Informační bezpečnost se nesmí omezovat jen na technologie

Vlastnit a využívat technologie pro ochranu dat se postupně stává prioritou každé společnosti. Pokud ale tuto oblast zároveň nespojíte i se zajištěním organizační bezpečnosti, mohou vaše investice přijít vniveč. Na co byste se tedy měli z pohledu bezpečnosti zaměřit, pokud chcete, aby skutečně fungovala, vysvětluje Kateřina Hůtová, ISMS manažerka společnosti SoftwareONE.

Informační bezpečnost se nesmí omezovat jen na technologie


Bezpečnost informací si spousta lidí stále spojuje především s oblastí IT. Stále to podle vás platí?

Předně si ujasněme, co je vlastně informační bezpečnost. Tato problematika se skládá z mnoha částí, jako jsou zákon a vyhláška o kybernetické bezpečnosti a na to navázaná legislativa, všeobecné nařízení známé jako GDPR, rodina bezpečnostních certifikací ISO 2700x nebo nyní připravovaná evropská směrnice NIS 2. Proto si dovolím říci, že bezpečnost informací není jen o IT. To tvoří tak jednu třetinu z celkové šíře oblasti, zbylé dvě ale mnohdy zůstávají opomenuté.

Bezpečnostní rizika nevznikají jen tím, že vám přestane fungovat firewall nebo jiná technologie. Často je vytvářejí lidé sami. Phishingový e-mail se sám nerozklikne – udělá to člověk, ať už z nepozornosti či neznalosti, a pokud své pochybení ze stejných důvodů nebo třeba ze strachu nenahlásí, vzniká problém. Pro společnost je proto důležité „ne-IT“ část bezpečnosti neupozadit, a naopak se na ni začít více soustředit. 

Co například tato „ne-IT“ část zahrnuje?

Vždy říkám, že třemi základními pilíři informační bezpečnosti jsou lidé, technologie a procesy. Člověk využívá technologie způsobem, kterým definuje proces. Když ale upřednostníte jen jeden pilíř, celá bezpečnostní „stavba“ se vám vlivem dominového efektu může poničit nebo úplně zbořit. 

Jak ale tedy zavést organizační bezpečnost do praxe – existují nějaké obecné principy?

Organizační opatření pro mnoho z nás představují jedno – dlouhé a často nesrozumitelné směrnice. Dobrým prvním krokem je tedy vytvořit „user friendly“ texty. Je mnohem lepší mít kratší, třeba dvoustránkovou verzi, bez zastaralých nebo složitých výrazů, kterou pochopí opravdu všichni vaši zaměstnanci a nebudou se v ní ztrácet. 

Kateřina Hůtová, ISMS manažerka společnosti SoftwareONE
Vystudovala Právnickou fakultu, obor Právo a právní věda, na Univerzitě Palackého v Olomouci. Věnuje se oblastem informační bezpečnosti, ochrany osobních údajů, IT a závazkového práva. V SoftwareONE, společnosti zabývající se cloudovým poradenstvím, správou softwarového portfolia a podporou IT infrastruktury, působí jako manažerka pro informační bezpečnost.

Právě na nesrozumitelnost si stěžuje asi nejvíce lidí. Jak tomu předejít?

To je pravda. Ve směrnicích se to hemží slovy, kterým se v oblasti bezpečnosti nemůžete vyhnout, jako jsou zranitelnost, hrozba, aktivum, riziko... Řada lidí si však pod těmito abstraktními pojmy neumí nic představit. Řešením je třeba používání příkladů z každodenního života v kanceláři (nebo při práci z domova). Například: máte firemní notebook v kanceláři položený v blízkosti okna, které zůstalo otevřené. Zaprší a notebook se kvůli tomu poškodí. V tomto případě je notebook aktivem, zranitelností ponechané otevřené okno a hrozbou možný déšť. Výsledným rizikem je zničení notebooku způsobené vniknutím vody.

