V praxi se nám mnohokrát potvrdilo, že k problematice informační bezpečnosti je vhodné přistupovat pragmaticky a nezapomínat na selský rozum. Narazili jsme totiž na spoustu menších firem, které mají své informační systémy velmi dobře zabezpečené a s kvalitním řízením, přestože mají jen jednu či dvě stručné směrnice zaměřené na informační bezpečnost. Pro pragmatický přístup k informační bezpečnosti máme čtyři následující doporučení.

První doporučení pragmatické bezpečnosti: Důvěřuj, ale prověřuj, vzdělávej a kontroluj! Nikdo by neměl být kontrolován jen sám sebou.

Jaká bývají nejzásadnější zjištění našich bezpečnostních studií v menších organizacích? Není oddělena výkonná a kontrolní vrstva. Šetří se na počtu lidí, plýtvá se kvalifikací. A co u větších firem? Bezpečnostní technologie jsou mnohde zavedeny nedůsledně. Manažeři bezpečnosti „mají splněno“, ale realita je jinde.

Druhé doporučení pragmatické bezpečnosti: Pořádně si ukliďte! A připravte si to tak, aby změny nebolely.

Víme, že bezpečnost obvykle něco stojí, ale nemusí být nákladná. Investice do drahých technologií se dají často nahradit menší investicí do důkladného prosazení organizačních procedur nebo detailní rozvahou skutečných potřeb. Velké rezervy běžně nacházíme ve slabém využívání užitečných funkcí technických prostředků, které již byly pořízeny. V organizacích státní správy a ve velkých firmách bývá důvodem laxní přístup či nedostatečné znalosti. V menších firmách se k tomu přidává přetíženost pracovníků IT oddělení provozními záležitostmi.

Třetí doporučení pragmatické bezpečnosti: Nebraňte se invenci a kvalitním řešením na bázi otevřeného softwaru! Ale pozor, nástroj není řešení a bez dlouhodobé technické podpory nelze mluvit o kvalitě.

V současnosti existuje mnoho plnohodnotných bezpečnostních nástrojů se svobodnou licencí a s technickou podporou výrobce. Pokud víte jak na to, sestavíte z nich díky jejich pružnosti řešení ušité na míru bezpečnostním i provozním požadavkům malých i velkých firem, a to s dramaticky nižšími pořizovacími i provozními náklady. A zcela se vyhnete situacím typu „No víte, my to máme kvůli vysoké ceně licencí nasazené jen na pěti serverech z padesáti.“ Pomocí otevřeného softwaru dokážete pokrýt na vysoké úrovni kvality a záruk minimálně tyto oblasti bezpečnosti:

• Řízení identit a uživatelských účtů
• Monitoring dostupnosti služeb a provozní monitoring obecně
• Log management auditních záznamů a automatizovaný bezpečnostní dohled
• Šifrování a bezpečné smazání dat a pevných disků, šifrování komunikace

Čtvrté doporučení pragmatické bezpečnosti: Vybírejte nejkvalitnější nástroje pro detekci. A neváhejte investovat už do procesu jejich výběru.

Kvalita nástrojů použitých pro detekci škodlivého kódu v souborech a v komunikaci byla a zůstává jedním z klíčových faktorů určujících reálnou úroveň zabezpečení sítě v momentě, kdy máte uklizeno – tj. když jsou vaše informační systémy i z hlediska bezpečnosti dobře navrženy, realizovány a udržovány, a máte pořádek v uživatelských účtech a v nastavení přístupových práv. K čemu je vám dobrý antivir nebo IPS systém, který má sice tisíc funkcí a poskytuje úžasné reporty, ale jeho schopnost detekovat závadný kód je podprůměrná? Antiviry v novém hávu, pokud chtějí obstát, musí využívat globální znalostní databázi a musí heuristiku skutečně obsahovat, nejen ji předstírat.

Říkáte, že ani na tento pragmatický přístup k řízení bezpečnosti informací ve vaší menší firmě nemáte kvalifikované lidi? To je normální. Angažujte specialistu. Vyplatí se vám to!

Mgr. Pavel Štros Ph.D., CISA Autor článku působí na pozici Team Leader pro bezpečnost a monitoring ve společnosti Datasys