Autor: Petr Štěpánek, ředitel sekce vývoje aplikací, společnosti ANECT

Informační a komunikační technologie (ICT) tradičně naplňují potřeby tvorby, ukládaní a výměny dat. Tato tradiční role zůstává. Na druhou stranu jsme součástí společnosti, kde dochází k řadě globálních změn charakteru trhu a chování firem. Vzniká řada regulativů, standardů a doporučení, které je nutné respektovat, dodržovat a prokazovat. V opačném případě je firma na trhu nedůvěryhodná, nekvalitní, a tím pádem nekonkurenceschopná. Tento stav má ve svém důsledku i hluboký a přímý dopad na ICT. Co to znamená?

Znamená to, že ICT má za úkol budovat takové metodologie a ICT infrastrukturu, která umožní měřitelně naplňovat obchodní cíle a prokazovat shodu se standardy a regulativy. To vše nejen v kontextu vlastní společnosti, ale v kontextu hodnotového řetězce rozprostřeného přes řadu společností z různých oborů a částí světa. Bezpečnost, prokazatelnost míry shody a celková důvěryhodnost společnosti se tak stává klíčem k úspěchu v podnikání. Jak by se k této výzvě mělo ICT postavit?

Vzhledem k významu tohoto úkolu musí ICT předložit jasné důkazy, nejen sliby a ujištění. Tento stav tak logicky vede k nutnosti umět definovat měřitelné indikátory, které monitorují stupeň shody s různými požadavky při vzájemné výměně dat a zároveň i účinnost samotných kontrolních procesů. Pro ICT to znamená udělat velký krok vpřed. Propojit infrastrukturu a modifikovat stávající metodologie tak, aby byly přímo navázány na obchodní procesy a cíle společnosti. Oprostit se od své tradiční technologické úrovně typicky zaměřené na propustnost, dostupnost, odezvu, počet výpadků, množství incidentů apod. Otázkou zůstává, jak by takovýto krok směrem k prokazování bezpečnosti a shody při komunikaci a výměně dat mělo ICT realizovat.

Požadavky obchodu jsou jasné. Požaduje dynamický hodnotový řetězec tak, aby mohl rychle tvořit a modifikovat své produkty a služby. Vše ve spolupráci s řadou externích subjektů. ICT umí tento požadavek adresovat pomocí implementace principů a technologií servisně orientované architektury (SOA). Prostřednictvím tohoto konceptu lze začít poskytovat interní ICT služby a zároveň dynamicky zapojovat služby externí. Dynamika je tak možná a realizovatelná. Klíčovou otázkou zůstává, jak zajistit bezpečnost a důvěryhodnost. Jak zajistit to, že se partner dokáže spolehnout na naše ICT služby i data a naopak. A to vše z „top level“ úrovně podniku, tj. od obchodních cílů a procesů. V tomto případě klasické technokratické pojetí selhává, „jen implementace WS-Security“ nestačí. Je nutné jít dál, umět vytvořit nástroje a metody, jak kontrolovat a řídit dodržování bezpečnosti a shody při výměně dat, a to napříč více organizacemi.

ICT tak před sebou má nutný krok. Tento krok vede k vytvoření systému měřitelných indikátorů, obdoby standardních SLA a KPI tak, jak je známe z ITIL. Cílem je zajistit jak potřebné služby, tak i dosažení určité (té právě požadované) úrovně bezpečnosti (tj. záruk). Převedeno do jazyka ITILu v3, služba v sobě spojuje užitek a záruky a nově právě PLA (Protection Level Agreement) umožňuje rozšířit tradiční pojetí SLA pojatého jako QoS (výkonnost, dostupnost, spolehlivost…) o rozměr souladu s bezpečnostními standardy (compliance). Doplněním PLA o měřitelné indikátory KAI (Key Assurance Indicator) zajistíme schopnost měřit úroveň shody průběhu obchodního procesu s ideálním bezpečným průběhem procesu. Další indikátor KSI (Key Security Indicator) dále doplňuje soustavu o schopnost měřit úplnost pokrytí obchodního procesu kontrolním procesem a dále i o měření účinnosti kontrolního procesu. Vytváří se tak mechanismus měřitelných indikátorů využitelný jako podklad pro vyhodnocování úrovně bezpečnosti a míry shody se standardy. Vyhodnocení měřených indikátorů je následně formalizováno a realizováno v rámci PRM (Protection Regulátory Model), který představuje model ochrany a bezpečnosti pro danou úroveň dekompozice služby.

Klíčovým a zesložiťujícím prvkem celého procesu tvorby takovéhoto systému je nutnost zabezpečit sledování, přenos a transformaci mezi různými PRM. Zejména pak různých organizací podléhajících různým regulatorním předpisům a vstupujících do spolupráce, komunikace a výměny dat. Přenos a transformace PRM modelu je klíčová při vzájemném a měřitelném prokazování míry bezpečnosti a důvěryhodnosti při komplexních obchodních vztazích, např. při subdodávkách či outsourcingu, a to zejména pro kritické operace, např. ve zdravotnictví, pojišťovnictví či bankovním sektoru. V rámci vzniku nové metodologie je tak nutné systém doplnit o SMT (Security Model Transformation), který zajišťuje transformační mechanismus indikátorů při přechodu mezi jednotlivými organizacemi a úrovněmi dekompozice.

Z výše uvedené popisu vyplývá relativní komplikovanost přípravy a realizace takovéhoto kroku ze strany ICT. Cílem proto musí být vytvoření takového řešení, které zajistí online monitoring dosahované úrovně bezpečnosti a shody s bezpečnostními normami a standardy. Řešení musí respektovat to, že systém je dynamický a je nutné zajistit centrální řízení úrovně bezpečnosti prostřednictvím politik, tj. umět parametrizovat systém. Dále, že prokazování shody se standardy musí být automatické, aby bylo možné dosáhnout zvýšené účinnosti při dosahování a vynucování dodržování předpisů a regulativů, tj. umět automatizovat. A v neposlední řadě modifikovat podnikovou architekturu informačního systému tak, aby náklady na aplikaci integračních řešení pro vzájemnou výměnu dat byly cenově optimální, časově realizovatelné a umožňovaly dosahovat rovnováhy mezi komplikovaností a agilitou.
 

Obrázek 2 - Logická koncepce aplikace řízení bezpečnosti (zdroj www.master-fp7.eu)

Podaří-li se tento krok, bude možné prokazatelně měřit a hodnotit úrovně bezpečnosti a shody se standardy při vzájemné výměně dat, tj. spolupráci firem. Auditní, recertifikační a kontrolní procesy se razantně zjednoduší a sníží se s tím související náklady. V konečném důsledku bude pro management zvýšena celková důvěryhodnost podnikání díky transparentnímu řízení bezpečnosti v dynamických obchodních vztazích. Společnost bude konkurenceschopná, a to s přiměřenými náklady na dlouhodobé udržení tohoto stavu.