Ráda takto informační bezpečnost vysvětluji klientům. Často to ale zvládnou sami, případně jejich zaměstnanci, což mohu jen kvitovat – zaměstnavatel by je měl v takovémto úsilí povzbudit a zapojit je například právě do procesu tvorby směrnic. Největší bezpečnostní riziko u zaměstnanců je neznalost – často si neuvědomují možná rizika a dopady vlastního jednání nebo zkrátka nevědí, jak potenciální hrozbu rozpoznat či jak na ni adekvátně zareagovat.

Kdo má vlastně zodpovídat za vytváření informační bezpečnosti ve společnosti?

Formálně, nebo ideálně? Dedikovaný manažer informační bezpečnosti (ISMS manažer) může být formálně jen jeden, ale ideálně se vyplatí zahrnout do procesu celou společnost. Předně musí mít proces nastavení informační bezpečnosti plnou podporu vedení. Pokud tomu tak není, těžko lze očekávat uspokojivé výsledky. Poté by se měl vybrat ISMS manažer, který zodpovídá za aktivity různých oddělení – bezpečnostního, IT, právního...

Může jím být externí specialista na danou oblast nebo může vzejít přímo z řad zaměstnanců. Určitě by to ale měl být někdo, kdo se aktivně zajímá o dění ve společnosti a dokáže sloučit informace z jednotlivých oddělení do jednoho celku. Vedení by pak mělo spolu s ISMS manažerem všem zaměstnancům vysvětlit, co nastavení informační bezpečnosti obnáší a co má být jejím cílem, a také jim poskytnout prostor pro vlastní zapojení.

Jak poznáme, že máme správně nastavenou informační bezpečnost?

Zda máte vše dobře nastavené, poznáte nejlépe, až přijde nějaký velký problém a vy docílíte jeho nápravy bez většího úsilí. Třeba když vás při výpadku informačního systému zachrání dobře nastavený business continuity plán. Scénáře typu „co dělat, když...“ se dopředu nikomu vytvářet nechtějí, ale pokud je máte, získáte velkou výhodu při příchodu krize. Jen se zamyslete, jak často v běžných mimopracovních situacích jednáte pod stresem a jak by vám pomohlo, kdybyste měli sepsáno, co přesně dělat.

V práci tuto roli právě mají plnit procesy a směrnice, o kterých se nyní bavíme. Nemusíte začínat od nuly. Podklady pro ně jsou často veřejně dostupné a stačí si je jen stáhnout. Rady k problematice informační bezpečnosti poskytují například bezpečnostní organizace jako Český institut manažerů informační bezpečnosti (ČIMIB) či Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). 

Na co se soustředit, pokud chceme pro vytvoření či nastavení informační bezpečnosti využít externí zdroje?

Najmutí externí společnosti pro pomoc s nastavením a adopcí informační bezpečnosti je logickým řešením, ne vždy je totiž jednoduché určit, jak a s čím začít. Odborníci vám mohou minimálně usnadnit „rozjezd“. Při výběru externí firmy nebo zdrojů se ale určitě zaměřte na jejich přístup k dané oblasti, zda se snaží vnímat, jak váš podnik doopravdy funguje a jaké máte potřeby. Jinak skončíte s vypracovanou směrnicí za spoustu peněz popisující procesy, které neodpovídají realitě. 

 Nejlepším řešením je podle mě nastavení spolupráce externistů se zaměstnanci – zejména s těmi, kteří jsou ve společnosti déle a mají mnohdy lepší povědomí o jejím fungování než samo vedení. Důležité však je, aby byl ve výsledku vždy naplněn cíl společnosti, kterým je dobře nastavená informační bezpečnost. Pokud je ale vaším cílem získat certifikaci proto, abyste měli, jak říkám já, „papír pro papír“ a mohli se zúčastnit například výběrového řízení, můžete přestat číst nebo musíte přehodnotit své cíle. 

Zaměstnanci se s problematikou bezpečnosti obvykle seznamují formou školení. Existuje nějaký návod, jak toto „nudné“ téma prezentovat tak, aby si lidé z něj odnášeli co nejvíce?

Zaměstnance zaujmete například propojením probíraného tématu s reálnými situacemi. Můžete například připomenout, jaké incidenty se ve společnosti opravdu udály v uplynulé době, a na nich ilustrovat, co bylo uděláno dobře a co nikoliv. Je dobré lidi povzbudit a nezastrašovat, aby se nebáli své budoucí prohřešky hlásit a vy je mohli včas vyřešit. Školení by mělo být jasné a stručné, můžete jej také ozvláštnit například formou hry. 

