Řešení praktických otázek informační bezpečnosti vyvolává potřebu zabývat se postupy, jak co nejefektivněji pokrýt bezpečnostní rizika organizace, dosáhnout stanovených bezpečnostních cílů a udržovat požadovanou úroveň bezpečnosti. V každodenní praxi manažera informační bezpečnosti lze při prosazování bezpečnostních požadavků identifikovat charakteristické procesy informační bezpečnosti, od jejichž efektivnosti se do značné míry odvíjí celková úroveň bezpečnosti v organizaci. V článku jsou naznačeny možnosti, jak lze efektivnost procesů informační bezpečnosti zvýšit.

V následujícím článku bych se chtěl podělit o zkušenosti s prosazováním bezpečnostních požadavků na ochranu informací a jejich zefektivňování v každodenní činnosti manažera bezpečnosti IT. Bezpečnost informací, podobně jako IT, prošla a prochází v posledních letech prudkým rozvojem. Tento rozvoj se odrazil a odráží i v oblasti normativní.

V současné době již existuje celá řada standardů, norem, technických reportů a doporučení, ve kterých se jednoznačně projevuje snaha řešit problematiku ochrany informací komplexně, tedy nejen čistě z pohledu vlastních bezpečnostních technologií a informačních technologií. Bezpečnostní požadavky jsou v nich ale zpravidla definovány na globální úrovní, bez detailů potřebných pro praxi, a tedy v praxi často velmi obtížně uchopitelné. A to přesto, že je v těchto normativech vesměs deklarováno, že jsou postaveny na nejlepších praktikách a zkušenostech z praxe. Problémy s jejich efektivní implementací tak stále přetrvávají, zejména pokud mají být implementovány komplexně.

Zefektivnění investic do bezpečnosti
Téma přínosů bezpečnosti IS/IT pro organizaci, návratnost prostředků vložených do bezpečnosti se v posledních letech stalo velmi frekventované, zejména mezi manažery. Důvod je zřejmý - tlak na růst výdajů do informatiky stále roste a s tím i výdaje na její bezpečnost. Mnozí manažeři si však nejsou jisti, zda zvýšené výdaje také přináší adekvátní efekty.

V souvislosti s tím vyvstává celá řada otázek spojených především s metrikami (tzn. měřitelnými mírami určitých atributů systému a jejich procesů) přínosů a návratnosti investic do bezpečnosti systému IT a jejich použitelností v praxi. Kolik finančních prostředků vynaložit na bezpečnost? Jak stanovit priority jednotlivých opatření? Jak by měl být systém efektivně konfigurován? Co získám implementací opatření ? Do jaké míry snížíme rizika? A lze vůbec změřit přínosy bezpečnosti, míru jejího zefektivnění? (Pod pojmem zefektivnění procesů souvisejících s řízením informační bezpečnost budeme mít na mysli opatření, které v důsledku vedou k optimalizaci poměru cena /účinnost a nejsou zaměřena na pouhé snižování nákladů resp. investic, kdy je opomíjena stránka přínosů a případné návratnosti investic.)

Organizace si začínají uvědomovat, že rozhodující činitelé, kteří ovlivňují náklady, plán, kvalitu, jsou spolu s lidmi a technologiemi i procesy a hledají způsoby, jak procesy zefektivnit. Efektivnost má smysl zkoumat především u těchto procesů, kde i nepatrná úspora v dílčích činnostech procesu může v konečném důsledku přinést nemalé úspory.

Metoda SSE-CMM
Metoda SSE-CCM popsaná v normě ISO/IEC 21827 [1] je vhodná pro hodnocení organizací, u nichž je snaha přejít na hluboce strukturovaný a vysoce efektivní systém řízení. Umožňuje organizacím relativně rychle, objektivně a opakovatelně hodnotit míru zdokonalování, "vyzrálosti" jednotlivých procesů, tj. jak je daný proces definován, řízen, kontrolován a konečně, jak je efektivní. Zdokonalováním, resp. vyzrálostí procesu dochází nejen ke zvýšení jeho efektivnosti, ale systém je možno lépe řídit a plánovat.
Použití metody by mělo podpořit rozvoj systému řízení bezpečnosti, aby byla zachována předpokládaná kvalita, dodržen plán a čerpání finančních prostředků. V rámci hodnocení je brán v úvahu i potenciální růst zdokonalování procesu a přihlíží se při tom jak na různorodost procesů, tak na důslednost, s jakou jsou procesy v organizaci aplikovány.

