facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Partneři webu
Dialog 3000Skylla
IT SYSTEMS 10/2018 , Správa IT

Nezavírejte své ajťáky do sklepa!

Výzva konference CIO Agenda 2018

-blue events-


Jiří VaněkVztah managementu k IT by měl být nastavený tak, aby se firma nedělila na „my“ a „oni“. Za případná selhání systému nenesou odpovědnost jen IT manažeři. Je na top managementu a následně celé firmě, aby se zapojili do prevence bezpečnostních rizik. Takové je poselství konference CIO Agenda 2018 zaměřené na business continuity v digitální době, na níž se 10. října sešlo v KC City v Praze 150 účastníků. Přinesla řadu praktických příkladů a zkušeností efektivní spolupráce IT a dalších týmů při podpoře úspěšného chodu společnosti.

Canon

Hynek Šandera

„Komunikace mezi CFO a CIO byla u nás při transformaci informačního systému stěžejní. Tito dva musí být štiky v rybníce. Pokud projekt trvá déle, jeho manažeři si vytvoří zkratky a už jim nikdo nerozumí a zapomíná se, pro koho vlastně projekt řeší. Žádné procesy nenahradí komunikaci ve firmě. Zapojte střední management, firmy se nesmějí rozdělit na „my“ a „oni“.
Hynek Šandera, Finance Manager, IKEA Centres Europe

„Nespoléhejte se na technologie, ale na lidi“, vzkázal Jiří Vaněk, Senior Security Consultant ze společnosti Unicorn. Upozornil, že útočníci vždy tahají za delší lano, než jejich „oběti“, je jich víc, mají více času a často pracují v etablovaných skupinách či je sponzorují státy. Informace získávají např. z pracovních inzerátů firem a sociálních sítí. Tyto znalosti pak třeba využijí k sepsání důvěryhodného phishingového e-mailu. „Dávno předtím, než svého útočníka potkáte, on si udělá důkladný průzkum vašeho prostředí,“ popsal Vaněk a připomněl, že jen ze sítě LinkedIn bylo ukradeno 160 mil. kontaktů, což z ní dělá potenciální vstupenku do nitra firem a k dalším heslům – protože ne všichni používají sofistikovaná zabezpečení.

Hackeři také klidně využijí např. zaměstnance banky nespokojeného s platovým ohodnocením či nacházejícího se ve složité životní situaci a nabídnou mu dobře placený přivýdělek. Hacker jej pak navádí na dálku k citlivým bodům systému, a když je lup hotov, zaměstnance předá policii a sám mizí. Proto je třeba neustále dělat kybernetická cvičení a simulace útoků a zvyšovat povědomí zaměstnanců o tom, jaké následky může mít jejich rizikové chování. Zároveň je třeba systémy kontrolovat a monitorovat formou sběru logů a jejich vyhodnocování. „Být zabezpečenou organizací je primárně otázkou přístupu každého zaměstnance. Management musí jít příkladem,“ dodal Vaněk.

Jak se chránit

Také Václav Zubr ze společnosti ESET, vidí chování zaměstnanců jako jednu z hrozeb, kterou vedle kybernetických útoků zákazníci řeší. Důležité je mít pod kontrolou také rozmanitost zařízení a zvládnout tlak na provozní efektivitu. Jistou pomoc vidí v umělé inteligenci, protože umožňuje dynamickou ochranu ve chvíli, kdy např. podvodný e-mail pronikne přes bránu. Analýzu a reakci je pak možné zajistit do několika minut. Zatímco na počítačích je nejčastějším zdrojem infekce e-mail, na mobilu jsou to aplikace, a to nejčastěji ty bankovní. To potvrzuje Josef Rech z Raiffeisenbank: „Vidíme trend útoků na klienty přes aplikace, kde je těžší se jim bránit. Dříve se také útočilo na certifikáty v počítačích, dnes jdou hackeři přes autentizační smsky. Plánujeme je proto nahradit třeba mobilními tokeny.“

