Řízení rizik

Pojem řízení rizik – risk management – představuje průběžný a dlouhodobý proces, v jehož průběhu odhalujeme nepředvídatelné či nejisté okolnosti mající zpravidla záporný vliv na celkový provoz informační architektury. Pod záporným vlivem si můžeme představit různorodé incidenty – od omezení systémových zdrojů přes nedostupnost jednotlivých stavebních prvků podnikové architektury až po prolomení bezpečnostních zajištění. Součástí řízení rizik je také následná podrobná analýza okolností, ke kterým došlo, a to včetně jejich ohodnocení z pohledu důležitosti a přijetí potřebných protiopatření.
Provoz libovolné technologie, libovolného systému v sobě skrývá určitá rizika, dříve či později může nastat nepříznivá okolnost v každé společnosti. A samozřejmě je vždy mnohem výhodnější rizikům předcházet než se značnými ztrátami hasit byť malý požár. Ke správnému předcházení problematických situací potřebujeme znát závažnost možných problémů a podstatu jejich vlivu na chod podnikové architektury, případně dopady na zaměstnance společnosti. Jednotlivé metodologie zahrnující řízení rizik nabízejí komplexní postupy, které umožňují odhalit, ohodnotit a vyřešit krizovou situaci.
Často je problematika řízení rizik spojována pouze s bezpečností, tento přístup je ovšem ze své podstaty nepřesný. Mnohá rizika jsou ukryta v běžném provozu, a to včetně nedodržení definovaných postupů ze strany uživatelů. Správné řízení rizik navíc zahrnuje i přírodní katastrofy, například zaplavení datového centra při povodních, případně katastrofy způsobené lidskou činností.

Bezpečnostní pravidla

Řízení rizik se sice ze své podstaty netýká pouze bezpečnosti, nicméně nedílnou součást představují bezpečností pravidla. Každá organizace bez ohledu na svoji velikost by měla mít definovanou řadu bezpečnostních a organizačních pravidel týkajících se pro firmu relevantních oblastí – zabezpečení informačních technologií, práce s lidskými zdroji, práce s nebezpečnými materiály apod. Pro jednotlivá bezpečnostní pravidla by mělo být přesně určeno například:

• jaké oblasti a konkrétní situace se pravidla týkají,
• jaké jsou územní a časové zóny platnosti pravidel,
• koho se pravidla týkají,
• kdo zodpovídá za vytvoření pravidel a jejich aktualizaci,
• kdo se může vyjádřit k porušení pravidel a vyhodnotit dopady porušení,
• kdo je zodpovědný za vyřešení incidentu,
• jaké jsou postupy pro vyřešení incidentu.

V rámci informačních technologií mohou bezpečnostní pravidla zahrnovat mimo jiné následující oblasti:

• kdo, kam, kdy a za jakých okolností má přístup,
• způsoby autorizace pořizovaných dat a ověřování jejich pravosti,
• zálohování včetně geografického oddělení médií,
• pravidla pro čerpání výpočetních zdrojů.

Přesně stanovená pravidla musí být nedílnou součástí firemní bezpečnostní politiky, musí být pravidelně aktualizována a nesmí chybět ani jejich průběžná kontrola – jak teoretického charakteru, tak i řízenými provokacemi – například vědomým vyvoláním fiktivního selhání média za účelem ověření funkčnosti prováděného zálohování. Tyto kontroly mohou probíhat jak náhodně, tak i v předem definovaných intervalech.

Lidský faktor

Velmi důležité je prověřování bezpečnostních a organizačních pravidel uvnitř firmy a u jednotlivých členů týmů. Většina bezpečnostních incidentů pochází směrem zevnitř, od zaměstnanců a ostatních lidí mající přístup k interním zdrojům společnosti. Pro mnohé čtenáře se sice může jednat o překvapivé zjištění, nicméně je zcela logické – například v případě snahy o zcizení utajovaných dat či napadení systémů mají zaměstnanci vůči externím útočníkům daleko více možností, a to včetně využití svých „legálně“ přidělených oprávnění a pravomocí. Nikdy například nelze vyloučit situaci, že na místo databázového administrátora přijmeme specialistu od konkurence lačné právě po našich datech.
Důležitá otázka pro řízení rizik je, zda je vůbec možné incidentům způsobeným lidským faktorem takřka stoprocentně zabránit. Odpověď není jednoduchá a záleží zejména na odlišení, zda se jedná o incident způsobený nevědomým, či vědomým selháním lidského faktoru. Zatímco situacím způsobeným nevědomě lze dostatečně předcházet osvětou a průběžným kontrolováním přijatých pravidel, v případě vědomého útoku vždy v rámci společnosti existují slabá místa vytvořená například i chybami v pravidlech samotných – a ty mnohdy nelze do doby faktického narušení odhalit. U vědomých incidentů je třeba se všímat i těch nejjemnějších náznaků a varování. Důvody pro vědomé selhání jsou obvykle dobře vystopovatelné již na samém počátku – touha po moci či penězích, důsledek zneuznání apod.
Stranou našeho zájmu by nemělo zůstat stanovení odpovědnosti jednotlivých zaměstnanců a všichni by měly být dostatečně seznámení s tím, proč je dodržování bezpečnostních pravidel vyžadováno včetně případných důsledků jejich nedodržení. Nejde přitom pouze o postihy při porušení, ale především o reálné dopady – loajální zaměstnanec bude ochoten pravidla dodržovat, když bude vědět, že jejich porušením může dojít například k vyzrazení poslední rok vyvíjené technologie. Obecně navíc neplatí, že osobní postihy musí být nejúčinnější. Mnohdy je účinnější hrozba poškození kolektivů či organizací, se kterými se jednotlivé osoby ztotožnily. Dojde-li ovšem k porušení stanovených pravidel a existují postupy pro stanovení postihu, měly by být alespoň částečně uplatněny.

