V dnešní době je téměř nemorální přiznat, že v organizaci není žádná forma bezpečnostní politiky. Průzkum [1] ukazuje, že již téměř polovina organizací v České republice formálně zpracovanou a nejvyšším vedením schválenou bezpečnostní politiku má. I kdybychom připustili, že bezpečnostní politiku mají všechny organizace a instituce, stále tu zůstává otázka – a co dál? Je to životaschopný dokument? Jak se jeho existence projevuje v praxi?


Naštěstí většina organizací chápe bezpečnostní politiku jako závazný předpis, takže se dá předpokládat, že její plnění je nebo může být vynucováno. Mnozí z praxe znají, že se politiky dá velmi dobře využít při prosazování bezpečnostních opatření a nastavování vnitřních procesů ve firmě. Tam, kde tvorbu a prosazování bezpečnostní politiky vzali za správný konec, ušetří si spoustu starostí. I když papír není hůl, dá se o něj s výhodou opřít.
To je ale stále málo. Pomiňme případy, kdy je bezpečnostní politika zpracována hlavně kvůli auditorům, nikdo ji nepotřebuje, nezná ji, a tedy ani nepoužívá. Dokonce i ti, kteří to myslí vážně, se totiž postupně dostávají do problémů:

1. politika zastarává stejně rychle, jako se mění business, systém řízení, technologie atd.,
2. dříve či později dojede ke stavu, kdy se politika začne chápat jako něco obstrukčního a její protagonisté jako brzda normálního chodu společnosti,
3. rychle se dostaví nebezpečná myšlenka: kdo politiku vlastně potřebuje? Není to náhodou způsob, jak se prosazuje a zviditelňuje útvar „Security“? Co pro nás vlastně dělají, kromě toho že otravují?

Bezpečnostní manažer je skutečně ve dvojím ohni. Zaprvé musí odborně zajistit realizaci bezpečnostní strategie společnosti, zadruhé přesvědčit business útvary, IT a všechny uživatele informačního systému, aby se chovali tak, jak je třeba. K obojímu často nemá ani dostatek zdrojů a prostředků, ani podporu vedení, zejména když to „tak nějak funguje“. Skutečně, nebyly-li dosud zaznamenány závažné bezpečnostní incidenty, většinou se má za to, že nebudou ani v budoucnu...
A tak se objevují prozíraví bezpečnostní manažeři a další přemýšliví lidé, kteří hledají, jak „prodat“ informační bezpečnost managementu organizace. Jak ukázat, že zajištění bezpečnosti je hlavně práce, úmorná denní a také významně koncepční práce, která není pro organizaci přítěží, ale nezbytnou podmínkou její existence.
V moderní organizaci se stávají stále častěji přímou součástí produkce informace. Organizace jsou na informacích zcela, nebo v převážné míře závislé. Zpracování informací v informačním systému se začíná chápat jako proces, který je nedílnou součástí hodnotového řetězce při tvorbě přidané hodnoty. Zajištění určité úrovně dostupnosti, důvěrnosti a integrity informací je pak prvořadou nezbytností.
Zde se nabízí využití principů „best practice“ řízení služeb, stále více používané knihovny ITIL (Information Technology Infrastructure Library). Co jiného než služba je činnost bezpečnostního manažera a její výsledky?

Definujme „Security“ jako virtuální firmu, která má své zákazníky a své dodavatele.
Tuto virtuální firmu může tvořit bezpečnostní manažer IT, bezpečnostní manažer pro fyzickou bezpečnost, risk manažer, bezpečnostní správci a také například Výbor pro koordinaci bezpečnosti – zda všichni dohromady, nebo jednotlivě, či někteří z nich, to v této chvíli není podstatné.
Virtuální firma má své zákazníky, kterými jsou především top management společnosti, dále vlastníci primárních, „výrobních“ procesů, včetně obchodu a marketingu, servisu, vstupní a výstupní logistiky.
Také má své dodavatele, kterými je zejména útvar IT, útvar lidských zdrojů, právní oddělení, správa majetku nebo třeba útvar Compliance. Podotýkáme, že tito subdodavatelé mohou být podle povahy služby rovněž i zákazníky uvedené virtuální firmy.
Vztahy mezi dodavateli a odběrateli je pak možné, respektive nutné vyjádřit pomocí smlouvy, kterou je podle ITIL Service Level Agreement (SLA). Smlouvu je možné konstruovat na:

• dodávku komplexní služby, například „Řízení informační bezpečnosti ve společnosti“,
• dodávku jednotlivých služeb, například vytvoření a údržbu „Strategie informační bezpečnosti“, „Politiky informační bezpečnosti“, „Systémové bezpečnostní politiky“ v celém jejich životním cyklu, přípravu a realizaci výchovného a vzdělávacího bezpečnostního programu, certifikaci například dle ISO 27001 (Information Security Management System, ISMS), realizaci bezpečnostní auditu, zajištění komplexního systému řízení rizik atd.,
• dodávku kombinovaných služeb.

