- Přehledy IS
- APS (20)
- BPM - procesní řízení (22)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (33)
- CRM (51)
- DMS/ECM - správa dokumentů (20)
- EAM (17)
- Ekonomické systémy (68)
- ERP (79)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (36)
- WMS (29)
- Dodavatelé IT slueb a řeení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (39)
- Dodavatelé CRM (33)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (71)
- Informační bezpečnost (50)
- IT řeení pro logistiku (45)
- IT řeení pro stavebnictví (26)
- Řeení pro veřejný a státní sektor (27)
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údrby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranové sekce
 | |
| Přihlaste se k odběru newsletteru SystemNEWS, který kadý týden přináí výběr článků z oblasti podnikové informatiky | |
 | |
Partneři webu
IT SYSTEM 7-8/2002
Informační bezpečnost? Proč ne!
Viktor Seige
Motto: těstí je, kdy budete chtít to, čeho jste dosáhli! Úspěch je, kdy dosáhnete toho, co jste chtěli!
Úspěch jednotlivce nebo společnosti je věc velmi vrtkavá a nestálá. Často stačí jeden chybný krok a z prosperující organizace se stává černá můra akcionářů. Na pomyslné cestě se před námi objevují různé překáky a nástrahy a my jsme schopni je lépe či hůře zdolávat. Část překáek má společného jmenovatele - data a informace. Nejde jen o to je umět efektivně získávat a vyuívat, ale musíme je mít k dispozici tehdy, kdy potřebujeme, ve stavu, kdy se na ně můeme spolehnout, a chráněné tak, aby se nedostaly k někomu, kdo je nemá vidět. A jsme u tématu informační bezpečnosti. Opakování teorie občas nezakodí - podívejme se proto společně na teoretické kroky spojené s procesem řeením informační bezpečnosti.
Jetě ne krok, ale odraz
Informační bezpečnost má řadu tváří. Tou jednou je tvář mediální. Tvář známá a vděčná. Terorismus, viry, bankovní podvody, krádee notebooků prominentů jsou některé z jejích podob. Zdálo by se, e bezpečnost je velké téma. A ono je, ale ne vude a pro vechny. Sále u nás najdete firmy, pro které jsou jejich informace otázkou existence, ale přesto příslovečně nehnuly v bezpečnosti prstem a patří mezi ty, je spoléhají na těstí.
A pak jsou firmy, které se pro svůj úspěch snaí udělat více, a bezpečnost řeí nebo řeit začaly. Management těchto firem provedl v určitém stádiu důleitý "mentální krok" (jetě ne vlastní krok řeení, spíe příprava na odraz).
Co obnáí "mentální krok"? Management se rozhodl informační bezpečností skutečně zabývat, co obnáí vechny, nebo alespoň některé následující rysy:
. vyčlenění interních lidských zdrojů (zřízení útvaru bezpečnosti, jmenování bezpečnostního managera, alokace pracovníků jiných útvarů),
. vyhrazení finančních prostředků,
. ochota spolupracovat na řeení bezpečnosti s externími dodavateli,
. připravenost vzít na sebe zodpovědnost za bezpečnost na nejvyí úrovni,
. uvědomění si potřeby spustit systematický proces řeení,
. smíření se s faktem, e řeení bezpečnosti znamená věnovat se této oblasti natrvalo.
Důvodů, proč se management pohnul, můe být přitom celá řada - proité bezpečnostní incidenty, závěry auditu, rozhodnutí majitelů, pozitivní osvětové působení vnitřních sil, snaha získat konkurenční výhodu, srovnání obdobných firem v oboru atd. Podstatné je, e toto rozhodnutí bývá jen výjimečně podloeno tvrdými fakty typu návratnosti investic (ROI). Proto bývá toto rozhodnutí těké a "mentální krok" s sebou přináí chápání investic do bezpečnosti analogicky jako nákladů spojených s pojitěním.