Josef Rech
Josef Rech

Zajímavou variantu ochrany nabídl Pavel Štros ze společnosti Datasys. Jedná se o tzv. video logy, kdy se pomocí nahrávky vzdálených ploch zaznamenávají přístupy do firemních systémů. Výstupem jsou snímky, pokud ale potřebujete nahrávat celé relace na stanicích administrátorů, měli byste mít pracoviště určené jen pro ně, ne pro denní práci. Implementaci takového systému je možné realizovat za 5 až 10 dnů. Jako jednodušší variantu uvádí systém log managementu, jež umožňuje centralizaci logů z různých technologií. Následně je možné v nich snadno vyhledávat jako na Googlu a také si všimnout, když se někdo snaží přihlašovat patnáctkrát za sebou. „Jakýkoliv nástroj typu log management bude ekonomicky přínosný při porovnání nákladů s budoucími přínosy. Hodí se pro rychlé nalezení odpovědí. Získáte centrální konzoli bezpečnostního dohledu,“ shrnuje Pavel Štros, který podobný systém nedávno zaváděl na Ministerstvu spravedlnosti, přičemž nyní se plánuje jeho rozšíření o krajské soudy. Nabídka zahrnuje každý měsíc analytický report.

Jakub Kejval
Jakub Kejval

Bouchnout si na poradách

Podle Jakuba Kejvala ze společnosti Bureau Veritas, kybernetické útoky stále vnímá většina firem jako hrozbu číslo jedna. Potvrzuje zároveň, že to není zdaleka jediné nebezpečí. Doporučuje proto udělat si inventuru, analýzu rizik, prevenci, a pak business continuity management. „Až dojde k nějakému průšvihu, spadne to na vás, budou vám vyčítat, proč jste si na poradách dost nebouchali do stolu. Od vás by měl přijít tlak na řešení a prevenci,“ radí Kejval. Upozornil také na odstrašující příklady z praxe, kdy např. automobilka nechá všechny revizní techniky používat jednu bezpečnostní kartu, či nemocnice se nestará o zastupitelnost hlavních sester a při jejich odchodu z organizace pak měsíc nic nefunguje. Nicméně za poslední roky vidí Kejval v ČR velké zlepšení z hlediska řešení rizik a připisuje to mj. tlaku zahraničních vlastníků v nadnárodních firmách.

Jaroslav Pejčoch

„Lidé z managementu nerozumí IT jazyku a je třeba je motivovat, aby více komunikovali a uvědomili si, co se může stát, třeba formou zátěžových testů nejen IT, ale celé organizace. Jejich opakováním typicky každý rok stoupá připravenost na krizové situace.“
Jaroslav Pejčoch, předseda představenstva, T-SOFT

Permanentní pořádek

V případě problému musí organizace dokázat, co systémově udělala pro to, aby se vyhnula hrozbě. Na to se policie ptá jako první. „Musím být zpětně schopen prokázat, že jsem opatření dělal,“ potvrdil Petr Krejčí ze společnosti Bisnode. Podle něj jsou základní komoditou ve firmách data a ta je třeba chránit. Zároveň musí firmy uvažovat o rizicích protistran, tedy vědět, s kým obchodují. Ekonomika sice roste, prostředí je ale nestabilní, letos nejspíš zanikne nejvíc firem za posledních sedm let, tedy od hypoteční krize. Jen za první pololetí to bylo téměř 6 tisíc kapitálových podniků. Nikdo jistě nechce, aby si na takové firmy jeho obchodníci vypisovali schůzky. Častým problémem v databázích jsou také duplikace, může to být až 30 %, nebo chybějící adresa, což může být přitom zásadní údaj svědčící o důvěryhodnosti firmy. Jak doporučuje Petr Krejčí, monitoring velkých objemů firemních dat je třeba provádět na denní bázi, nikoliv jednorázově. Jen tak můžete mít permanentní pořádek v datech a generovat kvalitnějších obchodní příležitosti ve správný čas.

