facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2016 , IT Security

Pragmatický přístup k informační bezpečnosti



DatasysŘízení bezpečnosti informací je velmi formální disciplína, pokud se ni na podíváme důsledně z hlediska příslušných zákonů a norem. Při auditech zralosti systému řízení bezpečnosti informací je u nás nejpoužívanější normou ČSN ISO/IEC 27001, běžné bývá provádět také hodnocení dle normy ČSN ISO/IEC 15504 zaměřené na kvalitu procesního řízení. Při takovémto hodnocení prakticky nemáte šanci získat lepší skóre než dva z pěti, pokud není fungující procesní řízení ustaveno na úrovni celé organizace. Už skóre 1 totiž znamená, že bezpečnostní opatření jsou v plné šíři neformálně zavedena, jsou prokazatelně vykonávána a plní svůj účel. Proto v každé námi vedené bezpečnostní studii hodnotíme nejen formální zralost procesního zvládnutí bezpečnostních opatření, ale zcela nezávisle posuzujeme i úroveň přiměřenosti zavedených organizačních a technických opatření.


V praxi se nám mnohokrát potvrdilo, že k problematice informační bezpečnosti je vhodné přistupovat pragmaticky a nezapomínat na selský rozum. Narazili jsme totiž na spoustu menších firem, které mají své informační systémy velmi dobře zabezpečené a s kvalitním řízením, přestože mají jen jednu či dvě stručné směrnice zaměřené na informační bezpečnost. Pro pragmatický přístup k informační bezpečnosti máme čtyři následující doporučení.

První doporučení pragmatické bezpečnosti: Důvěřuj, ale prověřuj, vzdělávej a kontroluj! Nikdo by neměl být kontrolován jen sám sebou.

Jaká bývají nejzásadnější zjištění našich bezpečnostních studií v menších organizacích? Není oddělena výkonná a kontrolní vrstva. Šetří se na počtu lidí, plýtvá se kvalifikací. A co u větších firem? Bezpečnostní technologie jsou mnohde zavedeny nedůsledně. Manažeři bezpečnosti „mají splněno“, ale realita je jinde.

Druhé doporučení pragmatické bezpečnosti: Pořádně si ukliďte! A připravte si to tak, aby změny nebolely.

Víme, že bezpečnost obvykle něco stojí, ale nemusí být nákladná. Investice do drahých technologií se dají často nahradit menší investicí do důkladného prosazení organizačních procedur nebo detailní rozvahou skutečných potřeb. Velké rezervy běžně nacházíme ve slabém využívání užitečných funkcí technických prostředků, které již byly pořízeny. V organizacích státní správy a ve velkých firmách bývá důvodem laxní přístup či nedostatečné znalosti. V menších firmách se k tomu přidává přetíženost pracovníků IT oddělení provozními záležitostmi.

Idea pragmatické bezpečnosti

Třetí doporučení pragmatické bezpečnosti: Nebraňte se invenci a kvalitním řešením na bázi otevřeného softwaru! Ale pozor, nástroj není řešení a bez dlouhodobé technické podpory nelze mluvit o kvalitě.

V současnosti existuje mnoho plnohodnotných bezpečnostních nástrojů se svobodnou licencí a s technickou podporou výrobce. Pokud víte jak na to, sestavíte z nich díky jejich pružnosti řešení ušité na míru bezpečnostním i provozním požadavkům malých i velkých firem, a to s dramaticky nižšími pořizovacími i provozními náklady. A zcela se vyhnete situacím typu „No víte, my to máme kvůli vysoké ceně licencí nasazené jen na pěti serverech z padesáti.“ Pomocí otevřeného softwaru dokážete pokrýt na vysoké úrovni kvality a záruk minimálně tyto oblasti bezpečnosti:

  • Řízení identit a uživatelských účtů
  • Monitoring dostupnosti služeb a provozní monitoring obecně
  • Log management auditních záznamů a automatizovaný bezpečnostní dohled
  • Šifrování a bezpečné smazání dat a pevných disků, šifrování komunikace

Čtvrté doporučení pragmatické bezpečnosti: Vybírejte nejkvalitnější nástroje pro detekci. A neváhejte investovat už do procesu jejich výběru.

Kvalita nástrojů použitých pro detekci škodlivého kódu v souborech a v komunikaci byla a zůstává jedním z klíčových faktorů určujících reálnou úroveň zabezpečení sítě v momentě, kdy máte uklizeno – tj. když jsou vaše informační systémy i z hlediska bezpečnosti dobře navrženy, realizovány a udržovány, a máte pořádek v uživatelských účtech a v nastavení přístupových práv. K čemu je vám dobrý antivir nebo IPS systém, který má sice tisíc funkcí a poskytuje úžasné reporty, ale jeho schopnost detekovat závadný kód je podprůměrná? Antiviry v novém hávu, pokud chtějí obstát, musí využívat globální znalostní databázi a musí heuristiku skutečně obsahovat, nejen ji předstírat.

Říkáte, že ani na tento pragmatický přístup k řízení bezpečnosti informací ve vaší menší firmě nemáte kvalifikované lidi? To je normální. Angažujte specialistu. Vyplatí se vám to!

Mgr. Pavel Štros Ph.D., CISA Mgr. Pavel Štros Ph.D., CISA
Autor článku působí na pozici Team Leader pro bezpečnost a monitoring ve společnosti Datasys
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.