Bezpečnostní politika

Dobré zabezpečení začíná u efektivně zdokumentované bezpečnostní politiky. Tato politika by měla jasně definovat práva a odpovědnost na pracovišti a eliminovat situace typu „pardon, šéfe, to jsem netušil(a)“. Vypracování formální bezpečnostní politiky sice může znít obtížně, ale ve skutečnosti obtížné být nemusí. Takovou politiku nemusí tvořit mnohostránkový tlustopis, musí však pokrývat hlavní rizikové oblasti vašeho podniku. V některých případech zjistíte, že si vaši zákazníci, partneři nebo dodavatelé chtějí prostudovat vaši bezpečnostní politiku, zejména pokud máte v úmyslu vzájemně propojit své systémy. Taková politika by měla pokrývat:

Přijatelné využití (acceptable use, AUP)

Pravidla chování, která jasně definují účely, k nimž lze využívat firemní prostředky IT (včetně internetového přístupu). Zaměstnanci by například měli vědět, zda jsou přijatelné osobní e-maily nebo telefonáty a v jakém rozsahu. Je omezeno, kolikrát denně lze využít firemní prostředky k osobním cílům? Chcete omezit přístup k určitým webovým serverům? Smí zaměstnanci připojovat do firemní sítě osobní přístroje? Jaké jsou zásady používání hesel v rámci firmy? Chcete omezit typy obsahu, který lze přenášet e-mailem či faxem, nebo publikovat on-line? Vyplatí se nezapomínat, že když politika příliš omezuje práva zaměstnanců, mohou být nespokojení a začít opouštět podnik. Úplný zákaz přístupu k sociálním médiím může vést také například k hledání kreativních způsobů, jak tento blok obejít, a vystavit podnik rizikům, s nimiž jste nepočítali. Také je třeba definovat, jaké sankce budou v případě porušení zásad přijatelného využití uplatňovány. Zásady přijatelného využití by měly být hlavně jasné a stručné, aby jim všichni, kteří je podepisují, rozuměli.

Informační zabezpečení

Politika informačního zabezpečení stojí na třech hlavních konceptech – důvěrnosti, integritě a dostupnosti. V zásadě by měla politika informačního zabezpečení jasně určovat vaši strategii, jak zabránit neoprávněnému přístupu ke klíčovým obchodním či jiným citlivým informacím a prostředkům, jejich ztrátě či poškození, a jak k nim naopak zajistit přístup pro ty, kdo jej potřebují. U začínajících firem by se měla strategie zpočátku zaměřit na školení zaměstnanců (pokryté z větší částí AUP) a na technologické strategie zajišťující, že bude k datům přístup i v případě katastrofického selhání, že v případě narušení bezpečnosti nebude ohrožena integrita dat a že k narušení vůbec nedojde.

Technologické přístupy

Klíčovým aktivem každé společnosti jsou v internetovém věku její data. Většina dat se nyní uchovává v digitálním formátu, a proto je klíčem použití efektivních technologií. Tradiční zálohovací řešení jsou založena na kopírování dat z firemních serverů na záložní pásky či jiná archivní média, ale pro novou firmu jsou výdaje související s pořízením a správou hardwarového zálohovacího řešení často odrazující. Naštěstí existuje nové a cenově výhodné řešení ve formě nastupujících technologií, zejména cloud computingu. Základní potřebou podniků, zejména menších, které si nemohou dovolit specializované interní týmy IT a bezpečnostních expertů, je nepřerušované podnikání.
Nová generace zálohovacích řešení již nezajišťuje zotavení, ale kontinuitu. Novým paradigmatem není zálohování, ale uložení, synchronizace a přístup. Kdykoli se změní nějaký soubor, mělo by okamžitě dojít k synchronizaci s cloudem, takže bude vždy k dispozici nejnovější verze souborů. Přístup k těmto datům by měl být možný kdykoli, z libovolného přístroje a bez nutnosti absolvovat předtím načítání a obnovu.
Pokud je tento koncept doveden do logických důsledků, evidentně není třeba, aby začínající společnost vynakládala finanční a personální prostředky na provoz vlastního lokálního úložiště. Pokud lze citlivá data bezpečně uložit v rámci služby poskytované z cloudu, zálohování provádí poskytovatel cloudu a je zajištěn neustálý přístup, pak volba této technologie snadno a hospodárně uspokojí velkou část požadavků na důvěrnost, integritu a dostupnost obchodních dat.
Kromě toho je nutné zajistit důvěrnost dat v případě ztráty nebo odcizení počítačů, tabletů či inteligentních telefonů patřících organizaci. S pomocí těchto přístrojů lze přistupovat k datům v on-line úložišti a navíc v nich mohou být lokálně uložená data, na nichž se právě pracuje, takže má i nadále obrovský význam lokální zabezpečení a zde je klíčovou technologií šifrování. V případě ztráty, odcizení nebo napadení přístroje si musí být firma jistá, že k datům nelze neoprávněně přistupovat.
Další oblastí zabezpečení, kterou nelze přehlížet, je ochrana počítačů, tabletů a inteligentních telefonů před nákazou. On-line kriminalita obecně a cílené útoky zvlášť se zaměřují na získání kontroly nad přístroji, odcizení citlivých informací a pověření. Malé podniky zůstávají jedním z nejlukrativnějších cílů malwaru zaměřeného na bankovnictví, navzdory tomu však data z nedávných průzkumů Visa ukazují, že si malé podniky myslí, že jsou méně atraktivním cílem než velké korporace. Počítačoví zločinci se zaměřují na malé podniky, protože ty mají peníze a zároveň jsou zranitelné, neboť jim často schází prostředky a dovednosti, s jejichž pomocí jejich velké protějšky chrání svá cenná data a pověření.
Jednou z klíčových změn v oblasti bezpečnostních technologií, která je nesmírně výhodná pro začínající firmy, pokud jde o zabezpečení v kyberprostoru, jsou hostované služby. Vlastníci podniku mohou delegovat instalaci, konfiguraci a správu svého bezpečnostního softwaru na důvěryhodnou třetí stranu, svého bezpečnostního partnera. Ať už si vyberete jakýkoli bezpečnostní software, měl by v rámci jednoho administrativního rozhraní pokrývat všechny platformy používané ve vašem pracovním prostředí, mobilní i pevné přístroje. Neměl by spoléhat na zastaralou metodiku pravidelných aktualizací stahovaných od dodavatele zabezpečení, ale měl by být schopen rozpoznat rizika a zastavit útoky dřív, než začnou, díky dynamickému zpravodajství v reálném čase. Každodenní správa a odezva na incidenty je zajišťována profesionálními bezpečnostními experty, a začínající firma se tak může soustředit na jádro svého podnikání, tedy rozšiřování klientely, budování značky a cestu k úspěchu.

