Na redakční otázky odpovídá Petr Koudelka, Security Product Manager, Zyxel Communications Czech s.r.o.

1) Na co bychom neměli zapomenout při tvorbě bezpečnostní politiky?

Ideální je zohlednit všechny případné možnosti, které mohou nastat. Vyjádřit by se měli všichni zodpovědní pracovníci, kterých se to týká nebo všichni zástupci všech oddělení. Finálním krokem je provedení testu takto připravených postupů a politik.

2) Jak prosadit bezpečnostní politiku u uživatelů?

Na pochopení ze strany uživatelů se většinou nedá spolehnout a také se nedá 100% zaručit odolnost proti případně neúmyslné chybě zaměstnance. Proto je potřeba nastolit pravidla striktní, který nebude možné nijak „v ideálním případě obejít“ a implantovat podmínky do provozního řádu společnosti s přesně definovanými postihy. 

3) Jak se nejlépe připravit na incident a co je naopak při přípravě zcela zbytečné?

Ideální příprava je reálná situace, kdy se pokusíme vytvořit některé vytipované situace. Úspěch v našem připraveném testovacím režimu bude základním kamenem v reálném prostředí, kdy k incidentu dojde. 

4) Které chyby nejčastěji děláme v oblasti „disaster managementu“?

Většinou se připraví rozsáhlá a detailní dokumentace. Připraví se všechny zálohy, postupy, ale většinou nikdy nikdo nevyzkouší reálnou problémovou situaci a východisko z ní.

5) Jak jsou dnes firmy tolerantní k výpadkům systémů? Jak se proti nim zajišťují?

Firmy jsou většinou tolerantní do doby, než situace nastane. Většinou není nic připraveno, a pokud ano, tak nikdo nevyzkoušel obnovení stavů atd. Více připravené jsou firmy, kterým se takováto situace již přihodila v minulosti a ve většině případů vedla k vyčíslitelné ztrátě, která nebyla malá. Takovéto firmy již situaci nepodceňují a jsou co nejvíce připraveny. Samozřejmě jsou i takové, co zastávají stanovisko, blesk do jednoho místa dvakrát neuhodí.

Bezpečnostní management