Pokud společnost bere systém řízení informační bezpečnosti vážně, bude brzy nucena zaměstnat bezpečnostního správce, který na sebe převezme zodpovědnost za bezpečnost ICT. Najít odpovídající osobu není jednoduchý úkol. Staví se do cesty komplikace s vyhledáním člověka s vhodnými odbornými znalostmi, není možné ho zaměstnat na plný úvazek, finanční nároky kandidátů jsou příliš vysoké atd. Využití interního zaměstnance je v daném případě komplikovaný způsob. Vyřešit ho lze jednodušeji – outsourcingem služeb bezpečnostního správce ICT prostřednictvím externí firmy.

Osoba bezpečnostního správce

Význam role bezpečnostního správce v organizaci stoupá s rozšiřováním metod a postupů moderního řízení informační bezpečnosti. Úroveň zabezpečení a kvalita řízení informační bezpečnosti stojí a padá na způsobu začlenění bezpečnostního správce v organizační struktuře.
Bezpečností správce ručí za klíčové procesy spojené se zaváděním a údržbou informační bezpečnosti.

Ze své pravomoci organizuje a řídí následující aktivity:

• bezpečnostní politiky – definice, údržba, dokumentace, návrhy a řízení změn vzhledem k aktuálním změnám IS organizace,
• bezpečnostní pravidla – dohled nad dodržováním,
• bezpečnost IS organizace – testování, audity,
• auditní záznamy (logy) – sledování, vyhodnocování,
• bezpečnostní incidenty – vyhodnocení a řešení,
• kooperace s managementem – podklady na stanovení rozpočtu na bezpečnost atp.

Předpokladem pro kvalitní řešení těchto a dalších povinnosti je zplnomocnění bezpečnostního správce k rozhodovacím pravomocem. Ty jsou nutnými dispozicemi k zajištění prosazování stanovených pravidel v rámci organizace. Bezpečnostní správce se také neobejde bez ICT znalostí pro dokonalé porozumění technologií, se kterými bude v organizaci pracovat. Nelze také obejít povědomí o platné legislativě, normách a metodikách s vlivem na otázky bezpečnosti. Neustále by se měl procházet vzdělávacím procesem, ať již ve formě kurzů, tak ve formě samostudia aktuálních technických novinek a hrozeb. Odborně by měl zvládnout monitoring novinek ve svém oboru plus dalších oblastí ICT.

Bezpečnostní správce a normy

Současné bezpečnostní standardy poskytují návody k řešení řady problémů spojených s řízením a zajištěním informační bezpečnosti. Ovšem pro roli bezpečnostního správce se příliš záznamů nevyskytuje. ČSN ISO/IEC TR 13335-2 uvádí v kapitole 9.1.2 definici role „pracovníka bezpečnosti IT celé společnosti“. Role je definována zejména pro účel jednoznačného přidělení odpovědnosti. Odpovědnost pracovníka také zahrnuje řízení programu bezpečnosti v celé organizaci. Dané definice jsou určeny pouze rámcově. Společnost tak má značnou volnost pro zavedení této role podle specifických potřeb.

Integrace bezpečnostního správce v praxi

Zásadní otázka při vytvoření role bezpečnostího správce je umístění ve firemní hierarchii. Při vytváření role nelze uplatnit jediný model. Neexistuje jediné správné řešení. Záleží na mnoha faktorech – velikosti organizace, úrovni vnitrofiremní komunikace, znalosti stávajícího personálu IT a dalších.
Přehled nejčastějších modelů integrace rolí bezpečnostního správce:

1. Bezpečnostní správce není zastoupen

Případ je běžný, pokud se bezpečnost neřeší vůbec, nebo jen částečně. K řešení se zpravidla přistupuje až v případě incidentu.

2. Bezpečnostní správce součástí IT

Správce je pracovníkem oddělení IT, kterému byla role bezpečnostního správce přidělena. Často tuto funkci vykonává přímo vedoucí IT oddělení. Takto firmy řeší nedostatečné vytížení bezpečnostního správce na plný úvazek, nebo nedostatečné finanční zdroje.
Problém také spočívá v možném omezení řešení problémů. Nelze totiž očekávat, že osoba s funkcí bezpečnostního správce bude poukazovat na chyby své, nebo svých kolegů. Takto bude neustále docházet k prodlevám v řešení chyb v duchu předcházení střetu zájmů.

3. Suverénní bezpečnostní správce

Bezpečnostní správce existuje nezávisle na oddělení informatiky, ale je s ním v těsném kontaktu pro zajištění úzké spolupráce. Jeho místo se nachází na úrovni středního managementu, vrcholového vedení, nebo také může spadat pouze pod ředitele organizace. Pokud spadá pod ředitele nebo je součástí vedení firmy disponuje rozsáhlými pravomocemi, které jsou ideální pro účinné prosazování bezpečnosti.

