Na redakční otázky k hlavnímu tématu odpovídá Ing. Luděk Tichý, ředitel pro strategické projekty, Severity a.s.

1) Představují dnešní automatizované nástroje dostatečnou platformu pro bezpečnostní management, nebo je lépe postavit řízení bezpečnosti také na zkušenostech a kvalifikované pracovní síle?

Jedná se o dva důležité pilíře pro výstavbu efektivního systému řízení bezpečnosti informací. Pokud dojde k nesplnění předpokladu vybudování obou pilířů, výsledný stav nebude funkční. Obojí se také podmiňuje, jelikož automatizované nástroje vyžadují kvalifikovanou obsluhu a naopak kvalifikovaný personál bude vyžadovat patřičnou technologickou podporu.

2) Jakým způsobem co nejlépe uvést bezpečnostní politiku do života tak, aby nebyla pouhým cárem papíru a „politikou pro politiku“?

Jednoznačně je to plná podpora managementu. Důsledné a trvalé vyžadování plnění bezpečnostních politik je nezbytné realizovat pod sankcemi. Účinným nástrojem bývá pravidelný reporting a průběžné auditování. Dalším významným prvkem je vzdělávání. Průběžné vzdělávání uživatelů o roli bezpečnosti informací, o legislativních aspektech a obecně o rizicích spojených s používání informačních technologií, může zásadním způsobem změnit pohled uživatelů na nepopulární opatření a vyžadovanou uživatelskou kázeň.

3) Praxe ukazuje, že prakticky každý systém má své „vyvolené“, pro které jinak závazná pravidla neplatí. Jak co nejefektivněji zajistit, aby bezpečnostní politika platila skutečně pro každého a bez výjimky?

Nejlépe kombinací dvou opatření. Prvním je v maximální míře tyto uživatele izolovat od kritických zdrojů nebo jim alespoň do jisté míry zkomplikovat přístup k těmto zdrojům. Pokud je míra komplikace dostatečně vysoká, „vyvolení“ obvykle mají tendenci počet vyvolání výjimek minimalizovat. Druhým aspektem je kompetence, kterou je potřeba delegovat na odpovědnou osobu tak, aby zajistila plné přenesení odpovědnosti za případný incident na žadatele o výjimku. Standardním nástrojem bývá písemný závazek k převzetí plné zodpovědnosti pro případ výjimky. Obecně je však platná předchozí odpověď, tj. osvícený a kompetentní management prosadí platnost pravidel v plné šíři bez výjimek a je si vědom důležitosti institutu ochrany informací.

4) Nakolik bychom měli mít bezpečnostní audit ve své moci a nakolik jej můžeme svěřit externímu dodavateli?

Součástí provozu by měl být pravidelný audit (krátkodobý, např. čtvrtletní), který provádíme vlastními silami a jednou za delší úsek (např. rok) je vhodné provést externí audit. Institut tzv. vnějšího pohledu je v této oblasti nezastupitelný.

5) Jak nejlépe zajistit, aby se z bezpečnostního auditu nestala „událost“, ale aby šlo o trvalý „proces“?

Plánování zakotvené v politice nebo v jiném strategickém dokumentu, a to včetně vyhodnocení, reportování a návrhu opatření (nebo rozvoje). Toto musí být schváleno vrcholovým managementem, prosazováno a důsledně vyžadováno. Poslední zkušenosti ukazují, že propojením Řízení bezpečnosti informací s Plánováním kontinuity společnosti, dosáhneme nejen vyšší pružnosti procesů a výkonnosti společnosti, ale lze v konečné fázi poměrně přesně vyčíslit přínos řízení bezpečnosti v souvislosti s udržením kontinuity procesů. Právě otázka „co nám přinese řízení bezpečnosti“ bývá zásadní pro strategické rozhodování managementu a finanční přínos je pádným argumentem, který management chce slyšet.

6) Co můžete na poli bezpečnostního managementu nabídnout ze svého portfolia zboží či služeb?

Společnost Severity a.s. nabízí služby Security integrátora. Integrace komponent bezpečnosti do funkčního celku s jednotným řízením.

- Služby pro analýzy, poradenství, konzultace, audit a zavádění systému řízení. bezpečnosti informací a plánování kontinuity.

- Návrhy architektury a implementace technologických řešení pro bezpečnost informací (hw, sw).

- Správa a dohled v oblasti zajištění bezpečnosti informací.- Externí řízení bezpečnosti informací.

- Destruktivní a nedestruktivní testování .

- Řešení pro Plánování kontinuity a provázání se Systémem řízení bezpečnosti informací.

- Řešení pro monitorování a dohledu provozu ICT včetně podpory HelpDesk.