Audit?

Při stanovení bezpečnostních opatření se často zapomíná na určení pravidel pro sledování jednotlivých aktivit v podnikové informační architektuře – tzv. audit. Do speciálních souborů či databáze bývají zaznamenávány jednotlivé činnosti a události, ke kterým v organizaci došlo. Nejde přitom pouze o zaznamenávání porušení pravidel, ale všech činnosti, které jsou pro dodržení bezpečnostní politiky důležité. Samozřejmě je nutné dodržet míru relevantnosti a vyhnout se paranoidnímu (případně protiprávnímu) sledování.
Auditní záznamy by měly obsahovat co možná nejpřesnější informace charakterizující danou událost – například v případě neoprávněného přístupu k datům uživatele, datum a čas, terminál (klientský počítač), identifikaci připojení, údaje o dalších připojeních stejného uživatele atd.
Mnohé systémy umožňují přesně určit, jaké události a za jakých okolností se mají zaznamenávat. Podstatné je, aby auditní záznamy byly nezměnitelné či verifikovatelné a byly v rámci přijatých opatření pravidelně kontrolovány – jinak nemusí být jednotlivé incidenty vůbec odhaleny (naštěstí ne každý „profesionální škůdce“ dokáže za sebou zamést všechny stopy). Zaznamenávání běžných aktivit je důležité pro případnou podrobnější analýzu vzniklého problému. Obdobně jako vlastní data je nutné i auditní záznamy považovat za velmi citlivé informace a je třeba k nim přistupovat v příslušném bezpečnostním režimu.

Zálohování

Běžnou součástí bezpečnostní politiky by měla být i problematika zálohování. Cílem záloh je – na rozdíl od archivace umožňující „odehrání“ a uschování aktuálně nepotřebných dat – zajistit prostředky pro případnou obnovu provozního systému do požadovaného stavu, obvykle k okamžiku vytvoření poslední zálohy. Důvody k selhání vyžadující obnovu ze zálohy jsou různorodé – od chyby způsobené lidským faktorem přes selhání úložného či výpočetního zdroje až po důsledky přírodní katastrofy.
Pokrytí větší míry rizik může zajistit důsledné oddělení záloh od provozního systému. Jednotlivé zálohy by tak v ideálním případě měly být fyzicky uloženy na místě geograficky odlišném od místa, než na kterém se nachází zálohovaná data. V opačném případě je riziko současného poškození zálohovaných dat i záloh vysoké. Tento požadavek lze zajistit různými způsoby – různými bohužel i co do otázky nákladů, které mnohdy hrají velmi důležitou roli. Geografické oddělení by na jednu stranu mělo být ve vzdálenosti dostatečné pro snížení rizika společného vlivu jedné události, na stranu druhou by měly být i tyto zálohy poměrně snadno dostupné z důvodu maximálního zkrácení doby nutné pro obnovu provozního systému do požadovaného stavu.
V praxi bývá běžné vytváření násobných záloh s tím, že nejméně jedna z nich je k dispozici v lokalitě provozního prostředí, a nejméně jedna je umístěna jinde. Větší společnosti, například z bankovního prostředí, řeší problematiku geografického oddělení provozem záložních pracovišť. V každém případě je ovšem nezbytné na geografické oddělení pohlížet jako na vhodnou možnost, nikoli jako na nutnost – přínos pravidel musí být vyšší než náklady na jejich zajištění a možné dopady. Problematika řízení rizik a bezpečnosti je ve své podstatě mnohem obsáhlejší, nicméně při přijetí výše uvedených informací za své může každá společnost dosud nepracující s bezpečnostní politikou udělat krok vpřed k posílení své konkurenceschopnosti.

Marek Kocan