4. Roli bezpečnostního správce zastupuje více osob

Tento model se často vyskytuje ve velkých organizacích, kde jeden člověk není schopen pokrýt veškeré oblasti bezpečnosti, nebo v malých firmách, kde stávající zaměstnanci tvoří bezpečnostní fórum. Jeho funkčnost ovšem závisí na komunikačních dovednostech zúčastněných osob a na přesnosti vymezení pravomocí a odpovědností členů fóra.

5. Outsourcovaný bezpečnostní správce

Přistupuje se k němu v případě nevhodnosti žádného z výše uvedených modelů. Outsourcing se vyplatí firmě, která není dost velká na to, aby zaměstnala bezpečnostního správce na plný úvazek, a současně nemá zaměstnance, který by se této funkce ujal. Toto naopak nemusí platit ve větších organizacích, kde může být outsourcovaný bezpečnostní správce sloužit „pouze“ jako podpora vlastního bezpečnostního správce, ať už z důvodů potřeby nezávislosti, specializovaných znalostí, nedostatku kapacit nebo například pro provedení nepopulárních činností, které by mohly interního bezpečnostního správce „poškodit“ v očích uživatelů (školení, prověrky apod.). Míra činností bezpečnostního správce, které se organizace rozhodne outsourcovat, může být různá. Od několika málo specializovaných činností, až po plný outsourcing.
Výše uvedený výčet nemusí být zdaleka úplný. Praxe může představit další originální způsoby řešení problematiky fungování bezpečnostního správce.

Outsourcing bezpečnostního správce v praxi

Nejprve je nutné poznamenat, že každý projekt zavedení role bezpečnostního správce vychází z individuálních podmínek a požadavků organizace. Firmy poskytující outsourcing bezpečnostního správce musí maximálně naplnit požadavky a očekávání zákazníka, aby mu výsledek co nejvíce vyhovoval a optimálně naplnil bezpečnostní požadavky. Výsledek projektu nemusí nutně pokrýt jen roli bezpečnostního správce. Někdy se také zajišťuje soubor outsourcovaných činností v oblasti bezpečnosti (outsourcovaná správa bezpečnosti), které organizaci pomáhají účinně řídit informační bezpečnost. V praxi je vhodné zavedení outsourcovaného bezpečnostního správce oddělit od samotného poskytování této služby do samostatného projektu. Je to především z důvodu vyšší náročnosti a kvalitnějšího nastartování jednotlivých procesů.

Příklad průběhu zavedení role bezpečnostního správce

Analýza aktuálního stavu

Při zahájení každého projektu je vhodné provést vstupní audit bezpečnosti organizace a na jeho základě stanovit další postup. Rozsah a hloubka auditu závisí na velikosti organizace, složitosti informačního systému či požadavcích a jiných faktorech. V rámci vstupního auditu mohou být například provedeny vnitřní a vnější penetrační testy, analýza klíčových prvků informačního systému, testy metodami sociálního inženýrství a další. Na základě výsledků zjištěného aktuálního stavu je možné navrhnout další kroky k zavedení bezpečnostního správce do firmy.

Zavedení role bezpečnostního správce

Bezpečnostního správce lze do struktury organizace začlenit různými způsoby. Výsledné řešení závisí na prostředí a míře outsourcingu. Míra outsourcingu určuje počet a druhy outsourcovaných činností. Pokud se blížíme takříkajíc plnému outsourcingu bezpečnostního správce, je třeba ho jednak vhodně začlenit do organizační struktury, ale také přesně stanovit povinnosti a odpovědnosti všech stran (jak na straně poskytovatele služby, tak i na straně zákazníka). Jednou z možností integrace role bezpečnostního správce je její rozdělení na roli interního a roli externího správce.
Interní bezpečnostní správce je zastoupen zaměstnancem společnosti, který je vedením pověřen a je zodpovědný za řízení informační bezpečnosti. Pro ideální průběh všech operací je vhodné, aby jím byl někdo z vedení, nebo alespoň člen středního managementu. Interní bezpečnostní správce zajišťuje komunikaci směrem k zaměstnancům a vedení organizace, prosazuje stanovenou bezpečnostní politiku a koordinuje jednotlivé činnosti z pohledu organizace. Měl by tedy v rámci organizace disponovat dostatečnou autoritou.
Roli externího správce zajišťují pracovníci firmy zajišťující outsourcing a realizují stanovené činnosti dle předem stanoveného harmonogramu. Za komunikaci se zákazníkem vždy zodpovídá konkrétní osoba (případně její zástupce), která jednotlivé činnosti koordinuje, případně také přímo provádí.

