Na redakční otázky odpovídá Luděk Mandok a Milan Chromý, Security & Netwotking Business Unit, AutoCont CZ a.s.

1) Na co bychom neměli zapomenout při tvorbě bezpečnostní politiky?

Detailů, na které bychom neměli zapomenout při tvorbě bezpečnostní politiky je více a rozhodnout, který je více důležitý téměř není možné. Určitě tedy není na škodu nahlédnout např. do normy ČSN ISO/IEC TR 13335, v níž je uvedený třeba i doporučený obsah a oblasti bezpečnostní politiky. V bezpečnostní politice by neměla chybět jednak definice bezpečnosti a bezpečnostních cílů tak, jak jsou organizací chápány a dále pak vyjádření podpory vedení organizace k řešení informační bezpečnosti. To vše by mělo být vyjádřeno jasně a srozumitelně, protože pokud chceme, aby s naší dokumentací někdo pracoval, musí ji rozumět a chápat.

V neposlední řadě bych doporučil neopomenout definování odpovědnosti jednotlivých funkcí v rámci řízení bezpečnosti, protože bez toho není možné ustavit a řídit jakýkoliv proces. Naše společnost nahlíží na tuto problematiku velmi komplexně a pokoušíme se našim zákazníkům pomoci využívat a vnímat bezpečnost jako nezbytný nástroj k bezpečnému podnikání.

2) Jak prosadit bezpečnostní politiku u uživatelů?

Implementace bezpečnostní politiky je procesem, tj. že okamžikem vydání a publikování politiky není zajištěno její plnění. Pro uživatele zpravidla bývá zpočátku problém akceptovat některá omezení nutící ke změnám pracovních rutin, které mohou být vyžadovány bezpečnostní politikou. Prvním krokem je osvěta, jejímž cílem je zvednout bezpečnostní povědomí uživatelů a vysvětlit nutnost a přidanou hodnotu daných opatření. Tuto osvětu je zpravidla realizována ve formě pravidelných školení a je vhodné ji doplnit o využití interních komunikačních nástrojů využívaných organizací (portály, tištěné občasníky apod.).

Velmi důležitý je však „osobní příklad“ jednotliví vedoucí v celé řídící hierarchii by měli bezpečnost přijmout za vlastní a při každé příležitosti osobně prezentovat její důležitost a význam pro chod a obchodní aktivity společnosti. Jedná se tedy o to, aby sám management nejen vyžadoval, ale v prvé řadě také dodržoval bezpečnostní politiku, neobcházel její nařízení nebo nebagatelizoval případné dopady, které mohou být pro společnost ať přímo či nepřímo životně důležité.

3) Jak se nejlépe připravit na incident a co je naopak při přípravě zcela zbytečné?

Žádná činnost při přípravě na řešení incidentů není zbytečná a nikdy bychom neměli mít pocit, že jsme dostatečně připraveni. Určitě je potřebné analyzovat všechny incidenty a hledat v nich ponaučení, které umožní vylepšovat fungování bezpečnostních opatření a procesů. Analýza incidentů umožňuje identifikovat možné nedostatky procesního i technického charakteru, kterým je možné do budoucna předejít a samozřejmě také připravovat a procvičovat „co když scénáře“. Zpracování havarijních postupů a procvičování modelových situací umožní jednotlivým uživatelům lépe se připravit na skutečné incidenty.

4) Které chyby nejčastěji děláme v oblasti „disaster managementu“?

Disaster management je velmi komplexní a složitou oblastí a možných chyb, jimž v dané oblasti je zpravidla třeba čelit je spousta, často již počínaje se správnou identifikací a definicí skutečných aktiv organizace.

Co však vnímám jako nejčastější chybu je absence procvičování a reálného ověřování plánů obnovy a havarijních postupů. Problematika je samozřejmě spojena se skutečností, že takové procvičování klade nároky na zdroje a čas, nicméně, při formálním prověřování se zpravidla nenajdou případné komplikace, které mohou vzniknout při samotné realizaci plánu.

5) Jak jsou dnes firmy tolerantní k výpadkům systémů? Jak se proti nim zajišťují?

Většina organizací se dnes bojí výpadků a je si vědomo rizik a nákladů spojených s těmito výpadky. Zajištění je dnes však většinou pouze na technické úrovni a v podobě formálních plánů. Proto se pokoušíme našim zákazníkům detailně vysvětlovat přínosy a hlavně úspory na provozu a na procesu obnovy systému do provozu.

Bezpečnostní management | Legislativa