Průběh hodnocení je znázorněn na obr.2 "SSE-CCM hodnocení ". Postupuje se tak, že se nejprve definuje model cílového stavu systému. K tomu lze s úspěchem využít jako vzor jednak vlastní normu ISO/IEC 21827, jednak celou řadu příruček a norem, například [2],[3], které zpravidla představují sbírku nejlepších praktik z oblasti řízení bezpečnosti IT. V každém případě se doporučuje přizpůsobit model konkrétním potřebám a hlavně zvyklostem organizace a do modelu zahrnout ty procesy a případně postupy, které jsou pro bezpečnost organizace klíčové.

Následně se definovaný model cílového stavu porovnává se stávajícím stavem, a to pomocí míry "vyzrálosti jednotlivých procesů". K odstranění zjištěných nedostatků se plánují opatření na dosažení cílové úrovně. Celé hodnocení by mělo být při rozvoji systému řízení bezpečnosti pravidelně opakováno.
Pro vyjádření úrovně vyzrálosti procesu/systému se jako metrika používá pětihodnotová stupnice znázorněná na obr. 3 "SSE-CCM Metrika hodnocení".

Stupnice současně může sloužit jako vodítko, jak je třeba dále postupovat pro dosažení vyšší míry vyzrálosti procesu a tím i lepší úrovně systému řízení bezpečnosti, ale organizace zpravidla nejsou schopny "přeskočit" jednu celou úroveň. Dosažená úroveň celkové vyzrálosti systému řízení bezpečnosti je samozřejmě představována úrovní nejslabšího článku.

Jako nejefektivnější postup se jeví investovat prostředky nejdříve do procesů s nízkou úrovní vyzrálosti a teprve následně do zlepšení procesů s vyšší úrovní. Pokud by byly v jednotlivých procesech významné rozdíly, tak by to znamenalo, že prostředky na bezpečnost by mohly být vynakládány neefektivně a nezvyšovaly by celkovou úroveň systému.

Metoda BIA
BIA ("Business Impact Analysis") je metoda vhodná pro stanovení kritických obchodních zdrojů a procesů organizace a pro zjištění finančních dopadů, které by mohla mít nahodilá událost na organizaci. Při zkoumání dopadů je vhodné určit, na jak dlouho si organizace může dovolit výpadek systému. Porovnávají se při tom náklady potřebné na obnovu se ztrátami způsobenými výpadkem systému. Následně se navrhuje strategie obnovy obchodní činnosti organizace a priorita a pořadí obnovy v případě výskytu takovéto události.

Metoda je zpravidla klíčová pro tvorbu plánu na obnovu činnosti organizace, resp. pro řízení krizových stavů.

Metody analýzy a řízení rizik
Metody analýzy a řízení rizik lze s úspěchem využít pro ohodnocení důležitých aktiv, kterých se navrhované opatření týká, a stanovení úrovně rizik, kterým je aktivum vystaveno. V rámci procesu řízení rizik jsou pak navrhována taková opatření, která jsou adekvátní zjištěné míře rizik a náklady na jejich realizaci jsou optimalizovány. Opatření není tedy zkoumáno jen z hlediska míry pokrytí rizik, ale je vyhodnocována jeho efektivnost vyjádřená poměrem cena/přínos.

Pro automatizovanou podporu provedení analýz i řízení rizik byla vyvinuta řada programového vybavení. Mezi nejznámější patří CRAMM, RiskWatch, OCTAVE, COBRA.

Metoda "Business Case" analýzy
Jednou z moderních metod, která se jeví velice slibně pro praktické využití, je metoda "Business case" analýzy, za jejíž základ byly vzaty nejlepší praktiky z vládních agentur v USA. Její použitelnost pro praxi byla presentována na příkladu posouzení investic do PKI infrastruktury [6].