Doporučení č. 1: Nesnate obhájit investice do informační bezpečnosti argumentací typu ROI. Ve větině případů takové snahy hraničí se arlatánstvím (potřebné informace k dispozici mít nebudete) a není těké takovou argumentaci rozbít a smést ze stolu.
est kroků správným směrem
Podporu nejvyího managementu lze povaovat za krok nultý. Jaké jsou kroky dalí? Na následujícím schématu je uvedeno 6 navazujících kroků, které popisují proces řeení informační bezpečnosti. Uvedené schéma představuje zjednoduený model procesu řeení bezpečnosti, je je součástí uznávaného bezpečnostního standardu ISO 13335. Ačkoliv se jedná o konkrétní schéma konkrétního standardu, lze je bez obav povaovat za univerzální vyjádření přístupu k řeení bezpečnosti.
1. krok - Strategie informační bezpečnosti
. tomto kroku je potřeba udělat dva hlavní kroky:
. definovat hlavní cíle v oblasti informační bezpečnosti (co a jak chránit),
. navrhnout a schválit parametry dalích kroků, ideálně ve formě projektu/ů.
První krok vlastně představuje zhmotnění "mentálního kroku". Management stanovuje priority řeení a ty se musí promítnout do cílů a parametrů. Typickými výstupy této části bývá definiční projektová dokumentace a ideálně také Celková bezpečnostní politika - stručný dokument deklarující podporu managementu v oblasti bezpečnosti (nejen informační).
2. krok - Analýza rizik
Riziko je "sexy" pojem a analýza rizik bývá často démonizována. Řada manaerů od týmů provádějících analýzu rizik (informací, informačních systémů) očekává zázraky a nečekané odpovědi a je pak zklamána, kdy dostanou odpovědi, které " dávno a dobře znají".
Analýza rizik musí poskytnout odpovědi na tři základní otázky:
. Co se stane, kdy nebudou informace chráněny?
. Jak můe být poruena bezpečnost informací?
. S jakou pravděpodobností se to stane?
Existuje řada specializovaných metodologií na provádění analýzy rizik (např. FRAP, IRIS, CRAMM) a tento krok typicky vyaduje spolupráci s externími experty. Standardním výstupem analýzy rizik je zpráva se sumarizací a prioritizací rizik plus návrh doporučených opatření na jejich eliminaci nebo alespoň sníení.
Doporučení č. 2: Bezpečnost je předevím o prioritách - jde o to netrávit čas chráněním něčeho, co nemá pro společnost cenu. Hlavním cílem analýzy rizik musí být tyto priority co nejdříve a nejpřesněji určit.
3. krok - Informační bezpečnostní politika
Analýza rizik provedená v předchozím kroku vede k detailnímu poznání organizace, jejích problémů a potřeb. To umoňuje vytvořit klíčový bezpečnostní dokument - bezpečnostní politiku - a zohlednit v něm specifika dané organizace. Jedná se o dokument, který je po přijetí managementem závazný pro celou společnost a který definuje východiska pro vechny dalí aktivity společnosti v oblasti informační bezpečnosti. Hlavním cílem informační bezpečnostní politiky je:
. definovat hlavní cíle při ochraně informací,
. stanovit způsob, jak bezpečnost řeit,
. určit pravomoci a zodpovědnosti.
Pokud má organizace vytvořenou a přijatou celkovou bezpečnostní politiku, potom se v tomto kroku jedná o její podrobné rozpracování spolu s politikami pro dalí oblasti (viz obr. 2).
Doporučení č. 3: Vyvarujte se přebírání ji hotových bezpečnostních politik bez posouzení vlastních specifik. pičková bezpečnostní politika banky bude pravděpodobně nepouitelná pro výrobní podnik.
4. krok - Bezpečnostní směrnice a standardy
Bezpečnostní politika definuje hlavní pravidla a zásady bezpečnosti. Ty je potřeba jetě dále konkretizovat do podoby detailních pravidel a postupů - bezpečnostních směrnic a standardů. Směrnice a standardy jsou součástí interní legislativy a jako takové se stávají závaznými pro organizaci.
Doporučení č. 4: Při rozhodování o tom, co má být jetě součástí bezpečnostní politiky a co ji dát do standardů, můe pomoci časové měřítko. Zkuenost ukazuje, e ustanovení politiky by se neměla významně měnit alespoň 2 roky.
