Motto: Štěstí je, když budete chtít to, čeho jste dosáhli! Úspěch je, když dosáhnete toho, co jste chtěli!


Úspěch jednotlivce nebo společnosti je věc velmi vrtkavá a nestálá. Často stačí jeden chybný krok a z prosperující organizace se stává černá můra akcionářů. Na pomyslné cestě se před námi objevují různé překážky a nástrahy a my jsme schopni je lépe či hůře zdolávat. Část překážek má společného jmenovatele - data a informace. Nejde jen o to je umět efektivně získávat a využívat, ale musíme je mít k dispozici tehdy, kdy potřebujeme, ve stavu, kdy se na ně můžeme spolehnout, a chráněné tak, aby se nedostaly k někomu, kdo je nemá vidět. A jsme u tématu informační bezpečnosti. Opakování teorie občas nezaškodí - podívejme se proto společně na teoretické kroky spojené s procesem řešením informační bezpečnosti.

Ještě ne krok, ale odraz
Informační bezpečnost má řadu tváří. Tou jednou je tvář mediální. Tvář známá a vděčná. Terorismus, viry, bankovní podvody, krádeže notebooků prominentů jsou některé z jejích podob. Zdálo by se, že bezpečnost je velké téma. A ono je, ale ne všude a pro všechny. Sále u nás najdete firmy, pro které jsou jejich informace otázkou existence, ale přesto příslovečně nehnuly v bezpečnosti prstem a patří mezi ty, jež spoléhají na štěstí.

A pak jsou firmy, které se pro svůj úspěch snaží udělat více, a bezpečnost řeší nebo řešit začaly. Management těchto firem provedl v určitém stádiu důležitý "mentální krok" (ještě ne vlastní krok řešení, spíše příprava na odraz).

Co obnáší "mentální krok"? Management se rozhodl informační bezpečností skutečně zabývat, což obnáší všechny, nebo alespoň některé následující rysy:

. vyčlenění interních lidských zdrojů (zřízení útvaru bezpečnosti, jmenování bezpečnostního managera, alokace pracovníků jiných útvarů),
. vyhrazení finančních prostředků,
. ochota spolupracovat na řešení bezpečnosti s externími dodavateli,
. připravenost vzít na sebe zodpovědnost za bezpečnost na nejvyšší úrovni,
. uvědomění si potřeby spustit systematický proces řešení,
. smíření se s faktem, že řešení bezpečnosti znamená věnovat se této oblasti natrvalo.

Důvodů, proč se management pohnul, může být přitom celá řada - prožité bezpečnostní incidenty, závěry auditu, rozhodnutí majitelů, pozitivní osvětové působení vnitřních sil, snaha získat konkurenční výhodu, srovnání obdobných firem v oboru atd. Podstatné je, že toto rozhodnutí bývá jen výjimečně podloženo tvrdými fakty typu návratnosti investic (ROI). Proto bývá toto rozhodnutí těžké a "mentální krok" s sebou přináší chápání investic do bezpečnosti analogicky jako nákladů spojených s pojištěním.

Doporučení č. 1: Nesnažte obhájit investice do informační bezpečnosti argumentací typu ROI. Ve většině případů takové snahy hraničí se šarlatánstvím (potřebné informace k dispozici mít nebudete) a není těžké takovou argumentaci rozbít a smést ze stolu.

Šest kroků správným směrem
Podporu nejvyššího managementu lze považovat za krok nultý. Jaké jsou kroky další? Na následujícím schématu je uvedeno 6 navazujících kroků, které popisují proces řešení informační bezpečnosti. Uvedené schéma představuje zjednodušený model procesu řešení bezpečnosti, jež je součástí uznávaného bezpečnostního standardu ISO 13335. Ačkoliv se jedná o konkrétní schéma konkrétního standardu, lze je bez obav považovat za univerzální vyjádření přístupu k řešení bezpečnosti.

1. krok - Strategie informační bezpečnosti

. tomto kroku je potřeba udělat dva hlavní kroky:
. definovat hlavní cíle v oblasti informační bezpečnosti (co a jak chránit),
. navrhnout a schválit parametry dalších kroků, ideálně ve formě projektu/ů.

První krok vlastně představuje zhmotnění "mentálního kroku". Management stanovuje priority řešení a ty se musí promítnout do cílů a parametrů. Typickými výstupy této části bývá definiční projektová dokumentace a ideálně také Celková bezpečnostní politika - stručný dokument deklarující podporu managementu v oblasti bezpečnosti (nejen informační).


2. krok - Analýza rizik
Riziko je "sexy" pojem a analýza rizik bývá často démonizována. Řada manažerů od týmů provádějících analýzu rizik (informací, informačních systémů) očekává zázraky a nečekané odpovědi a je pak zklamána, když dostanou odpovědi, které "… dávno a dobře znají".

