci dosud využíval především k pokladním službám....

Více 0 komentářů