Jak pak po skončení školení prověřit, že zaměstnanci bezpečnostní problematice rozumějí?

Dopad školení si můžete nenásilně ověřit vyvoláním takzvaného fake incidentu. Cíleně rozešlete falešná citlivá data osobám, které k nim nemají mít přístup, umístíte ke kopírce kopii falešné výplatní pásky, „zapomenete“ v kuchyňce flash disk... a pak už jen sledujete chování svých zaměstnanců – zda incident ohlásí, nebo zůstane bez povšimnutí.

 

Má vůbec smysl vkládat do zabezpečení velké prostředky – přece jen to nejsou investice, které generují zisk?

ANO! Informační a kybernetická bezpečnost jsou stále podceňovanou částí podnikového rozpočtu, a to i přes riziko možných velkých finančních ztrát v budoucnu, před kterými by nás investice do nich mohla ochránit. Nezapomínejme na to, že po lidech jsou druhým nejdůležitějším aktivem informace, know-how a firemní data a dnes jsou to právě informační technologie, které pro práci s nimi využíváme. Proto dává smysl je chránit a jejich ztráta představuje v některých případech pro společnosti i konec existence.

Investice přitom nemusejí být vysoké. Vhodně zvolené technologie v kombinaci se správným zapojením lidí a procesů mají větší užitek než nákup drahých a ve výsledku nepotřebných řešení. Je také na vás rozhodnout se, zda má například smysl utratit značné sumy za opatření, za jejichž nedodržení nehrozí velké finanční ztráty.

A konečně – existujících předpisů, co všechno by společnost a její zaměstnanci měli v rámci bezpečnosti ideálně dodržovat, aby docílili 100% souladu, je nepřeberné množství – nezapomeňte při jejich aplikaci používat selský rozum. 

Na jaká rizika by se měly společnosti připravit při přijímání nových zaměstnanců?

Klíčovým rizikem, které se v Česku často opomíjí, je pravdivost informací uvedených v životopisu uchazeče a jejich ověření. Dnes už není sci-fi scénářem například konkurencí podstrčený „špeh“ v podobě nového zaměstnance, který má za úkol ukrást vaše citlivé údaje nebo know-how. Naše legislativa de facto dovoluje v prvních třech měsících (šesti v případě řídicí pozice) takovému člověku skončit a kdykoliv odejít bez udání důvodu.

Nezapomeňte na to, že váš nový zaměstnanec získává potenciálně přístup k veškerým informacím o vaší společnosti a vy mu k nim jeho přijetím dáváte klíč. V rámci nejčernějšího scénáře si takovýto člověk vše potřebné v klidu stáhne během pracovní doby a druhý den už do práce nedorazí. V kontextu informační bezpečnosti je tedy při náboru v první řadě nutné se zamyslet, k jakým systémům vašeho nováčka pro výkon jeho role pustíte a jaké údaje mu dáte k dispozici.

A na co nezapomenout naopak při odchodu zaměstnance?

Tam existují dva režimy – náhlé a dobrovolné propuštění. Zvláště u toho prvního jmenovaného je důležité zajistit okamžité odebrání firemních prostředků, jako je třeba notebook, a zároveň zrušit nebo zablokovat všechny přístupy k informačním systémům, cloudovým službám a jiným podnikovým nástrojům, které by mohly být zneužity. I půlhodina navíc může být kritická. Pokud dostane nečekaně „vyhazov“, i do té doby bezúhonný a nekonfliktní člověk může začít uvažovat a jednat v afektu a způsobit firmě škodu.

Další otázka je nasnadě – s jakými riziky se mohou potýkat zaměstnanci pracující z domova?

Složité to bylo především na jaře loňského roku. Lidé často pracovali na vlastních počítačích, společnosti pro ně neměly připravené pokyny a ani nebyly schopné jakkoliv domácí zařízení svých pracovníků spravovat. Soustředily se spíše na samotný přechod do nového režimu a bezpečnost se řešila okrajově. Dnes je situace jiná – ať už lidé využívají firemní notebook či dodržují společností nastavená pravidla používání vlastních zařízení.