"Business case" analýzu můžeme zjednodušeně charakterizovat jako rozšířenou formu analýzy efektivnosti, resp. Nákladů/přínosů, která bere v úvahu i jiné faktory než finanční, jako jsou bezpečnostní požadavky, obchodní požadavky, příslušná rizika a kvalitativní přínosy vyplývající z investice. Podobně jako její jádro je však tato analýza založena na úplné ekonomické analýze, a tudíž analyzuje navrhované opatření na zefektivnění procesu řízení bezpečnosti v kontextu její investiční vhodnosti jakož i technické a programové proveditelnosti. Analýzu můžeme rozdělit na tři základních fáze (viz. obr. 4).

V první fázi je detailně specifikován předmět a rozsah analýzy. Při této specifikaci je nutné zvážit požadavky příslušné legislativy a normativů, stanovit účel a cíle zefektivnění opatření a navrhnout realizovatelné alternativy zefektivnění opatření, které vyhovují stanovenému účelu a cílům.

V druhé fázi se pro každou alternativu detailně specifikují příslušné náklady, rozebírají všechny přínosy finanční i nefinanční povahy a určují rizika spojená s jednotlivými variantami zefektivnění. Největší problém způsobuje stanovení přínosů, které v případě bezpečnosti mají vesměs nefinanční povahy. Tyto přínosy mohou spočívat ve zvýšení důvěry klientů, konkurenceschopnosti, rychlejší reakce na požadavky klientů (jak vnějších, tak vnitřních), splnění požadavků legislativy . Pro ohodnocení jednotlivých přínosů lze pak použít kvalitativní stupnici (např. plně vyhovuje, částečně vyhovuje, nevyhovuje), která vyjadřuje, do jaké míry splňují, resp. jsou důležité pro stanovené požadavky a cíle.

V rámci třetí fáze se nejprve porovnávají náklady na realizaci jednotlivých variant se současným stavem, vyhodnocují se ekonomické dopady investice na organizaci. Přitom se berou v úvahu ekonomické faktory jako úspora investic, návratnost investic, odložení investic, doba splatnosti, poměr cena/přínos. Nesmí se přitom zapomenout, že vyhodnocování je prostá kalkulace, která jsou založena na poměrně komplikovaných předpokladech. Dále se porovnávají jednotlivé varianty a to jak z hlediska ekonomických dopadů, tak z hlediska přínosů nefinanční povahy a zvýšení efektivnosti, kterou nelze vyjádřit v penězích. Tím by mělo být zaručeno, že vybraná alternativa bude nejen vyhovovat ekonomickým kriteriím, ale splňovat i stanovené cíle a očekávané přínosy. Výběrem nejvhodnější varianty by analýza ale končit neměla, neboť je potřebné nadále sledovat a vyhodnotit skutečné náklady/přínosy na realizaci a implementaci zefektivnění opatření.

Závěr
Uplatnění uvedených metod zefektivnění procesů v praxi manažerů informační bezpečnosti bude sice závislé na konkrétních podmínkách organizace, ale jejich zavedení a praktické používání se dříve nebo později stane nutností v každé obchodní organizaci, neboť představují jednu z mála cest, jak komplexní systém řízení bezpečnosti zefektivnit .

Literatura:
ISO/IEC 21827 Technology - Systems Security Engineering - Capability Maturity Model [1]
ISO/IEC 13335 Information Technology - Security Techniques - Guidelines for the Management of IT Security - Part 1: Concepts and Models, Part 2: Managing and Planning, Part 3: Management techniques, Part 4: Baseline Control, and Part 5: Safeguards for external connections [2]
ISO/IEC 17799:2000 Code of Practice for Information Security Management [3]
ISO/TR 17944:2002 Banking -- Security and other financial services -- Framework for security in financial systems (available in English only) [4]
NIST SP 800-34 June 2002 Contingency Planning Guide for IT Systems [5]
GSA, Washington, DC, April 2001 Approach for Business Case Analysis of Using PKI on Smartcards for Governmentwide Applications [6]

Pozn. red.: Autor článku, ing. Oldřich Bořil, pracuje v Raiffeisenbank a.s.