facebook
Aktuality -> Komunikace a sítě - 26. 7. 2018 10:16 - Mike Bursell

Informační bezpečnost není sport

Red HatNedávno skončené fotbalové mistrovství světa mě inspirovalo k zamyšlení, jak sport ovlivňuje naše soukromé i profesní životy a jak mnohé z lidských aktivit jsou sportu velmi podobné v pravidlech i v úsilí dosáhnout úspěchu. Existují ovšem také oblasti, které se od sportu liší snad naprosto ve všem. Například oblast informační bezpečnosti. Podívejme se, proč tomu tak je.



1. Nelze vinit pouze brankáře

Situace, kterou znají snad všichni kluci, kteří kdy stáli ve fotbalové brance a dostali gól. Ten pocit viny a někdy i skutečně vyslovené výtky od spoluhráčů. Takové chování má velmi špatný dopad na týmovou morálku, tým zkrátka takto fungovat nemůže. V reálném světě sice nejsou všichni bezpečnostními experty, ale každý by měl přijmout svůj díl zodpovědnosti včetně pochopení toho, jak věci fungují. A když se něco pokazí, nelze svalit vinu na jediného člověka. V rámci informační bezpečnosti máme příležitost chyby napravit na rozdíl od prohraného zápasu, jehož výsledek změnit nelze. V případě využívání DevOps principů lze navíc situaci napravit rychle včetně otestování, které pomůže zajistit, že stejnou zranitelnost se v dané organizaci již nikdy nepodaří zneužít.

2. Nevíte, kdo je váš soupeř

Ve sportu je obvykle naprosto jasné, kdo je váš soupeř, kde se nachází a co v konkrétní čas dělá. Možná jej nemůžete vždy zastavit, ale víte, kdo to je a čeho se snaží dosáhnout. V oblasti informační bezpečnosti tomu tak není, obzvláště pak v případě, kdy vaše organizace preferuje DevOps přístup – vyvíjíte, testujete a provozujete systémy i aplikace na mnoha různých vrstvách a stejně tak mohou být různí i soupeři – kyberútočníci, jejich dovednosti i zdroje. Pokud skutečně pracujete jako tým, znalosti různých odborníků mohou být aplikovány způsobem, který lze jen obtížně realizovat ve standardním modelu „design, vývoj, testování, nasazení“ a který poskytuje širší a hlubší náhled na možnosti, jak zlepšit bezpečnost projektů.

3. Soupeři nehrají podle stejných pravidel

Ve sportu je nutné dodržovat pravidla. A musí je ctít všechny strany, jinak zasáhne rozhodčí a potrestá viníka nebo se jinak zastane poškozené strany. Bylo by krásné žít ve světě, kde bude každý útočník na vaši IT infrastrukturu či aplikace vždy odhalen a potrestán. Jenže dnes nevidíme ani náznak toho, že by se tato pohádka mohla stát v brzké době realitou. A vzhledem k mizivé šanci, že by oběť mohla vést aktivní protiútok v reálném čase, je nutné zvážit možnosti zmírnění útoku včetně toho, jakým způsobem a jak rychle tato opatření aplikovat. Důležité přitom je, aby nebyly tyto postupy pouze v gesci osob odpovědných za bezpečnost. Bezpečnostní experti sice mohou předvídat možné typy útoků, ale dopady na chod systémů odhadnou nejlépe inženýři a provozní personál, A oni by se také měli podílet na návrzích příslušných opatření ke zmírnění škodlivých následků.

4. Ve hře je neustále celý tým

Ve většině týmových sportů je na hřišti vždy jen část týmu. Jednou z výhod informační bezpečnosti je, že na ochraně se mohou podílet naprosto všichni. Trenér není mimo hrací plochu a může přispět, kdykoli je to potřeba. Zkušenostmi i novými „zdroji.“ Díky průběžnému zdokonalování a vývoji typickému pro DevOps přístup má šanci se odborně zapojit prakticky každý člen týmu. Důležité je, aby bezpečnostní týmy nebyly izolovány od ostatních struktur organizace a aby nikdo neměl obavy pomoc poskytnout nebo o ni požádat. Ano, v oblasti informační bezpečnosti je ve hře neustále celý tým.

5. Opakované prohry jsou vítané

Ve sportu je naprosto běžná touha po vítězství, snaha vyhrát každý souboj, každý zápas. Ve skutečnosti ti nejlepší moc dobře ví, jak prohrávat a jak se vrátit zpět ještě silnější. V oblasti informační bezpečnosti jsou prohry velmi důležité, čím častější a rychlejší, tím lépe. Důvod je prostý: prohry představují obrovskou zkušenost a příležitost ke zlepšení. Nikdo přece nevěří v absolutní nezranitelnost systémů a aplikací. Otázkou není, zda někdo podnikovou architekturu napadne, ale kdy se tak stane. Je proto důležité se přizpůsobovat, sledovat abnormální chování, být připraven ke zmírnění dopadů a hlavně neustále se učit z předchozích nezdarů, budovat lepší týmy a zdokonalovat bezpečnost chráněných prvků.

Svět není černobílý a vedle uvedených příkladů zcela jistě existují i další, u kterých bychom již paralelu se sportem našli. Například důležitost vybudování (bezpečnostního) týmu schopného efektivní komunikace nebo stanovení postupů pro co nejrychlejší a nejúčelnější reakci vůči (bezpečnostním) útokům. Ale řekněte sami, neotevřela vám předchozí přirovnání oči a nedíváte se již na informační bezpečnost jinak, více odpovědněji?

Mike Bursell Mike Bursell
Autor článku je hlavní bezpečnostní architekt, Red Hat.

 
  

- Inzerce -

Práce s daty umožňuje předvídat budoucnost

IFSKaždý byznys potřebuje plánovat. Potravinářský průmysl potřebuje plánovat inteligentně. V tomto odvětví panuje tvrdý konkurenční boj a produkt, který poměrně rychle podléhá zkáze, je jenom dalším důvodem, proč celý systém musí fungovat bezvadně, rychle a efektivně.

  

- Inzerce -

DMS jako důležitý nástroj pro management kvality

OnlioManagement kvality je důležitou součástí existence každé organizace, bez ohledu na její velikost či oblast působnosti. Nároky se sice v návaznosti na mnoho okolností liší, nicméně podstata zůstává vždy stejná. A jednou ze zásadních součástí je tzv. řízená dokumentace.

Časopis IT Systems / Odborná příloha Kalendář akcí
ORBIT
RSS kanál