5. krok - Implementace bezpečnosti
Zásady a pravidla politiky, resp. standardů a směrnic, se nenaplní automaticky jejich vytvořením a přijetím. Je potřeba nastartovat aktivity (projekty), které bezpečnostní zásady uvedou do ivota. Z tohoto pohledu se nejedná o uzavřený krok, ale spíe moment, kdy jsou zahajovány jednotlivé bezpečnostní projekty, koordinované ustaveným bezpečnostním managementem. Příklady bezpečnostních projektů mohou zahrnovat:
. bezpečnostní vzdělávání,
. havarijní plánování,
. zabezpečení připojení na internet,
. implementace infrastruktury veřejných klíčů.
6. krok - Monitorování a kontrola
Pokud je ustaven bezpečnostní management a jsou schváleny klíčové bezpečnostní dokumenty, je nutné zajistit dodrovaní definovaných pravidel a zásad a ovem také zpětnou vazbu, která zajistí, e se významné změny promítnou do přísluné dokumentace a do procesu řízení bezpečnosti.
Reakce na nově se objevující rizika, změny priorit organizace a změny okolního prostředí mohou vyvolat potřebu vrátit se k některému z předchozích kroků řeení bezpečnosti a provést například doplňkovou analýzu rizik, či doplnění chybějících bezpečnostních standardů a směrnic. Tento fakt je na schématu řeení naznačen ipkami vedoucími vzhůru.
Doporučení č. 5: Obrázkem toho, jak organizace chápe smysl trvalého řeení bezpečnosti, je způsob vyrovnání se monitorováním a kontrolou. Neřeit tuto část znamená, e náklady byly vynaloeny jednorázově a e po čase budeme začínat s bezpečností opět prakticky z nuly.
Závěr
Organizace, která se nechce v případě svých dat a informací spoléhat pouze na těstí, stojí před úkolem seriózně se zabývat informační bezpečností. Přestoe je postup řeení informační bezpečnosti naznačený v tomto článku v jistém smyslu univerzální, nejedná se o ádné dogma. Daleko důleitějí ne konkrétní provedení toho či onoho kroku je chápání existujících rizik, uvědomění si priorit řeení a systematický přístup. Kdo se tak chová, má dobré předpoklady být skutečně úspěný.
Pozn. red.: Autor pracuje jako Project Manager ve společnosti APP Czech a je členem redakční rady časopisu Data Security Management.
Úspěch jednotlivce nebo společnosti je věc velmi vrtkavá a nestálá. Často stačí jeden chybný krok a z prosperující organizace se stává černá můra akcionářů. Na pomyslné cestě se před námi objevují různé překáky a nástrahy a my jsme schopni je lépe či hůře zdolávat. Část překáek má společného jmenovatele - data a informace. Nejde jen o to je umět efektivně získávat a vyuívat, ale musíme je mít k dispozici tehdy, kdy potřebujeme, ve stavu, kdy se na ně můeme spolehnout, a chráněné tak, aby se nedostaly k někomu, kdo je nemá vidět. A jsme u tématu informační bezpečnosti. Opakování teorie občas nezakodí - podívejme se proto společně na teoretické kroky spojené s procesem řeením informační bezpečnosti.
Jetě ne krok, ale odraz
Informační bezpečnost má řadu tváří. Tou jednou je tvář mediální. Tvář známá a vděčná. Terorismus, viry, bankovní podvody, krádee notebooků prominentů jsou některé z jejích podob. Zdálo by se, e bezpečnost je velké téma. A ono je, ale ne vude a pro vechny. Sále u nás najdete firmy, pro které jsou jejich informace otázkou existence, ale přesto příslovečně nehnuly v bezpečnosti prstem a patří mezi ty, je spoléhají na těstí.
A pak jsou firmy, které se pro svůj úspěch snaí udělat více, a bezpečnost řeí nebo řeit začaly. Management těchto firem provedl v určitém stádiu důleitý "mentální krok" (jetě ne vlastní krok řeení, spíe příprava na odraz).
