Řízení rizik

Dejme tomu, že jsme v organizaci, kde se nám povedlo prosadit a provést analýzu informační bezpečnosti. Ta ukázala řadu bezpečnostních nedostatků a zranitelností. Tyto představují vstupní brány pro řadu hrozeb, které aktuálně působí na organizaci z vnějšího prostředí i zevnitř a generují tak určitá bezpečnostní rizika. Na tato rizika by měla organizace adekvátně reagovat tak, aby je snížila na akceptovatelnou úroveň. Akceptovatelná úroveň je zjednodušeně řečeno taková, která v prvé řadě neohrozí podstatu fungování (tzv. core business) organizace. Míra akceptovatelnosti rizika se může v praxi lišit podle segmentu, ve kterém se organizace pohybuje, a v závislosti na dalších specifických podmínkách. Všechna rizika, která působí na informační technologie a samotné informace organizace, by ale rozhodně měla být identifikována a řízena. Mimo jiné to znamená i to, že bychom měli rizika periodicky přezkoumávat, což předpokládá i jejich dokumentaci.
Problematika řízení rizik informační bezpečnosti představuje poměrně rozsáhlou oblast, která v některých větších organizacích (např. v bankách) může zaměstnávat celá specializovaná oddělení. V případě, kdy jsme například v pozici bezpečnostního manažera menší nebo střední organizace, bychom měli dbát na to, abychom rizika řídili alespoň do té míry, že je dokážeme v rámci organizace identifikovat, dokumentovat a máme o nich přiměřeně aktuální povědomí.
S existencí konkrétního rizika se můžeme vypořádat různým způsobem. Tím nejběžnějším je návrh vhodného bezpečnostního opatření, jehož implementace nám pomůže riziko snížit na akceptovatelnou úroveň. V případech, kdy by takové opatření bylo příliš náročné na realizaci (ať již finančně, organizačně nebo jinak), můžeme se pokusit o tzv. přenesení rizika. Pod tím se může skrývat například využití outsourcingu pro provoz určitého „problematického“ systému, pojištění případných škod apod. V extrémním případě může být riziko tak vysoké a efektivita možných opatření tak nízká, že organizace může dospět i k rozhodnutí, že například přestane v určité oblasti podnikat.

Návrh bezpečnostních opatření

Při návrhu vhodných bezpečnostních opatření se můžeme inspirovat v normě ISO/IEC 27002, která se za tímto účelem v praxi všeobecně využívá a kterou jsme představili v minulém díle. Cílem by měl být vyvážený komplex bezpečnostních opatření, který pokrývá všechny relevantní oblasti informační bezpečnosti.
Častou chybou bývá výhradní soustředění na prostředky technického zabezpečení, tzn. výběr firewallů, antivirových programů, šifrovacího softwaru, čipových karet apod. Tento ne zcela ideální stav v řadě organizací pramení z toho, že jediný, kdo se informační bezpečností aktivně zabývá, bývá často jen IT oddělení. Výsledkem pak je spíše než reálné zvýšení úrovně zabezpečení „jen“ zvýšení nákladů a nedostatečná efektivita. Zjednodušeně řečeno, pokud nemají uživatelé informačního systému organizace dostatečné bezpečnostní povědomí a jsou schopni komukoliv na potkání prozradit svůj login a heslo do sítě, těžko to ošetříme nějakým bezpečnostním nástrojem. A když, tak většinou za cenu neadekvátních nákladů, které nejsou v relaci s faktickou hodnotou chráněných informací, případně dalších aktiv.
Správnější cestou, která navíc koresponduje s neustále omílaným tématem ekonomické krize a všudypřítomným snižováním nákladů, je v rozumné míře preferovat ta opatření, která můžeme realizovat vlastními silami nebo s nízkými náklady, a teprve pak investovat prostředky do nákupu například drahých zařízení. Mezi typické oblasti informační bezpečnosti, které mohou být ošetřeny s minimální potřebou finančních investic, patří organizace bezpečnosti (stanovení bezpečnostních rolí, jmenování vlastníků aktiv, nastavení základních procesů – například hlášení incidentů apod.), personální bezpečnost (výběr zaměstnanců, školení uživatelů informačního systému atd.) nebo soulad s požadavky (definice legislativních požadavků s vlivem na požadavky na zabezpečení apod.).
Pokud by ale někdo nabyl dojmu, že nejlevnější pro organizaci bude, když všechno týkající se informační bezpečnosti realizuje vlastními silami, nemusí to být zdaleka pravda. I když se to tak na první pohled nezdá, řada služeb specializovaných externích dodavatelů je v praxi výrazně levnější než kompletní souhrn všech vnitřních nákladů, který zahrnuje nejen mzdové náklady, ale například i náklady ušlých příležitostí. Vzhledem k tomu, že řada těchto nákladů je většinou poměrně těžko identifikovatelná a vyčíslitelná, bývá pro zodpovědné pracovníky složité argumentovat a prosadit nákup externí služby. Stejně tak je třeba najít vhodný poměr mezi nasazením technických prostředků a organizačními opatřeními. Typickému uživateli jednoduše nemůžeme nikdy zcela důvěřovat v tom, že bude dodržovat všechna definovaná bezpečnostní pravidla…

