Na redakční otázky odpovídá David Šetina, Consulting & OSS/BSS Manager a Business Consultant pro oblast bezpečnosti a OSS/BSS společnosti NextiraOne Czech.

1)      Proč a v čem je SMB jiný sektor, než ostatní? Na co klást větší důraz?

Z obchodního pohledu je to sektor největší co do počtu zákazníků – v tomto ohledu je opravdu jiný. Jsou ovšem i SMB zákazníci, kteří si dovolí větší řešení. Jde většinou o společnosti, které aktivně pracují s informacemi a znají jejich hodnotu. Ostatní provádějí opatření v oblasti bezpečnosti převážně na základně masivního rozvoje internetu a IT komunikace, kdy je více než důležité chránit přístup do infrastruktury. Největší důraz je tedy třeba klást na to, aby si klient, ať již patří do SMB nebo ne, uvědomil hodnotu svých dat, a jak hodně jej zasáhne výpadek infrastruktury chránicí přístup z nebo do internetu.     

2)      Kterou oblast bezpečnosti SMB zbytečně podceňuje a na kterou se naopak zbytečně moc soustředí?

Odpovím od konce. Velké soustředění je obecně na ochranu perimetru. Aktuálně jsou na trhu řešení od renomovaných, tradičních výrobců, která jak technickými tak cenovými podmínkami plně uspokojí i náročného SMB klienta. Co je podceňováno je otázka „vnitřního nepřítele“, který nikdy nespí, a také zabezpečení dat na přenosných zařízeních, stále častěji zastoupených i v sektoru SMB. Ochrana koncových stanic je v mnoha případech realizována na bázi kombinovaných řešení antiviru, antispamu, firewallu a případně IPS systému, což ve většině případů zákazníka uspokojí, ale vyhráno tím není. Jakou cenu mají data, pozná firma až poté, kdy se například dostane (krádeží, odesláním po internetu apod.) obchodní informace konkurenci. Z tohoto důvodu se nasazují systémy DLP (Data Lost Prevention), kombinované s tzv. zabezpečením koncového bodu (Endpoint Security). DLP slouží právě k tomu, aby nedocházelo k nekontrolovanému odchodu důležitých dat ze společnosti. Jedna z komponent Endpoint Security je např. kriptování přenosných zařízení. Toto ocení zákazník hlavně při krádeži nebo ztrátě takového zařízení. Samozřejmě je mnoho dalších oblastí, ale záměrně jsem vybral právě řešení, která chrání data, jak jsem výše popisoval.

3)      Dá se bezpečnost u SMB zvládnout „svépomocí“, nebo je lepší spolehnout na outsourcing?

Tím jak se výrobci vrhli do tohoto segmentu, vznikl zákonitě požadavek na zjednodušení celé správy systému. Mnoho systémů již má v sobě přímo implementovány dostačující konfigurace, proto je odpověď ano. Přesto je samozřejmě důležité, aby se na implementaci specifických požadavků a na změnách podílel profesionál, který zajistí, že infrastruktura nebude obsahovat zanesené konfigurační chyby a zároveň zachová vyšší úroveň zabezpečení. Co již není zákazník logicky schopen zajistit, je pravidelné sledování trendů a nových problematik v oblasti bezpečnosti. Tento fakt ho nutí k reaktivnímu přístupu, který může zapříčinit nepříjemnosti nebo přinejmenším investici (mnohdy nemalou) do profesionála, který odstraní nenadále vzniklý problém. Jedním z velkých přínosů outsourcingu je právě služba rozvoje. V reálu se pak zákazník nestará o konfigurace, ale ani o rozvoj – vše za něj dělá partner. Je nutno říci, že na služby outsourcingu bezpečnosti je v našem regionu bohužel nahlíženo se značnou skepsí.      

4)      Je možné vybudovat i v relativně malém prostředí kvalitní bezpečnostní infrastrukturu?

Bezesporu ano. Hlavním faktorem je, jak jsem již zmiňoval, uvědomit si cenu svých dat. Následně již není problém vynaložit finanční prostředky adekvátní ceně dat. Je mnoho metod, jak k podobným číslům dospět.

5)      Jak v případě SMB co nejlépe a nejefektivněji zajistit organizační stránku bezpečnosti (bezpečnostní politiku)?

Bezpečnost musí primárně vyžadovat majitel nebo management společnosti. Bez takové podpory nelze v této oblasti cokoli vyžadovat, kontrolovat či trestat. Organizace bezpečnosti je hodně o tomto. Není třeba se bát rádoby velkých pojmů, jako je analýza rizik či klasifikace dat. Domnívám se, že pomalu dochází i k tomu, že společnosti z SMB segmentu budou tyto, pro řízení tak důležité pojmy, nejenom aplikovat, ale i požívat v praxi. Osobně nerad používám klasifikaci na malou a velkou bezpečnost nebo malé a velké zákazníky, protože v praxi je bezpečnost jedna a zákazník je vždy zákazník.

Bezpečnostní management