Ochrana majetku

V 21. století spoléhá většina nových podniků při lákání nových a udržování stávajících zákazníků na internet, takže jsou vaše webové stránky a schopnosti prodeje po internetu středobodem celého vašeho podnikání. Zabezpečení nezačíná a nekončí v kanceláři, je třeba je rozšířit také do vašeho obchodu. Webové obchody a systémy internetového prodeje jsou magnetem na kriminální aktivity. On-line zločinci moc dobře ví, že pokud dokáží získat neoprávněný přístup k serveru zajišťujícímu internetové obchodování, mohou si odnést nepřeberné množství informací o platebních kartách a dalších osobních informací. Nejde však jen o systémy plateb, weby malých podniků jsou také nejčastějším cílem pro infiltraci a zneužití. Pokud je narušena bezpečnost vašeho webu, lze s jeho pomocí šířit škodlivý programový kód a vaši zákazníci se jím nakazí bez svého vědomí či souhlasu. A cokoli z toho může novému podniku odehnat většinu zákazníků.
Pokud provozujete vlastní webové servery, musíte zajišťovat průběžné softwarové opravy a aktualizace. Pokud nelze instalovat aktualizace včas, je nutné investovat do hostovaného řešení, které zabrání narušení bezpečnosti a zajistí ochranu všech slabin serveru před zneužitím do doby, než bude možné nainstalovat opravy. Stejně důležité je také pravidelné penetrační testování webových serverů kontrolující, zda nelze zneužít nějakou chybu v konfiguraci nebo laxní zásady použití hesel k narušení jejich zabezpečení. Většina nových firem však nebude provozovat vlastní webové servery a raději se spolehne na služby ISP nebo jiného partnera a to je další oblast, kde je definování vlastní bezpečnostní politiky velkou výhodou. S poskytovatelem služeb se musíte seznámit, požádat o nahlédnutí do jeho bezpečnostní politiky, přesvědčit se, že jeho schopnosti odpovídají vašim požadavkům, a ujistit se, že jste s kroky, jež podniká k zabezpečení vašich dat a systémů, spokojení.

Rychlejší provoz

Až příliš často je zabezpečení vnímáno jako překážka agility a flexibility, ale správné technologie vybrané ze správných důvodů jsou často definujícími charakteristikami, které rozhodnou o přežití nebo selhání nového podniku. Zabezpečení začínajících podniků stejně jako velkých korporací je plně postaveno na řízení rizik. Úplná ochrana před všemi hrozbami je nedosažitelná, zejména pokud jste limitováni finančními prostředky. Klíčovým principem je ztížit útočníkovi práci natolik, aby se raději poohlédl po jiném cíli.

Jako v tom vtipu o dvou kamarádech. Jsou na výletě v džungli a náhle uvidí tygra. Jeden z nich rychle vytáhne z batohu tretry. Druhý se na něj nevěřícně podívá a říká: „Fakt si myslíš, že s těmi botami budeš rychlejší než ten tygr?“ A první odpoví: „Nemusím být rychlejší než tygr, stačí, když budu rychlejší než ty.“

Rik Ferguson
Autor působí jako solutions architect ve společnosti Trend Micro.