Analýza rizik musí poskytnout odpovědi na tři základní otázky:

. Co se stane, když nebudou informace chráněny?
. Jak může být porušena bezpečnost informací?
. S jakou pravděpodobností se to stane?

Existuje řada specializovaných metodologií na provádění analýzy rizik (např. FRAP, IRIS, CRAMM) a tento krok typicky vyžaduje spolupráci s externími experty. Standardním výstupem analýzy rizik je zpráva se sumarizací a prioritizací rizik plus návrh doporučených opatření na jejich eliminaci nebo alespoň snížení.

Doporučení č. 2: Bezpečnost je především o prioritách - jde o to netrávit čas chráněním něčeho, co nemá pro společnost cenu. Hlavním cílem analýzy rizik musí být tyto priority co nejdříve a nejpřesněji určit.

3. krok - Informační bezpečnostní politika
Analýza rizik provedená v předchozím kroku vede k detailnímu poznání organizace, jejích problémů a potřeb. To umožňuje vytvořit klíčový bezpečnostní dokument - bezpečnostní politiku - a zohlednit v něm specifika dané organizace. Jedná se o dokument, který je po přijetí managementem závazný pro celou společnost a který definuje východiska pro všechny další aktivity společnosti v oblasti informační bezpečnosti. Hlavním cílem informační bezpečnostní politiky je:

. definovat hlavní cíle při ochraně informací,
. stanovit způsob, jak bezpečnost řešit,
. určit pravomoci a zodpovědnosti.

Pokud má organizace vytvořenou a přijatou celkovou bezpečnostní politiku, potom se v tomto kroku jedná o její podrobné rozpracování spolu s politikami pro další oblasti (viz obr. 2).

Doporučení č. 3: Vyvarujte se přebírání již hotových bezpečnostních politik bez posouzení vlastních specifik. Špičková bezpečnostní politika banky bude pravděpodobně nepoužitelná pro výrobní podnik.

4. krok - Bezpečnostní směrnice a standardy
Bezpečnostní politika definuje hlavní pravidla a zásady bezpečnosti. Ty je potřeba ještě dále konkretizovat do podoby detailních pravidel a postupů - bezpečnostních směrnic a standardů. Směrnice a standardy jsou součástí interní legislativy a jako takové se stávají závaznými pro organizaci.

Doporučení č. 4: Při rozhodování o tom, co má být ještě součástí bezpečnostní politiky a co již dát do standardů, může pomoci časové měřítko. Zkušenost ukazuje, že ustanovení politiky by se neměla významně měnit alespoň 2 roky.

5. krok - Implementace bezpečnosti
Zásady a pravidla politiky, resp. standardů a směrnic, se nenaplní automaticky jejich vytvořením a přijetím. Je potřeba nastartovat aktivity (projekty), které bezpečnostní zásady uvedou do života. Z tohoto pohledu se nejedná o uzavřený krok, ale spíše moment, kdy jsou zahajovány jednotlivé bezpečnostní projekty, koordinované ustaveným bezpečnostním managementem. Příklady bezpečnostních projektů mohou zahrnovat:

. bezpečnostní vzdělávání,
. havarijní plánování,
. zabezpečení připojení na internet,
. implementace infrastruktury veřejných klíčů.

6. krok - Monitorování a kontrola
Pokud je ustaven bezpečnostní management a jsou schváleny klíčové bezpečnostní dokumenty, je nutné zajistit dodržovaní definovaných pravidel a zásad a ovšem také zpětnou vazbu, která zajistí, že se významné změny promítnou do příslušné dokumentace a do procesu řízení bezpečnosti.
 
Reakce na nově se objevující rizika, změny priorit organizace a změny okolního prostředí mohou vyvolat potřebu vrátit se k některému z předchozích kroků řešení bezpečnosti a provést například doplňkovou analýzu rizik, či doplnění chybějících bezpečnostních standardů a směrnic. Tento fakt je na schématu řešení naznačen šipkami vedoucími vzhůru.

Doporučení č. 5: Obrázkem toho, jak organizace chápe smysl trvalého řešení bezpečnosti, je způsob vyrovnání se monitorováním a kontrolou. Neřešit tuto část znamená, že náklady byly vynaloženy jednorázově a že po čase budeme začínat s bezpečností opět prakticky z nuly.

Závěr
Organizace, která se nechce v případě svých dat a informací spoléhat pouze na štěstí, stojí před úkolem seriózně se zabývat informační bezpečností. Přestože je postup řešení informační bezpečnosti naznačený v tomto článku v jistém smyslu univerzální, nejedná se o žádné dogma. Daleko důležitější než konkrétní provedení toho či onoho kroku je chápání existujících rizik, uvědomění si priorit řešení a systematický přístup. Kdo se tak chová, má dobré předpoklady být skutečně úspěšný.

Pozn. red.: Autor pracuje jako Project Manager ve společnosti APP Czech a je členem redakční rady časopisu Data Security Management.