Představme si společnost XY
Bezpečnostní manažer, takto nejvyšší člověk přes bezpečnost, seznamuje právě předsednictvo z výsledky nedávno ukončené analýzy. Řečí čísel, srovnáním nákladů a přínosů, argumentuje, proč je potřeba investovat do zabezpečení připojení na Internet. Předsednictvo, i když ne hned dnes, uzná potřebu propojení pro rozvoj nových forem služeb a investice schválí.


Ve školícím středisku probíhá vstupní školení nových nastupujících pracovníků, vymezený čas je věnován otázkám ochrany informací. Na závěr školení, což bude zítra, tito noví pracovníci podepíší, že byli seznámeni s bezpečnostní politikou společnosti a zavážou se k jejímu dodržování.

V zasedačce odboru IT probíhá pravidelný půlroční workshop vybraných pracovníků zaměřený na havarijní plánování. Jsou zde jak zkušení pracovníci, kteří se podíleli na loňské obnově funkčnosti centrální sítě po kolapsu hlavního serveru, tak pracovníci noví, kteří byli zařazeni na určité pozice v havarijních týmech. Již za měsíc proběhne o víkendu praktické testování havarijních plánů.

Na jednom počítači na personálním odboru je detekován vir. Za necelou jednu hodinu na to je již počítač "v péči" pracovníka útvaru IT, který má problematiku virů na starosti. Odpoledne se zpráva o viru formou hlášení o bezpečnostním problému dostane k bezpečnostnímu managerovi.

Informační bezpečnost
A mohl bych pokračovat, ale nebudu. Vybrané momentky ze života společnosti XY mají jedno společné - všechny se týkají informační bezpečnosti. Společné mají také to, že nastiňují, jak by to mohlo vypadat tam, kde informační bezpečnost úspěšně řeší a budují. Co jsou součásti úspěšného řešení si ještě povíme, začněme ovšem od začátku - samotným pojmem informační bezpečnost.

Obor informační bezpečnosti můžeme stručně vymezit jako specializaci zabývající se ochranou informací. Pod termínem "informační bezpečnost" tak máme na mysli celý soubor aktivit směřujících k zajištění důvěrnosti (k našim informacím se nedostane nikdo nepovolaný), integrity (naše informace nebudou změněny nebo porušeny) a dostupnosti (vždy budeme mít ke svým informacím přístup) informací. Ve své podstatě a ve své šíři je informační bezpečnost multidisciplinární obor nabízející komplexní pohled na problematiku ochrany informací, jež se zabývá otázkami organizačními, řídícími, metodickými, technickými, právními, sociálními a dalšími.

Čísla varují
O významu řešení informační bezpečnosti pro společnosti nemá smysl diskutovat. Skutečně se dnes těžko najde manažer, který by si mohl dovolit oblast informační bezpečnosti zcela ignorovat. Informace jsou stále více ceněným zbožím a to si uvědomují všichni. Od uvědomění si významu bezpečnosti až k efektivní ochraně informací je nicméně cesta dlouhá a trnitá.

Pěknou demonstraci toho, jaký rozdíl může být mezi zájmem a činy, nabízí výsledky Průzkumu stavu informační bezpečnosti v České republice 1999. Jednalo se o reprezentativní průzkum mezi několika sty středních a velkých společností, který organizoval časopis Data Security Management ve spolupráci se společností PricewaterhouseCoopers a Národním bezpečnostním úřadem a na kterém se podílel také autor těchto řádků. S údajem, že celkem 90% společností přikládá informační bezpečností význam nebo dokonce velký význam z hlediska svých primárních cílů kontrastují následující fakta:

· pouze u 50% společností se informační bezpečnosti věnuje dostatečná pozornost
· pouze u 15% společností jsou zaměstnanci pravidelně proškolováni v oblasti bezpečnosti
· pouze 35% společností má ve formě dokumentu formálně definovanou a vedením přijatou bezpečnostní politiku
· téměř 30% společností bylo postiženo bezpečnostním incidentem s prokazatelně negativními dopady
· průměrný finanční dopad nejzávažnějších incidentů byl 1 milion korun na společnost

Obsah řešení informační bezpečnosti
Je jen málo organizací, které řešení informační bezpečnosti zcela ignorují. Ještě míň je těch, které mohou naopak sloužit jako vzor řešení. Zbytek organizací, a to je drtivá většina, se pohybuje v šedé zóně - mají něco. To "něco" může být firewall či antivirový systém stejně tak dobře jako bezpečností politika nebo ustavený bezpečnostní manažer.