Činnosti externího bezpečnostního správce:

• analýza a zpracování bezpečnostních incidentů,
• analýza logů a dalších auditních záznamů,
• pravidelné aktualizace dokumentace a ověření shody dokumentace s praxí,
• školení zaměstnanců na bezpečnost IT,
• pravidelné technické prověrky sítí a serverů,
• pravidelná prověrka stanic a kontrola dodržování bezpečnostních pravidel zaměstnanci,
• pravidelná hlášení a souhrnné zprávy pro management,
• a další.

Uvedené činnosti jsou přesně definovány v dokumentu, který tvoří příručku pro bezpečnostního správce. Každá činnost je zde popsána formou procesů s jasně stanovenými odpovědnostmi za jednotlivé kroky a definovanými metrikami pro jejich výstupy. Dokument dále definuje klíčové parametry poskytovaných služeb (činnosti externího správce). Jsou to požadavky na součinnost zaměstnanců zákazníka, reakční doby externího správce, struktura a obsah výstupů jednotlivých činností, způsob komunikace, předávání informací a dalších.Ustanovení tohoto dokumentu jsou závazná jak pro poskytovatele služby, tak i pro zákazníka. Jakékoliv změny tohoto klíčového dokumentu podléhají schválení obou stran.
Interní a externí správce společně s manažerem na úrovni vedoucího oddělení informatiky organizace pak tvoří bezpečnostní fórum, které představuje platformu pro pravidelné přezkoumávání informační bezpečnosti organizace a řešení vzniklých problémů.

Další činnosti v rámci zavedení role bezpečnostního správce

Jako další kroky v rámci zavedení bezpečnostního správce je vhodné provést další kroky, které povedou ke zvýšení informovanosti v oblasti informační bezpečnosti. Jestliže nemá firma žádným způsobem ustaven systém řízení informační bezpečnosti, je na místě provedení analýzy rizik s následnou definicí bezpečnostních politik a dalších potřebných návazných směrnic.
V praxi se osvědčují tzv. příručky (např. Příručka pro uživatele, Příručka pro administrátory, ...), které srozumitelnou formou přibližují dané skupině problematiku bezpečnosti a současně stanovují potřebná pravidla (například chování uživatelů).
Vhodné je taktéž provést proškolení uživatelů. Cílem by nemělo být pouze oznámení pravidel, ale také vysvětlení, proč je třeba tato pravidla dodržovat. Například je často třeba vysvětlit pojmy, jako je například sociální inženýrství, počítačové viry, různé typy útoků a podobné. Také není na škodu provést pro proškolení krátký test, který poslouží k objektivnímu posouzení úrovně znalostí zaměstnanců.

Pilotní provoz

Před spuštěním ostrého provozu outsourcingu bezpečnostního správce, je vhodné otestovat některé vybrané činnosti externího správce. Test slouží především k doladění nastavených postupů a nalezení rizikových míst pro funkci služby.
V návaznosti na předchozí školení uživatelů je vhodné provést namátkovou prověrku pracovních stanic spojenou s kontrolou dodržování bezpečnostních pravidel jejich uživateli. Nebo také se osvědčuje analýza vybraných logů například z centrální správy antivirové ochrany. Tyto činnosti mohou externímu bezpečnostnímu správci významně pomoci v orientaci v prostředí organizace a seznámení se s její vnitřní kulturou.
Závěrem pilotního provozu by měla být zpráva, která shrnuje postup celého procesu zavádění role bezpečnostního správce a výsledky jednotlivých činností v rámci pilotního provozu.

Outsourcing bezpečnostního správce v kostce

Outsourcing bezpečnostního správce nebo správy bezpečnosti může organizaci významně pomoci v budování a udržování svého systému řízení informační bezpečnosti. Je třeba si uvědomit, že externí specialista, který se dané problematice věnuje neustále, má zpravidla daleko hlubší znalosti než vlastní pracovník, který funguje jako bezpečnostní správce jen na částečný úvazek.
V tomto článku jsme se snažili nastínit celkový přehled a ukázat některá možná řešení. V praxi je však záběr této problematiky daleko širší. Při výběru poskytovatele outsourcingu této klíčové role je také dobré si uvědomit, že proto aby se projevily pozitivní efekty spolupráce, je nutné, aby spolupráce byla pokud možno dlouhodobější, a je tedy třeba partnera důkladně vybírat.

Autoři působí ve společnosti AEC. Petr Nádeníček jako konzultant IT bezpečnosti, Jaroslav Vyoral jako marketingový specialista.