Na co se zaměřit

Pokud organizace s budováním informační bezpečnosti začíná, měla by se kromě implementace nezbytného technického zabezpečení věnovat také alespoň následujícím aktivitám:

Zpracování plánu bezpečnosti

Rozpracování jednotlivých opatření vycházejících z předcházející analýzy do formy plánu se stanovenými prioritami, odpovědnostmi a termíny. Plán je zpravidla výsledkem kompromisu mezi požadavky na dosažení „ideální úrovně bezpečnosti“ a individuálními podmínkami organizace. Je závislý mimo jiné na finančních a personálních zdrojích, kapacitách a také stanovených prioritách organizace. Měl by vycházet ze stanovené strategie organizace v oblasti rozvoje ICT a měl by specifikovat reálně dosažitelné cíle v této oblasti navazující na další plány rozvoje organizace. Je tedy třeba velmi dobře naplánovat jednotlivé kroky implementace doporučovaných opatření, přidělit jim priority, respektive stanovit pořadí, v jakém budou do prostředí organizace zaváděny.

Definice bezpečnostní politiky organizace

Dokumentace stanovených pravidel a bezpečnostních opatření. Bezpečnostní politika definuje základní bezpečnostní požadavky a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací v organizaci. Určuje rámec informační bezpečnosti organizace a po schválení vedením je závazná pro všechny zaměstnance a je směrodatná i pro všechny externí subjekty, které přicházejí do kontaktu s ICT organizace.
Bezpečnostní politika musí být v souladu s „prostředím“ organizace, definuje základní strategii, cíle, postoje, role, zodpovědnosti a zásady týkající se činností spojených s informační bezpečností. Reflektuje závěry získané z úvodní analýzy a definuje mechanismy zajišťující efektivní řízení informační bezpečnosti. Je podkladem pro budování nižších a specifických stupňů bezpečnostní dokumentace.

Vytvoření základních bezpečnostních rolí

Jmenování bezpečnostního manažera, vlastníků aktiv apod. Souběžně s definicí bezpečnostní politiky by měly být v organizaci vytvořeny základní bezpečnostní role, v jejichž kompetenci jsou následně různé činnosti důležité pro udržování a další rozvoj informační bezpečnosti organizace. Tyto role včetně jejich pravomocí a odpovědností by měly být dostatečně popsány v dokumentu bezpečnostní politiky. Jednotlivé osoby by pak měly být do svých rolí formálně jmenovány nejvyšším vedením organizace, s čímž by měla být následně spojena i potřebná míra podpory.

Zpracování bezpečnostní příručky pro uživatele

Vhodná pro větší organizace, kde je dokument bezpečnostní politiky spíše formální a je určen pro odborné pracovníky. Bezpečnostní příručka shrnuje povinnosti a odpovědnosti uživatelů z pohledu informační bezpečnosti při používání ICT prostředků organizace. Je důležité, aby byla napsána jazykem srozumitelným pro cílovou skupinu běžných uživatelů. Definuje jednotlivé postupy, povinnosti a práva při práci s prostředky ICT, potažmo s informačním systémem, případně konkrétní pokyny a návody pro používání elektronické pošty, práci s hesly, šifrování a práci s klíči/certifikáty, práci s notebooky, ukládání a zálohování dat, používání internetu apod.