Od doby, kdy se objevily první počítače, uplynula již dlouhá doba. O něco kratší dobu se lidé vážně zabývají informační bezpečností. Za tu dobu se nahromadila již řada zkušeností a praktických příkladů, které umožňují pojmenovat to, co by rozhodně společnosti měly do řešení informační bezpečnosti zahrnout:

· bezpečnostní politika - označení pro základní a klíčový bezpečnostní dokument schválený nejvyšším vedením společnosti a závazný pro celou společnost, v němž společnost deklaruje své základní cíle v oblasti ochrany informací. Politika pojmenovává to, co má být chráněno, a stanovuje, byť v základních rysech, jak toho má být dosaženo. Dále je cílem politiky definovat příslušné zodpovědnosti a pravomoci .
· bezpečnostní management - organizační struktura společnosti obecně zajišťující prosazování plnění bezpečnostní politiky do života společnosti a chránící organizaci před bezpečnostními riziky. Klíčovou postavou je bezpečnostní manažer - člověk zodpovědný za bezpečnost - u něhož se musí rovným dílem skloubit manažerské schopnosti s odbornými vědomostmi.

· systém hlášení bezpečnostních incidentů - zahrnuje eskalační procedury, které zajistí mobilizaci v případě problémů vyžadujících okamžitou reakci, a centrální evidenci hlášení o bezpečnostních incidentech. Distribuovaná prostředí IT mají za následek distribuovanou zodpovědnost, musí proto existovat jednotný systém umožňující včasnou reakci a podporující měření účinnosti bezpečnostních opatření a pro zjišťování trendů.

· bezpečnostní vzdělávání - systém pravidelného vzdělávání vlastních zaměstnanců v oblasti informační bezpečnosti. Prostředí IS/IT se rychle mění, mění se legislativa, mění se i samotné společnosti, jejich strategie a obchodní plány, lidé ve společnosti mění své pozice, přicházejí a odcházejí. To jsou hlavní argumenty pro to, aby se školení týkající se informační bezpečnosti periodicky opakovala.

· plány obnovy funkčnosti - příprava na eliminaci dopadů v případě vážné neočekávané události. Jedná se o přípravu na eliminaci dopadů hrozeb, které ze své podstaty společnost ovlivnit nemůže (přírodní katastrofa) nebo nechce (preventivní opatření by byla neúměrně nákladná). Filozofie je zde stejná jako u pojištění - příprava na něco špatného, co mě může potkat, ale nemusí, a co nemohu ovlivnit.

Závěrem
Stejně tak jako skutečnost, že ani všech pět zmíněných součástí uplatněných při řešení informační bezpečnosti neznamená automaticky pro společnost bezproblémový život, ani absence některého či dokonce všech neznamená automaticky zkázu. Zkušenosti společnosti APP Czech v rámci řešení projektů u svých zákazníků však ukazují, že společnosti "se všemi pěti pohromadě" mají s informační bezpečností a ve svém důsledku s naplňováním svých strategických obchodních cílů menší problémy, než společnosti jiné.

O autorovi: Viktor Seige má ve společnosti APP Czech na starosti tým zabývající se informační bezpečnosti a je zodpovědný za realizace bezpečnostních projektů. V poslední době se podílel projektech především pro finanční sektor a sektor utilit. Autor je členem redakční rady časopisu DSM - Data Security Management, pravidelně publikuje, vystupuje na tuzemských i mezinárodních konferencích věnovaných oblasti informační bezpečnosti.

Viktor Seige, APP Czech