Na redakční otázky odpovídá Marek Chlup, bezpečnostní konzultant, GiTy, a.s.

1) Na co bychom neměli zapomenout při tvorbě bezpečnostní politiky?

Na to, že implementace informační bezpečnosti v organizaci, je proces neustálý a cyklický. Nikdy nelze říci – mám hotovo. Druhá podstatná priorita je uživatel. Málo se dbá na možnost selhání lidského faktoru oproti selhání technologie. Přičemž stále více průzkumů z poslední doby ukazuje, že selhání lidského faktoru se stává hlavní příčinou bezpečnostního incidentu.

2) Jak prosadit bezpečnostní politiku u uživatelů?

Na jedné straně je třeba uživatele systematicky a pravidelně školit v problematice informační bezpečnosti. Na straně druhé, musí být bezpečnostní politika vytvářena a implementována ve spolupráci s uživateli. Není nic horšího, než hromada norem a směrnic, jejichž obsah je zcela odtržen od reality organizace.

3) Jak se nejlépe připravit na incident a co je naopak při přípravě zcela zbytečné?

Na incident se zcela připravit nelze, ale je možné minimalizovat alespoň příčiny a následky. V praxi to znamená, že je třeba dobře provést analýzu rizik a připravit procesy pro zvládání bezpečnostních incidentů.

4) Které chyby nejčastěji děláme v oblasti „disaster managementu“?

Nejčastější chybou jsou plány zvládání rizik, které jsou zcela odtržené od reality – „napsané pouze na papíře“. Takové plány nikdy nebyly odzkoušeny a jsou tudíž zcela zbytečné.

5) Jak jsou dnes firmy tolerantní k výpadkům systémů? Jak se proti nim zajišťují?

Firmy v dnešní době jsou k výpadkům paradoxně tolerantní. Výjimkou je finanční sektor a nepřerušitelné výrobní podniky.

Bezpečnostní management