Bezpečnostní rizika: Co radí CIO?

Bezpečnost firemního IT je ošemetná záležitost. Příliš přísná bezpečnostní politika, nebo naopak velmi uvolněná, může firmu zničit. Klíčem je nalézt správnou rovnováhu.

Bezpečnostní rizika: Co radí CIO?


V následujícím článku tři zkušení IT manažeři radí, jak na to.

Martin Gomberg, globální ředitel pro bezpečnost, správu a ochranu podniku společnosti A&E Networks

Bezpečnost je jako posuvný přepínač. Posunete do pravé krajní polohy a nic neprojde – a nic nevyrobíte. Posunete do levé krajní polohy a všichni si budeme skvěle užívat – ale jenom první den. Můj přístup spočívá v nalezení nastavení, kde riziko není příliš vysoké, ale zároveň ochrana před hrozbami neomezuje inovace.

V našem odvětví množství hrozeb narůstá a jsou cílenější. Schopnost obrany slábne. Zároveň však jsou technologie potřebné k zabezpečení stále složitější a nákladnější, kvalifikovaní odborníci na bezpečnost se hůře hledají a nové zákony a předpisy zpřísňují postihy za porušení.

Loni jsem pracoval s IT oddělením, interním právníkem, dalšími bezpečnostními experty a ministerstvem zahraničí. Vytvořili jsme desetibodový bezpečnostní plán, který nám pomáhá určovat, jaké investice do zabezpečení budou nejefektivnější.

S dnešními omezenými rozpočty je důležitější než dříve si stanovit nějaký bezpečnostní rámec, který pokryje základní principy, jako jsou vzdělávání zaměstnanců, posilování schopností reakčních týmů, maximální využití strategií ochrany systémů, infrastruktury a koncových zařízení a přehled o datech a softwarových aktivech.

Dru Rai, senior viceprezident a CIO firmy Axalta Coating Systems

Když společnost DuPont prodala Axalta Coating Systems skupině Carlyle, měli jsme příležitost přehodnotit podnikovou bezpečnostní strategii. Staré bezpečnostní politiky a postupy byly velmi konzervativní.

Zreformovali jsme bezpečnostní politiky a postupy, abychom nalezli rovnováhu mezi efektivitou a řízením rizik. Posuzujeme nejen závažnost rizika, ale i pravděpodobnost jeho výskytu. Možnost výbuchu v našem primárním datovém centru je velmi nízká. Ale pravděpodobnost selhání serveru v primárním datovém centru je oproti tomu mnohem vyšší. Investovali jsme proto výrazně do zajištění nepřetržitosti provozu v případě výpadku a do architektury s vysokou mírou dostupnosti a omezili jsme rozsah záložního datového centra pro případ výpadku na klíčové aplikace a servery. Víme, že ne všechny aplikace a data zasluhují stejnou péči. U některých je nutné lepší zabezpečení, například u dokumentace složení a výrobních postupů našich produktů. A jiné, méně citlivé informace, jako je dokumentace spravovaná v Microsoft SharePointu, mohou být v naší síti snadno dostupné.

Můžete vynaložit značné prostředky, ale naprostou bezpečnost si stejně nezajistíte. Přemýšlím o bezpečnosti jako o dalším podnikatelském riziku, které je nutné řídit. Musíme řídit rizika a investovat do účinných bezpečnostních politik, ale musíme přitom také myslet na efektivitu. Nezůstávejte stát na místě – rizika se neustále mění.

Eric Lindgren, viceprezident a CIO společnosti PerkinElmer

Naše firma vyrábí přístroje, nástroje a materiál pro zdravotnictví. Vše, co děláme z hlediska bezpečnosti, se proto striktně řídí federálními, státními a odvětvovými předpisy a normami. Na tomto základu postupně stavíme bezpečnost až na úroveň, která je v souladu s nejlepší praxí a nejnovějšími standardy, avšak nesnižuje produktivitu.

Vzhledem k tomu, že bezpečnostní hrozby se neustále vyvíjejí, naše investice se musí vyvíjet zároveň s nimi. Před pěti lety jsem založil samostatnou skupinu pro bezpečnost a dodržování právních předpisů. Pokud je někdo z 95 % svých pracovních povinností odpovědný za ERP nebo síť a pouze z 5 % za bezpečnost, zaměří se samozřejmě na oněch 95 %. Odebral jsem zbývajících 5 % a svěřil je lidem, kteří dané problematice rozumějí, věnují se jí na plný úvazek, mohou vzdělávat IT pracovníky a mít přehled o odpovědnosti každého jednotlivce. Myslím, že bezpečnosti nemůže nikdy být přespříliš. Skutečný problém je, že s vyšší mírou zabezpečení přichází těžkopádnost. Proto se při navrhování nových procesů snažíme pochopit jejich dopady na zaměstnance.

Většinu problémů zachytíme při uživatelském testování, ale některé se objeví, teprve když systém začne využívat kritický počet uživatelů. Ačkoli musíme nově zavedená opatření zřídkakdy odstranit, rozhodně je nutné je dolaďovat, abychom neustále udržovali rovnováhu mezi bezpečností a efektivitou.


Úvodní foto: © virtualpictures.com - Fotolia.com




Komentáře