„ICT není nástroj byznysu, ale jeho jádro. Společnost bez něj nefunguje,“ vyjasnil hned na úvod své přednášky Michal Zedníček ze společnosti Alef Nula. Považuje bezpečnostní audit za nezbytný pro řízení rizik, cenově přitom začíná na půl milionu korun. „Pokud není audit, nemůžete posoudit rizika, protože neznáte zranitelnost,“ dodal. Doporučil také pracovat se standardy typu ISO tak, že nemusíte aplikovat všechny jejich požadavky, pokud zdůvodníte, že se vás konkrétní rizika netýkají.

Michal Zedníček
Michal Zedníček

Čím dřív, tím levněji

„Hodně firem už investovalo do zařízení, která když se propojí, vyjde z toho dost dat použitelných při zvýšení bezpečnosti a business continuity,“ myslí si Tomáš Poslušný ze společnosti Simac Technik. Realizovat interní změny pouze interními lidmi je podle něj většinou pomalé a nedostatečné – externí partner je zpravidla mnohem efektivnější. Zároveň připomněl, že mnoho technologií určených pro sledování a lokaci objektů (osob, vozidel, manipulační a skladové techniky) má přímé využití v bezpečnosti a ochraně zdraví při práci. Třeba technologie rozpoznání obličeje vznikla jako bezpečnostní aparát, kdy kamery sdělily hasičům, kolik lidí se nachází v hořící budově. Chytré systémy pro bezpečnost práce doporučuje stavět interně hned – tak máte šanci nastavit si řešení přesně na míru. Až se z něj stane komodita, budete muset akceptovat řešení definované někým jiným nebo zaplatit mnohem více za customizaci.

„Nelíbí se mi, když byznys jen čeká, co udělá IT v případě problému. Oddělení ICT a byznys musí být propojený, když nezafungují technologie, měli bychom vědět, co dělat bez nich.“
Ladislav Csiba, Business Continuity Manager, ČSOB

My a oni

Příkladem firmy s vlastními interními IT systémy je Alza. Tady také mají vyzkoušené, že IT oddělení nesmí být v izolaci od zbytku firmy. Její ředitel vývoje informačního systému Jiří Schejbal popsal IT jako katalyzátor byznysu. Manažeři z různých oddělení včetně těch na vedoucích pozicích si sem jdou třeba na dva týdny zkusit pracovat a učí se programovat. Výsledkem takové rotace pak je, že získají ponětí o firemním systému a dovedou lépe využít jeho funkcionality, ale také se pak více baví lidi z byznysu s kolegy z IT. Mohou pak vznikat inovační projekty, kterým Alza říká „generační“, a letos jich stihla šest. Příkladem je třeba prodejna budoucnosti bez obsluhy, nebo již dříve zavedení platby bitcoiny. „Když nabíráme nové programátory, jdeme po znalosti IT jako řemesla, ne po tom, zda umí konkrétní program,“ dodává Schejbal, jaké nároky klade na nové auťáky, které vždy nejprve musí zasvětit do interního systému.

Akci CIO Agenda 2018 pořádala společnost Blue Events a partnersky ji podpořili společnosti Alef Nula, Bisnode, Datasys, Bureau Veritas, Eset, Simac a Unicorn. Mediálním partnerem byl časopis IT Systems.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
Datová centra


Inzerce

I výroba aut je postavena na efektivní správě dat

Kvalita pro společnosti už neznamená jen mít bezvadný produkt, ale zahrnuje například také management nebo výcvik zaměstnanců. Čím dál důležitější je i interní komunikace uvnitř firmy a zajištění a kontrola pohybu dat.

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 10/
IT Systems 9/
IT Systems 7-8/
IT Systems 6/
Oborové a tematické přílohy
příloha #1 10/
příloha #1 9/
příloha #1 7-8/
příloha #1 6/
Onlio
Kalendář akcí