Proč by tedy firma měla o auditu vůbec uvažovat? Jedním z hlavních důvodů je nezávislé ujištění o tom, zda informační bezpečnost v organizaci a bezpečnostní charakteristiky systémů jsou nastaveny v souladu s akceptovanou dobrou praxí nebo v souladu s platnou legislativou. Toto ujištění může vaše firma získat od nezávislé firmy, která disponuje experty s dostatečnými zkušenostmi. Ti provedou externí prověrku nastavení technologií nebo procesů, které v organizaci probíhají a souvisejí s informační bezpečností nebo s jejím řízením. To také umožní zhodnotit, zda je bezpečnost řešená systematicky. Často ve firmách nastává i situace, kdy si management chce ověřit informace, které slyší od zaměstnanců odpovědných za firemní IT.
Co dostane firma navíc, když využije služeb nezávislé společnosti, oproti tomu, když si prostě a jednoduše nainstaluje bezpečnostní software na veškerý hardware? Každá společnost používá množství hardwaru a softwaru, který postupně v čase a na základě svých potřeb pořizuje. Pokud nastane konkrétní problém, odpovědní lidé z firmy řeší nastalou situaci, nicméně mnohdy neřeší bezpečnost systematicky. Je mnoho oblastí, které jsou v rámci bezpečnosti velmi často opomíjené a nikdo se jimi systematicky nezabývá. Mnohdy jsou otázky bezpečnosti řešeny pouze v ad hoc rovině na základě „selského rozumu“. Během růstu společnosti je třeba věnovat se systematickému řízení bezpečnosti a nemá smysl, aby společnost pomocí „zdravého rozumu“ objevovala kolo. Právě v pochopení a uplatnění systematického přístupu k řízení bezpečnosti je zásadní výhoda služeb v porovnání s „blikající škatulkou“, která upozorňuje na momentální problém.
Jak by měly společnosti uvažovat vzhledem k investicím do bezpečnosti firmy? Důvěra je laciná, můžete někomu nebo něčemu důvěřovat a nestojí vás to vůbec nic. Bezpečnost však samozřejmě něco stojí. Každá společnost se musí rozhodnout, jaké prostředky je ochotná do bezpečnosti investovat. Pokud systematicky přistupuje k řízení bezpečnosti, tak i omezené zdroje investuje do oblastí, které jsou skutečně kritické, a neplýtvá prostředky k řešení marginálních problémů. Jestliže má společnost několik počítačů, tak si neplatí svého administrátora ani „sekuriťáka“. Od střední velikosti firmy už je ale otázka bezpečnosti významná. Takové společnosti už mají většinou malé oddělení, nebo alespoň jednoho zaměstnance, který se stará o IT. Ten ale nemá zpravidla čas ani všechny potřebné zkušenosti věnovat se bezpečnosti. V tu chvíli přichází řada na služby a řízení bezpečnosti, které nabízejí specializované firmy. Velké společnosti řídí svoje technologie, jejich týmy však bývají kapacitně poddimenzované a nemusí mít konkrétní specifické znalosti v oblasti bezpečnosti. Poptávka velkých firem souvisí právě s nezávislým posouzením bezpečnosti v podobě bezpečnostních auditů nebo penetračních testů. Dále společnosti přicházejí s požadavkem na realizaci analýzy rizik, která jim umožní získat přehled o významných rizicích a určit směr a prioritiziaci při implementaci bezpečnostních opatření.
Při implementaci opatření je rovněž třeba počítat se skutečností, že většina bezpečnostních rizik reprezentuje lidskou chybu, nepozornost, nedbalost, nevědomost nebo zlý úmysl. Zdá se tedy, že nejslabším článkem v řetězu informační bezpečnosti je člověk, zaměstnanec. Každý zaměstnanec by tedy měl mít povědomí o svých povinnostech a přesně vědět, proč dodržovat určitá pravidla. Společnost tedy musí tato pravidla jasně stanovit a zaměstnance na ně upozornit, protože právě nedostatečné stanovení pravidel a jejich vysvětlení je často slabým místem. Z výše uvedeného vyplývá, že větší riziko hrozí spíše zevnitř firmy než zvenku. Budování perimetru nebo ochrana společnosti vůči vnějším útočníkům je přirozená věc, která souvisí se zavedením informační bezpečnosti. Je to jasně definované nebezpečí, které si vedení nebo odpovědní pracovníci uvědomují. Uvnitř společnosti jsou ale lidé, kteří mají určitý stupeň důvěry jeden vůči druhému, a někdy tento pocit důvěry vyvolává pocit falešného bezpečí. To znamená, že definice vnitřních pravidel, jakým způsobem oddělit pravomoci a jakým způsobem vytvořit vnitřní kontrolní bezpečnostní mechanismy a oprávnění, většinou chybí. To většinou způsobuje, že například riziko úniku dat je větší zevnitř firmy než zvenku. To vše komplikuje i skutečnost, že v mnoha firmách dnes pracují virtuální týmy a pravomoci týkající se přístupu k informacím se začínají míchat. Tím pádem není možné segmentaci pořádně realizovat. Je to paradox, ale největší výzvou je zabezpečit firmu před svým zaměstnancem.
Kdy se tedy začít bezpečnosti věnovat? Pokud firma začíná se svým byznysem, má zpravidla málo lidí. Všechny procesy se v té situaci rodí samovolně a neformálně. Většinou je potřeba data a údaje všeobecně mezi sebou sdílet. Jeden zastupuje druhého a podobně. V této době se bohužel nevěnuje pozornost tomu, že je potřeba data například klasifikovat a tomu odpovídajícím způsobem chránit. Když firma roste, narůstá také komplexnost údajů, se kterými se pracuje, rozšiřuje se počet pracovních rolí a pozic, aniž by měli noví zaměstnanci dostatečné povědomí o jejich objektivní důležitosti a o bezpečnostních požadavcích, které by na ně měly být kladeny. Potom najednou přijde nějaký bezpečnostní incident. V té chvíli je ale už řešení bezpečnosti z pohledu dané společnosti často dost složité. Proto by se firmy měly věnovat informační bezpečnosti v začátcích rozvoje firmy a byznysu, kdy je snadnější uvědomit si, jaké existují toky dat, jaké údaje a jak mají být chráněné z hlediska přístupu nebo jak dlouho a pro koho mají být data dostupná.

Barbora Netolická
Autorka článku pracuje jako konzultantka ve společnosti Eset.