Na co si stěžují bezpečnostní specialisté

Průzkum společnosti Infosec se pokouší zmapovat, co nejvíc stresuje specialisty na bezpečnost IT. 12 % z nich za největší problém uvedlo, že mají příliš práce a v oddělení je příliš málo lidí; to ale říkají skoro všichni a skoro pořád. Výsledkem je samozřejmě snaha firem po větší automatizaci a orchestraci zabezpečení namísto manuálních procesů, což ovšem opět není nijak specifické pro bezpečnosti IT. Lidé si stěžují, že se nestíhají učit nové věci, hrozí jim vyhoření. Placení jsou ovšem dobře, a to i na poměry podnikového IT; na mzdy jde podle průzkumu 451 Research v průměru asi 40 % rozpočtu oddělení.
Zajímavé je, že mnoho lidí v oddělení bezpečnosti IT ani nejsou specialisté přímo na zabezpečení, zabývají se jím prostě proto, že někdo se tím zabývat musí a firma specialistu nemá (ať už pracují na zabezpečení na full time, nebo dělají ještě něco jiného). Samozřejmě v malé firmě s několikačlenným oddělením IT je taková situace nutností; běžně se však stává i to, že podniky rozšiřují spektrum svých bezpečnostních operací a prostě sem přesunou třeba správce sítí, ERP systémů, databází apod. Tihle lidé jsou nejspíš stresem ohroženi ve zvláštní míře, protože se pohybují v nepříliš známém terénu.

V důsledku přetížení stále více lidí zvládá plnit pouze bezprostřední povinnosti, na další školení a získávání certifikací nemají čas ani sílu. V důsledku toho mají pocit, že zaostávají, tj. např. nemají přehled o aktuálně používaných metodách útočníků. 60 % respondentů průzkumu Infosec uvádí, že jejich organizace je v důsledku toho zranitelnější než před rokem. 50 % považuje za hlavní problém rostoucí sofistikovanost útoků, více vektorů i zranitelných zařízení, 40 % soudí, že největší problém nepředstavují ani tak nové typy útoků, ale prostě to, že vzrůstá jejich počet/četnost.

Bezpečnostní specialisté si nepřekvapivě stěžují na chování koncových uživatelů, a to jakkoliv třeba vedení firem deklaruje bezpečnost jako prioritu a snaží se zaměstnance vzdělávat. Nicméně bezpečnostní pravidla běžně porušují i další lidé z oddělení IT. Podniky postrádají metriky, jimiž by se úroveň zabezpečení měřila – zejména relativně s ohledem na vývoj v čase a v závislosti na konkrétních rozhodnutích (třeba investic do lidí nebo do řešení).

Firmy se často nacházejí v situaci, kdy prostě v krátkodobém horizontu nedokáží snížit složitost celého prostředí, v důsledku toho se nelepší ani situace týkající se viditelnosti – a to jakkoliv všichni uznávají, že 100% viditelnost, sjednocení prostředí a centralizované konzole hrají klíčovou roli. Přetrvává problém s BYOD, k tomu se přidává nejasnosti se zabezpečením aplikací přesouvaných do cloudu (navíc běžně do více cloudů současně, nikoliv v režii podniku jako celku, ale jednotlivých oddělení atd.).

Kelly Sheridan ve své analýze na Dark Reading dále zmiňuje problém IoT. Nikdo v podstatě neví, jako míru rizika na sebe organizace bere přidáním nového zařízení do firemní sítě. Dodavatelé vesměs neuvádění žádné údaje o bezpečnostním testování nebo certifikaci, firmware nebývá digitálně podepsán, totéž platí pro jeho aktualizace, nikdo si pak nemůže být jist, zda se softwarem někde mezi výrobcem a uživatelem nemanipulovalo.

Specialisté na zabezpečení IT si dále stěžují na nedostatečné sdílení dat v oboru a na to, že stále více útoků je organizováno státy/vládními organizacemi. To se sice drtivé většiny podniků přímo netýká, jenže státy tak financují výuku lidí s vynikajícími dovednostmi. Víme, co tito lidé dělají mimo svou práci nebo poté, co ze státních služeb odejdou? Jak své znalosti zpeněží nejefektivněji?