Smlouva SLA popíše každou jednotlivou službu (Service Level Description, SLD), přiřadí službě měřitelné parametry, na základě toho popíše i garance za dodávku služby (úplnost a kvalitu), dále pak podmínky poskytování služby, její dostupnost a přirozeně cenu. Taková smlouva umožní velmi přesně definovat očekávání zákazníka a závazky dodavatele. Umožní také spočítat, kolik to všechno stojí.

Zdůrazňujeme, že zákazníkem informační bezpečnosti musí být business, nikoli například IT.
Tento „servisní“ přístup, za podmínky správně vybraných a nastavených parametrů služby, umožní dodávat službu zákazníkovi (tedy zejména vedení organizace a hlavním produkčním útvarům) v definované a předem očekávané kvalitě. Například výše uvedená „Bezpečnostní politika“, je-li dodávána jako služba, bude muset v každý okamžik splňovat určité parametry. Takovými parametry pro tuto službu mohou být, společně s metrikami typu „Implementace“ a „Efektivnost“, například „Soulad s platnou legislativou“, „Soulad s business cíli a požadavky“, „Srozumitelnost pro uživatele“, „Počet a charakter bezpečnostních incidentů, „Náklady na informační bezpečnost“ atd.
Přijme-li virtuální firma Security jako dodavatel bezpečnostní politiky závazky vyplývající ze SLA, bude samozřejmě muset hledat zdroje pro jejich splnění. Některé pokryje sama, některé subdodávkou – například od právního oddělení, které bude hlídat měnící se legislativu a vnitřní předpisy, od útvaru IT, který bude garantovat návaznost na systémové a technické bezpečnostní politiky a realizaci technických opatření atd. Možná se ukáže, že firma Security nebude moci požadavky zákazníka, tedy vedení organizace a produkčních útvarů, plnit v požadovaných parametrech. Pak bude namístě tázat se, zda je tato firma vnitřně dobře uspořádána, zda má odborné předpoklady, zda cena za požadované služby není příliš nízká či zda nelze hledat požadované služby za stejnou či nižší cenu jinde.
Lze vybudovat i velmi propracovaný model řízení bezpečnostních služeb. Jediným předpokladem je, aby v organizaci normálně fungoval systém řízení a aby bezpečnostní manažer byl ochoten a schopen převzít na sebe odpovědnost. Vyžaduje to odvahu a trochu práce navíc při přesné specifikaci SLA, a to jak na straně dodavatele, tak i odběratele služeb (zákazníka).
Odměna za to je však lákavá. Proces zajišťování informační bezpečnosti v organizaci se stává podstatně průhlednějším. Dá se snáze řídit, a to nikoli na bázi přání, ale skutečných business cílů. Dá se srozumitelněji argumentovat, což je nezbytná podmínka přidělování potřebných zdrojů. Dá se lépe koordinovat úsilí jednotlivých útvarů organizace, protože informační bezpečnost je interdisciplinární záležitost a bez řízení a koordinace aktivit v prostředí často protichůdných zájmů se neobejde.
Co je ale hlavní, lze dosáhnout snáze prokazatelných a uchopitelných výsledků. Informační bezpečnost má šanci stát se z brzdy rozvoje hlavních aktivit organizace (jak tomu nezřídka bývá) přímým faktorem produkce a zdrojem přidané hodnoty.

Jen na okraj, časté stížnosti bezpečnostních manažerů na nezájem vedení o informační bezpečnost jsou způsobeny buď tím, že tato oblast nemá takovou prioritu, jak si bezpečnostní manažer představuje, nebo bezpečnostní manažer nemá argumenty, případně je nedokáže prezentovat vedení, anebo prostě nemá výsledky.

Zdroje:
[1] Průzkum stavu informační bezpečnosti v ČR 2005. Ernst & Young, DSM – Data Security Management, NBÚ, 2005.

Autor působí jako senior consultant ve společnosti Security Expert.