Co obnáí "mentální krok"? Management se rozhodl informační bezpečností skutečně zabývat, co obnáí vechny, nebo alespoň některé následující rysy:
. vyčlenění interních lidských zdrojů (zřízení útvaru bezpečnosti, jmenování bezpečnostního managera, alokace pracovníků jiných útvarů),
. vyhrazení finančních prostředků,
. ochota spolupracovat na řeení bezpečnosti s externími dodavateli,
. připravenost vzít na sebe zodpovědnost za bezpečnost na nejvyí úrovni,
. uvědomění si potřeby spustit systematický proces řeení,
. smíření se s faktem, e řeení bezpečnosti znamená věnovat se této oblasti natrvalo.
Důvodů, proč se management pohnul, můe být přitom celá řada - proité bezpečnostní incidenty, závěry auditu, rozhodnutí majitelů, pozitivní osvětové působení vnitřních sil, snaha získat konkurenční výhodu, srovnání obdobných firem v oboru atd. Podstatné je, e toto rozhodnutí bývá jen výjimečně podloeno tvrdými fakty typu návratnosti investic (ROI). Proto bývá toto rozhodnutí těké a "mentální krok" s sebou přináí chápání investic do bezpečnosti analogicky jako nákladů spojených s pojitěním.
Doporučení č. 1: Nesnate obhájit investice do informační bezpečnosti argumentací typu ROI. Ve větině případů takové snahy hraničí se arlatánstvím (potřebné informace k dispozici mít nebudete) a není těké takovou argumentaci rozbít a smést ze stolu.
est kroků správným směrem
Podporu nejvyího managementu lze povaovat za krok nultý. Jaké jsou kroky dalí? Na následujícím schématu je uvedeno 6 navazujících kroků, které popisují proces řeení informační bezpečnosti. Uvedené schéma představuje zjednoduený model procesu řeení bezpečnosti, je je součástí uznávaného bezpečnostního standardu ISO 13335. Ačkoliv se jedná o konkrétní schéma konkrétního standardu, lze je bez obav povaovat za univerzální vyjádření přístupu k řeení bezpečnosti.
1. krok - Strategie informační bezpečnosti
. tomto kroku je potřeba udělat dva hlavní kroky:
. definovat hlavní cíle v oblasti informační bezpečnosti (co a jak chránit),
. navrhnout a schválit parametry dalích kroků, ideálně ve formě projektu/ů.
První krok vlastně představuje zhmotnění "mentálního kroku". Management stanovuje priority řeení a ty se musí promítnout do cílů a parametrů. Typickými výstupy této části bývá definiční projektová dokumentace a ideálně také Celková bezpečnostní politika - stručný dokument deklarující podporu managementu v oblasti bezpečnosti (nejen informační).
2. krok - Analýza rizik
Riziko je "sexy" pojem a analýza rizik bývá často démonizována. Řada manaerů od týmů provádějících analýzu rizik (informací, informačních systémů) očekává zázraky a nečekané odpovědi a je pak zklamána, kdy dostanou odpovědi, které " dávno a dobře znají".
Analýza rizik musí poskytnout odpovědi na tři základní otázky:
. Co se stane, kdy nebudou informace chráněny?
. Jak můe být poruena bezpečnost informací?
. S jakou pravděpodobností se to stane?
Existuje řada specializovaných metodologií na provádění analýzy rizik (např. FRAP, IRIS, CRAMM) a tento krok typicky vyaduje spolupráci s externími experty. Standardním výstupem analýzy rizik je zpráva se sumarizací a prioritizací rizik plus návrh doporučených opatření na jejich eliminaci nebo alespoň sníení.
Doporučení č. 2: Bezpečnost je předevím o prioritách - jde o to netrávit čas chráněním něčeho, co nemá pro společnost cenu. Hlavním cílem analýzy rizik musí být tyto priority co nejdříve a nejpřesněji určit.