Zvyšování bezpečnostního povědomí

Základní bezpečnostní školení uživatelů. Uživatelé představují nejslabší článek informační bezpečnosti organizace. S tímto faktem bohužel nic neuděláme. Řešením může být školení sestavené na základě konkrétních podmínek organizace a cílené pro uživatele určité specifické úrovně. V rámci školení si uživatelé informačního systému osvojí základní zásady informační bezpečnosti, které jsou potřebné při každodenní práci s počítačem připojeným do sítě a k internetu, čímž se mimo jiné zvýší i jejich odolnost vůči určitým specifickým hrozbám, jako je například sociální inženýrství. V praxi nebývá na škodu, pokud je školení zakončeno testem, který ověří míru pochopení odpřednášené problematiky. Kromě prezenční formy školení se zde může s úspěchem uplatnit i e-learning, který může být uživateli používán kontinuálně například v rámci intranetu organizace.
Kromě výše uvedených mohou být pro organizaci hned v počátcích přínosná i další opatření, jako například zavedení provozní dokumentace nebo ošetření kontinuity provozu. Jak jsem naznačil již výše, ne všechna opatření musí být implementována a realizována vlastními silami organizace. Proces implementace může být účinně podpořen například formou externích konzultací. I když je způsob řešení informační bezpečnosti v každé organizaci do určité míry originální, existuje řada běžně se vyskytujících úskalí, jejichž vliv dokáže zkušený externí konzultant svými vhodnými návrhy omezit.

Na co si dát pozor

Při řešení informační bezpečnosti se potkáváme s řadu různých problémů, které nezřídka mohou vést k neúspěchu celého projektu. Pokusme se pojmenovat alespoň některé z nich.
Velmi důležité je při definici bezpečnostních opatření nesklouznout k jejich přílišné formálnosti. Toto se většinou stává v případě, pokud se ten, kdo opatření navrhuje, až příliš drží normy (myšlena norma ISO/IEC 27002) a nedokáže udržet tzv. rozumnou míru opatření. Typickým důsledkem je pak nepřiměřeně velká administrativa vyžadovaná i v případech, kdy k tomu není žádný důvod, příliš mnoho formálních postupů spojených s neustálým schvalováním, povolováním odpovědnými osobami apod. Tento stav ve většině organizací vyústí v to, že zaměstnanci vnímají řízení informační bezpečnosti jako čistě formální záležitost (pokud organizace směřuje k certifikaci, tak je to pro ně jen „další ISO“).
Abychom při zavádění bezpečnosti do prostředí organizace dosáhli alespoň nějakého úspěchu, musíme se snažit o určitý soulad s aktuální firemní kulturou. Správný bezpečnostní manažer by se měl snažit o takové počáteční nastavení úrovně informační bezpečnosti, která bude pro organizaci a její zaměstnance snesitelná. Teprve následně by se měl snažit vytvářet přiměřený tlak, kterým bude firemní kulturu „přizpůsobovat“ potřebám bezpečnosti. Typickým způsobem je postupné zpřísňování bezpečnostních opatření. I když každý bezpečnostní profesionál zná například standardní požadavky na kvalitu a používání hesel, pokud víme, že uživatelé nebudou schopni je plnit, je pro organizaci daleko menším zlem tato pravidla na přechodnou dobu mírně uvolnit (například vyžadovat méně často změnu hesla). Protože pokud bychom v tomto případě striktně trvali na svém, můžeme se také dočkat toho, že hesla budou napsána na každé druhé klávesnici a stejně ničeho nedosáhneme.
Tím však rozhodně netvrdím, že bychom měli před uživateli kapitulovat a nesnažit se je k dodržování potřebných pravidel přinutit. Jen je třeba, aby byl tlak plynulý a pro uživatele snesitelný.

Tolik k návrhu bezpečnostních opatření. Příště se blíže podíváme na implementaci a ověřování jejich účinnosti.

Autor působí jako IT security consultant společnosti AEC, člena skupiny Cleverlance.