RSS
| Strategie bezpečnosti IS |
 |
 |
 |
|
Římský filozof Seneca jednou řekl: „Kdo nezná přístav, do kterého se chce plavit, tomu není žádný vítr příznivý.“ Tento citát je pravdou i pro informační technologie a jejich bezpečnost bez ohledu na to, že má již 2000 let. Nevíme-li čeho a jak chceme dosáhnout, nemůžeme ani nijak měřit jak jsme bezpečni a kvalifikovaně se rozhodnout do čeho budeme investovat naše prostředky tj. zejména peníze a čas. Bezpečnost informačních technologií je zejména o penězích a to jednak o penězích, které v podobě aktiv chráníme a jednak o penězích v podobě investic, které vynakládáme právě na ochranu aktiv. Abychom peníze na ochranu investic vynakládali účelně, a účinně je potřebné si definovat bezpečnostní cíle a strategii jak jich dosáhnout. Základní otázky, které musí každá organizace řešit, jsou: • Do které části ochrany informačního systému investovat peníze a čas napřed a co může počkat? Tady si dovolím použít druhý a poslední citát a to tentokrát pruského krále a vojevůdce Fridricha II., který řekl: „Kdo chce bránit vše, ten neubrání nic“. Fridrich II. reálně hodnotil svoji situaci na bitevním poli a dospěl k názoru, že nemá a nebude mít nikdy dostatek vojáků (prostředků), aby zajistil všechny pevnosti. Rozhodl se tudíž koncentrovat své prostředky na ochranu skutečně strategických důležitých měst, které učinil téměř nedobytnými. Analogie s ochranou IS je více než zřejmá – soustřeďme se na ochranu skutečně těch důležitých aktiv, protože prostředků nebudeme mít „nikdy“ dostatek. Strategie bezpečnosti IS Ochrana IS je dnes boj se vším všudy. Není přeháněním, že je to boj o přežití a že nebezpečí, kterým je nutné čelit, přibývá. Jak čelit stávajícím a budoucím hrozbám, jak zvládat nenadálé události, jak předcházet výpadkům vyžaduje mít promyšlený postup – strategii. Pro každou činnost nebo operaci máte vždy k dispozici minimálně dvě varianty řešení, např. uživatelé mohou používat superdlouhá a složitá hesla anebo se autentizovat pomocí otisku prstu. Každé řešení má své plusy i mínusy, ale hlavně vytváří vazby a podmínky pro další řešení. Určitě si vzpomenete na pejska a kočičku jak vařili dort – 100 dobrých komponent nemusí nutně vytvářet 100x dobrý celek. A právě proto je nutné uvažovat o tom, co a jak budeme řešit a toto si ukotvit i v písemné podobě. Pro většinu svých klíčových operací má každá organizace dnes stanovenou psanou nebo nepsanou politiku, proč tedy opomíjet bezpečnost IS? Nebo skutečně není bezpečnost IS pro organizaci důležitá? Je třeba si uvědomit, že bezpečnost IS, či chcete-li ICT, není pouhý doplněk, bezpečnost je především podpora a často základní kámen podnikání společnosti. A jak bezpečně podnikat si zaslouží jak vizi, tak kvalitní strategii. Technicky je strategie bezpečnosti IS dokument, který vychází z auditu bezpečnosti IS organizace a analýzy rizik. Aby mohl vzniknout dokument, musíme napřed uvážit a rozmyslet jeho obsah – vlastní strategie je však spíše rámcový plán činnosti, z kterého se následně odvozují jednotlivé krátkodobé plány. Audit a analýza IS, které tvoří podklad pro vypracování relevantní strategie bezpečnosti IS, nám popisují stávající stav – pokud jej chceme zlepšit, je potřebné si říci, čeho chceme dosáhnout - definovat si bezpečnostní cíle. Cílem tedy je určení, které hrozby chceme eliminovat, protože představují vážné ohrožení. Ilustračně si můžeme jako cíl představit třeba snížení počtu bezpečnostních incidentů s počítačovými viry. Aby bylo jasné, jak daného cíle chceme dosáhnout (jak bylo zmíněno, vždy je možné najít více různých technickoadministrativních řešení) zpracováváme strategii bezpečnosti. Strategie nám potom v daném ilustračním případě stanoví, jestli se zaměříme na ochranu přístupových bodů, kterými viry pronikají do sítě nebo jestli se zaměříme na ochranu stanic nebo na ochranu serverů apod. Stanovení strategie bezpečnosti IS je o tom, že pro dosažení bezpečnostního cíle je potřebné zvolit takové postupy a řešení, které budou odpovídat hodnotě jednotlivých chráněných aktiv. V závislosti na tom jaká aktiva chceme chránit, volíme i odpovídající strategii jejich ochrany. Můžeme tedy zvolit ochranu všech přístupových bodů a nasadit odpovídající řešení. Následně je nutné sledovat, jestli skutečně došlo ke změně v počtu virových incidentů a jestli je naše strategie obrany úspěšná. Strategie bezpečnosti se promítá do bezpečnostních politik, které regulují chování uživatelů, do metrik bezpečnosti (je nutné měřit, jestli reálně dochází k nějakému pokroku), do plánů bezpečnosti (krátkodobé, střednědobé, dlouhodobé) a samozřejmě i do investičních a implementačních plánů na různá období a jejich priorit. Tvorba bezpečnostní strategie a souvisejících dokumentů má minimálně tato fáze: Vypracování bude vyžadovat přístup k níže uvedeným dokumentům, aby bylo možné zajistit shodu strategie s vnitřními postupy organizace a s doporučeními norem jako jsou ISO 27001 nebo ČSN TR 13335: Během zpracování organizuje zpracovatelský tým zpravidla workshopy/interview s odpovídajícími funkcemi a rolemi organizace, které jsou schopny poskytnout relevantní informace o cílech a záměrech organizace tak, aby tyto mohly být zapracovány do dokumentované podoby. Cíle strategie bezpečnosti musí být primárně směřovány na podporu obchodních cílů společnosti. Hlavní přínosy vytvoření bezpečnostní strategie IS Správně zvolená strategie bezpečnosti přináší pro organizaci zejména tyto možnosti: • Správně a účinně investovat peníze do informačního systému Nejde pouze o to mít strategii bezpečnosti – jde o to, jak kvalitní mám strategii bezpečnosti. AutoCont CZ a.s. má dlouholetou zkušenost s tvorbou strategických dokumentů pro významné společnosti. Víme, že stejně jak potřebuje kvalitní strategii bezpečnosti velká organizace, tak je důležitá i pro střední a malé společnosti, kde investice musí být zcela cílené a efektivně vynaložené. Proto se Vás na závěr zeptám – opravdu víte do jakého přístavu plujete ? :-) |
