Bezpečnost: Méně je někdy více

IT oddělení se spíše než o podniková data zajímá o jejich infrastrukturu. Úložiště, sítě, disky, politiky, konsolidace – to vaše administrátory dokáže dostat do varu. O vlastní obsah datových skladů či úložišť se ale doopravdy zajímají jen tři skupiny uživatelů.

Bezpečnost: Méně je někdy více


Těmi prvními jsou obchodníci, zejména obchodní manažeři, kteří vidí příležitost v určení, jaké další výrobky by si zákazníci ochotní utrácet mohli koupit, a to na základě analýzy jejich dosavadních nákupů a zvyklostí. Druhou skupinou jsou provozní manažeři či vrcholový management, který v datových skladech hledá náznaky nových strategií či kon­kurenční výhody v podobě kvalitnější analýzy tržních dat. Třetí skupinou jsou hackeři, již mohou stejnou měrou hledat přímo či nepřímo zpeněžitelná data, nebo prostě jen cestu jak uškodit. Zní to asi trochu jako klišé, zejména když dodáme, že bezpečnost podnikových dat je v podstatě o tom, jak prvním dvěma skupinám zajistit bezproblémový a rychlý přístup (často z terénu – tedy mimo „bezpečný perimetr“ podnikové sítě) a třetí skupině v jakémkoliv přístupu zabránit.

Problém je ale v tom, že mnoho IT manažerů o bezpečnosti často neuvažuje příliš takticky a svou pozornost buď rozmělňuje, nebo zaměřuje nesprávným směrem (na vině jsme občas i my v médiích). Mnohem důležitější než sledování zpravodajství o aktuálních virových hrozbách a jejich rozesílání všem podnikovým uživatelům je definice jasných a jednoduchých bezpečnostních politik, analýza slabých či nejvíce ohrožených míst a následné rozvážné investování do zabezpečení.

Viry nežerou data

Zabezpečení dat je ve skutečnosti mnohem důležitějším úkolem a mělo by být v podnicích prioritou – s tímto tvrzením souhlasí například analytik a viceprezident pro bezpečnost společnosti Forrester Jonathan Penn. Virové hrozby, jako je například nedávný Conflicker, jsou bezesporu sexy a princip F.U.D. (fear, uncertainty, doubt – strach, nejistota, pochyby) vám může získat body na poradách vedení či pár procent do rozpočtu navrch, jedná se ale o reakci na hrozbu či útok, který již probíhá, v podstatě jste tedy pozadu.

Důsledná politika ochrany citlivých podnikových dat – tedy kdo, kdy a za jakých okolností k nim má přístup – vás před podobnými útoky neochrání, může ale výrazně minimalizovat jejich dopad.

Výdaje na bezpečnost nikdy nejsou dost vysoké

Sovětské vedení se na přelomu sedmdesátých a osmdesátých let řídilo podobnou doktrínou tak důsledně, až se Východ (bohudík) uzbrojil k ekonomické smrti. Ačkoliv není pravděpodobné, že by výdaje na bezpečnost zruinovaly finanční rozvahu vašeho podniku, možných negativních dopadů nadměrné bezpečnosti existuje celá řada. Nemohou-li vaši obchodníci díky důslednému zabezpečení efektivně pracovat se systémy a daty, záhy se to projeví na jejich výsledcích, nainstalujete-li na jejich stanice „špičkové“ bezpečnostní sady, jejichž sofistikované algoritmy zpomalí stanice z běhu na ploužení (tzv. Nortonův syndrom), mohou být následky podobné. Každé bezpečnostní řešení by mělo být hodnoceno nejen z hlediska bezpečnosti samotné, ale též se zřetelem k efektivitě a míře zásahu do uživatelského komfortu (agresivity). V opačném případě své systémy infikujete autoimunitním bezpečnostním onemocněním.

Analytik John Pescatore z Gartneru k tomu dodává: „Zažil jsem společnosti, které své obchodníky nutí používat pro přístup k jedinému systému tři různá hesla a bezpečnostní RSA token. Je to zbytečné, otravné a zdlouhavé.“ Pescatore dodává, že je vždy třeba hledat rovnováhu mezi mírou zabezpečení dat a efektivním přístupem k nim (do rovnice je pochopitelně třeba dosadit i potenciální následky v případě úniku dat) – bezpečnostní nástroje je třeba vybírat především podle vhodnosti a zaměstnance řádně poučit o jejich odpovědnosti.

Ořezání rozpočtu

Je vůbec možné snížit výdaje na bezpečnost, aniž by to mělo dalekosáhlé důsledky? Podle analytiků ano, je ale třeba velice dobře znát svou infrastrukturu a investovat velmi rozvážně. Je důležité, abyste sami odhalovali zranitelná místa na všech vrstvách bezpečnosti. Jeden z příkladů uvádí John Pescatore: zkonsolidovat počet obrazů (verzí, variant) operačního systému Windows, které IT oddělení podporuje a záplatuje, z typických několika desítek či stovek na pouhé dva nebo tři. Takové řešení je prakticky vždy účinnější a levnější než nákup aplikací, které se snaží zranitelná místa překrýt.

Při nákupu vlastních bezpečnostních řešení zvolte podobnou strategii. Nekupujte desítky programů pro vyřešení specifických problémů či hrozeb a raději hledejte osvědčenou platformu pro zabezpečení pošty, případně řešení, které kompletně zabezpečí vaše weby či bezdrátové sítě.

Jak si získat podporu

Jonathan Penn z Forresteru zdůrazňuje, že kolegy či nadřízené jen stěží „přesvědčíte“ o bezpečnostních prioritách, můžete je ale vzdělávat, vysvětlit jim, jaká opatření jsou zaváděna jinde – u konkurence, či v celém odvětví. Stejně tak není rozumné počítat s tím, že příslibem úspor si získáte podporu. Je proti selské logice předpokládat, že levnější řešení bude účinnější – mnohem lepší je vypracovat do detailů jak vaše nová strategie (bez ohledu na náklady) pokrývá známé hrozby a vytváří systém, který umožňuje zvýšit odolnost proti hrozbám doposud neznámým.

Perspektiva, platformy, politika – a co dál?

Nezbytný je průběžný monitoring a sledování přístupů k datům i chování uživatelů. Jen tak můžete odhalit, kdo a kde k informacím přistupuje, případně kam a na čem je přenáší – to je v době, kdy má každý zaměstnanec několik mobilních zařízení, naprosto zásadní. Je to také jediná cesta jak odhalit často nevědomá porušení bezpečnostních pravidel – například když si mezi sebou data o zákaznících vyměňují přímo některá oddělení v podniku.





Komentáře