3. krok - Informační bezpečnostní politika
Analýza rizik provedená v předchozím kroku vede k detailnímu poznání organizace, jejích problémů a potřeb. To umoňuje vytvořit klíčový bezpečnostní dokument - bezpečnostní politiku - a zohlednit v něm specifika dané organizace. Jedná se o dokument, který je po přijetí managementem závazný pro celou společnost a který definuje východiska pro vechny dalí aktivity společnosti v oblasti informační bezpečnosti. Hlavním cílem informační bezpečnostní politiky je:
. definovat hlavní cíle při ochraně informací,
. stanovit způsob, jak bezpečnost řeit,
. určit pravomoci a zodpovědnosti.
Pokud má organizace vytvořenou a přijatou celkovou bezpečnostní politiku, potom se v tomto kroku jedná o její podrobné rozpracování spolu s politikami pro dalí oblasti (viz obr. 2).
Doporučení č. 3: Vyvarujte se přebírání ji hotových bezpečnostních politik bez posouzení vlastních specifik. pičková bezpečnostní politika banky bude pravděpodobně nepouitelná pro výrobní podnik.
4. krok - Bezpečnostní směrnice a standardy
Bezpečnostní politika definuje hlavní pravidla a zásady bezpečnosti. Ty je potřeba jetě dále konkretizovat do podoby detailních pravidel a postupů - bezpečnostních směrnic a standardů. Směrnice a standardy jsou součástí interní legislativy a jako takové se stávají závaznými pro organizaci.
Doporučení č. 4: Při rozhodování o tom, co má být jetě součástí bezpečnostní politiky a co ji dát do standardů, můe pomoci časové měřítko. Zkuenost ukazuje, e ustanovení politiky by se neměla významně měnit alespoň 2 roky.
5. krok - Implementace bezpečnosti
Zásady a pravidla politiky, resp. standardů a směrnic, se nenaplní automaticky jejich vytvořením a přijetím. Je potřeba nastartovat aktivity (projekty), které bezpečnostní zásady uvedou do ivota. Z tohoto pohledu se nejedná o uzavřený krok, ale spíe moment, kdy jsou zahajovány jednotlivé bezpečnostní projekty, koordinované ustaveným bezpečnostním managementem. Příklady bezpečnostních projektů mohou zahrnovat:
. bezpečnostní vzdělávání,
. havarijní plánování,
. zabezpečení připojení na internet,
. implementace infrastruktury veřejných klíčů.
6. krok - Monitorování a kontrola
Pokud je ustaven bezpečnostní management a jsou schváleny klíčové bezpečnostní dokumenty, je nutné zajistit dodrovaní definovaných pravidel a zásad a ovem také zpětnou vazbu, která zajistí, e se významné změny promítnou do přísluné dokumentace a do procesu řízení bezpečnosti.
Reakce na nově se objevující rizika, změny priorit organizace a změny okolního prostředí mohou vyvolat potřebu vrátit se k některému z předchozích kroků řeení bezpečnosti a provést například doplňkovou analýzu rizik, či doplnění chybějících bezpečnostních standardů a směrnic. Tento fakt je na schématu řeení naznačen ipkami vedoucími vzhůru.
Doporučení č. 5: Obrázkem toho, jak organizace chápe smysl trvalého řeení bezpečnosti, je způsob vyrovnání se monitorováním a kontrolou. Neřeit tuto část znamená, e náklady byly vynaloeny jednorázově a e po čase budeme začínat s bezpečností opět prakticky z nuly.
Závěr
Organizace, která se nechce v případě svých dat a informací spoléhat pouze na těstí, stojí před úkolem seriózně se zabývat informační bezpečností. Přestoe je postup řeení informační bezpečnosti naznačený v tomto článku v jistém smyslu univerzální, nejedná se o ádné dogma. Daleko důleitějí ne konkrétní provedení toho či onoho kroku je chápání existujících rizik, uvědomění si priorit řeení a systematický přístup. Kdo se tak chová, má dobré předpoklady být skutečně úspěný.
Pozn. red.: Autor pracuje jako Project Manager ve společnosti APP Czech a je členem redakční rady časopisu Data Security Management.
Chcete získat časopis IT Systems s tímto a mnoha dalími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z naeho archivu.
