Finance a bezpečnost, aneb peníze až na prvním místě

V řadě oblastí lidské činnosti platí, že: „Cesta do pekla je dlážděna dobrými úmysly.“ A bezpečnost IT není výjimkou. V praxi se setkáváme s tím, že informační bezpečnost je budována chaoticky tak, že bezpečnostní prvky a procesy jsou zaváděny až teprve jako reakce na konkrétní bezpečnostní incident. Jednotlivé komponenty systému pak na sebe nenavazují a celek je zbytečně nákladný.

Pokud k budování systému informační bezpečnosti přistupujeme systematicky a podle logicky navazujícího plánu, jsme schopni dosáhnout určité rovnováhy mezi vynaloženými náklady na bezpečnost a potencionálními škodami, které vyplývají ze známých rizik. Jak je vidět z níže uvedeného grafu, který charakterizuje vzájemnou souvislost mezi náklady na zabezpečení a potenciálními škodami, existuje určitý optimální bod rovnováhy mezi těmito veličinami. Pokud budeme zvyšovat náklady (a tedy i úroveň zabezpečení) nad tuto rozumnou mez, budeme sice snižovat objem možných škod, ale stejné zlepšení nás bude stát stále více. Musíme se tedy smířit s faktem, že svůj informační systém nikdy nemůžeme stoprocentně zabezpečit. Už je proto, že náklady by šly teoreticky do nekonečna. V praxi se tedy zabezpečujeme zejména proti těm rizikům, která mohou způsobit největší škody, a snažíme se nastolit rozumnou rovnováhu mezi investicemi do bezpečnosti a možnými škodami. Zbytková rizika vyplývající z nezabezpečených prvků systému pak eliminujeme jiným způsobem, např. pojištěním.

V typickém českém podniku (to ale neznamená, že v zahraničí by se situace nějak výrazně lišila), kde dosud žádný výraznější bezpečnostní incident nezaznamenali, není informační bezpečnost takříkajíc „na pořadu dne“ a stupeň ochrany je daleko nižší, než by bylo třeba. V grafu tuto situaci charakterizuje oblast nalevo od bodu optima (nízké náklady na bezpečnost, vysoké potenciální škody). V okamžiku, kdy se přihodí nějaký incident (např. dojde k velkému výpadku napájení z elektrické sítě) jsou velkoryse uvolněny prostředky a problém je nějakým způsobem vyřešen (nakoupí se UPS). Takto izolovaná řešení incidentů jsou ale naopak náchylná k zavádění přehnaných opatření (v námi uvedeném příkladu se zálohuje napájení i těch zařízení, která nejsou třeba) bez návaznosti na systém jako celek. Takto „budovaný“ systém bezpečnosti můžeme přirovnat k „hadru plnému záplat“ -  je drahý, těžkopádný a s naprosto neefektivní.

V praxi je poměrně běžné, že firmy sice mají nějakým způsobem vyřešenu antivirovou ochranu na úrovni stanic i serverů, chrání přístup do své sítě pomocí firewallu atd. Jednotlivé bezpečnostní procesy ale probíhají chaoticky, nejsou dokumentovány, ani nejsou přesně stanoveny konkrétní role a odpovědnosti. Z toho vyplývá řada potencionálních rizik, která mohou způsobit škody daleko větší, než by stála jejich eliminace. Pouhé ujasnění hierarchie, stanovení potřebných postupů a odpovědností nás příliš mnoho nestojí, ale přitom nám může mnoho potenciálních nákladů ušetřit...

 
Tak co, už víte, proč a jak budovat informační bezpečnost? Doufáme, že vám náš seriál pomohl se v této složité problematice alespoň rámcově zorientovat.

Seriál připravili specialisté z firmy AEC Data Security Company. Více informací o bezpečnosti se dozvíte na těchto stránkách.

Pro čtenáře Finance.cz jsme připravili speciální akci. Na této stránce se můžete zaregistrovat a získáte zdarma na jeden rok licenci na užívání softwaru TrustPort Workstation. V roletce Promo akce vyberte Finance.cz a zadejte heslo FIN1145PHOENIX0203WS.