Firmy si uvědomují možné závažné problémy, které by mohly mít, pokud by si svá digitální aktiva dostatečně nechránily. Počítají s významnými investicemi do bezpečnostních řešení i kvalifikovaných specialistů. Tlak na vedení společností směrem k uvolnění zdrojů pro řízení IT bezpečnosti navíc umocňují zprávy o ztrátě dat způsobených zaměstnanci nebo zranitelností webové aplikace.

Analýza rizik Analýza bezpečnostních rizik je v prvé řadě součástí kontinuálního procesu ochrany informací. Ten vyžaduje širokou paletu opatření pro vyhodnocování úrovně bezpečnosti infrastruktury. Tento proces je popsán v regulační a doporučující dokumentaci. Vše záleží na oblasti, v níž daná firma působí. Například IT bezpečnost ve finančnictví je založena na vlastních normách sektoru, které se skládají z řady mnohovrstevnatých organizačních a technických standardů specifických pro daný region. Tyto normy jsou založené na metodách vyhodnocování bezpečnostních rizik, jež liší sektor od sektoru.

Standardy IT bezpečnosti, ať už regulační, nebo doporučující, se takřka bez výjimky odvolávají na směrodatné metody analýzy rizik (ISO/IEC IS 27001, NIST a další). Evropská agentura pro bezpečnost sítí a informací (ENISA) připravila zajímavou zprávu, která obsahuje tabulku metod vyhodnocujících rizika a ukazuje, do jaké míry dané procedury pokrývají různé aspekty řízení rizik (viz tabulka).

Postupy pro vyhodnocování bezpečnostních rizik

Pravidla IT bezpečnosti

Dokument ENISA shrnující postupy pro řízení rizik IT bezpečnosti není formální směrnicí, jak postupovat, ale spíše bezpečnostní politikou, která umožňuje úpravy a bere v úvahu všechny možné technické a organizační nedokonalosti ve firemních procesech. Všechny možné hrozby – z nichž převážná většina má vliv na IT infrastrukturu – jsou uvedeny na základě analýzy rizik. Poté, co se management seznámí se zprávou, mohou rozhodnout o výši investic do vytvoření nebo modernizace automatického bezpečnostního systému. To vyžaduje zapojení týmu expertů, jenž určí, která rizika mohou být minimalizována prostřednictvím softwarových a hardwarových nástrojů.

Prozrazení důvěrných dat mohou způsobit různé formy útoků. Hrozby, jako zneužití zranitelností firemních webových aplikací, získání dat zaslaných nezabezpečenými komunikačními kanály nebo zkopírování dat pro třetí strany pomocí hardwarových zařízení, jsou jen některé z důvodů, proč by IT administrátoři měli využívat bezpečnostní produkty jako řešení pro enkrypci, antivirus, DLP nebo firewally pro různé úrovně modelu OSI. Konfigurace těchto prvků vyžaduje čas a lidské zdroje. Výsledný systém by měl navíc projít bezpečnostním auditem, což je samo o sobě značně časově náročný proces vyžadující velké množství logovacích souborů generovaných různými bezpečnostními řešeními. S ohledem na postup implementace bezpečnostní politiky proto dává smysl sjednotit všechny softwarové nástroje pro ochranu dat do jednoho řešení. Pomocí řídicí konzole integrovaného bezpečnostního systému pak může administrátor provádět rozličné úkony s jeho komponentami. Informace je rovněž možné mezi komponentami sdílet a vytvářet integrovaná prostředí, v nichž je každý element odpovědný za svou vlastní oblast propojen s ostatními prvky a je řízen prostřednictvím jednoho rozhraní (system management).

System management podle Kaspersky Lab

Sjednocení řídicích rozhraní umožňuje snížit náročnost auditování bezpečnostních rizik v neustále se rozrůstající infrastruktuře. Integrace bezpečnostních opatření pak pomáhá firmě minimalizovat rizika nejrychlejším možným způsobem, a to bez ohledu na její velikost.

Sergej Ložkin
Autor působí jako bezpečnostní analytik ve společnosti Kaspersky Lab.