Lidem pracujícím na dálku je dobré vštípit obecné zásady bezpečnosti. Stává se, že jinak velmi zodpovědní zaměstnanci ztratí na home office svou obvyklou ostražitost – například administrátor, který má na svém pracovním počítači v kanceláři nastavená nejvyšší oprávnění, ale svůj notebook půjčí synovi na hraní on-line her. Problém bývá třeba i v zabezpečení domácího Wi-Fi routeru či v práci na veřejném místě prostřednictvím nezabezpečeného hotspotu (vlak, kavárna). Místo toho raději svým zaměstnancům navyšte datový tarif. 

Cloudové služby se právě v kontextu práce na dálku výrazně rozmohly. Jak je na tom jejich ochrana s ohledem na firemní bezpečnost?

Cloudové služby jsou samozřejmě fenomén, zvláště poté, co někteří poskytovatelé dali prémiové služby dočasně zdarma. Mnohé společnosti během této euforie ale zapomněly, že jsou tato řešení ve své podstatě velmi omezeně chráněná. V souvislosti s cloudem tak výrazně vzrostl počet incidentů. Typický příkladem je sdílení citlivých složek s celou organizací jedním kliknutím vinou špatně vyřešeného zabezpečení přihlašování či sdílení složek. Problémem je i často chybějící proškolení zaměstnanců v používání těchto služeb. 

Samotné cloudy obvykle mají jen základní nastavení bezpečnosti. To je dobré doplnit o svá vlastní rozšíření, ať už jde o šifrování nebo autentizaci. Zkrátka byste si měli předem ověřit, zda to základní zabezpečení cloudu je pro vás adekvátní a případně rychle jednat. Samostatnou záležitostí je pak přítomnost citlivých dat v cloudu – u mnoha služeb vůbec nevíte, kde se nalézají. 

A co problém třetích stran a partnerů? Mohou pro společnost představovat nějaké nečekané riziko?

Jistě. Je vhodné po svých dodavatelích požadovat, kontrolovat a třeba i smluvně ošetřit určitou úroveň informační a kybernetické bezpečnosti. Právě v kontrole bývá často kámen úrazu. Je složité kontrolovat své subdodavatele, jak jsou na tom s mírou dodržování bezpečnostních opatření (i když mají příslušné atestace a certifikáty). Není čas a nejsou lidé. Právě zde se vám určitě vyplatí využít externisty.

Existuje ale i jiná cesta. Některé obory to řeší vlastními bezpečnostními certifikacemi, jako je například Tisax (Trusted Information Security Assessment Exchange). Tu si pro usnadnění fungování s dodavateli vytvořil automobilový průmysl. Původně německá iniciativa vycházející z normy ISO 27001 mimo jiné chrání prototypy a usnadňuje ověřování dodavatelského řetězce. 

Nejznámějším bezpečnostním předpisem pro běžnou veřejnost je bezesporu GDPR. Jak se s ním firmy srovnaly za ty roky, co je v platnosti?

GDPR vnímám jako kontinuální proces, který je potřeba pravidelně aktualizovat. Stále se objevují nové procesy, služby a technologie využívající osobní údaje a společnosti tuto skutečnost musejí reflektovat, i když už GDPR jednou zavedly. Častým problémem v oblasti jeho plnění bývá složitá domluva mezi jednotlivými odděleními. Kdyby téma informační bezpečnosti řešili jako jeden tým, ušetřilo by to jejich čas i finance. 

Otázkou zůstává budoucí vývoj GDPR – v rámci Evropské unie nyní převládá snaha sjednotit výši pokut (a zaokrouhlit je na mnohem vyšší částky) napříč zeměmi, takže je dobré GDPR neopomíjet, ale aktivně na něm dále pracovat.

Jakým směrem se podle vás informační bezpečnost bude ubírat? Přijdou další předpisy, které vyvolají rozruch jako před lety GDPR?

Legislativní rámce za praxí stále pokulhávají, proto lze očekávat příchod nových norem. Zmínila bych připravovanou směrnici NIS 2 (Security of Network and Information Systems). Jejím hlavním účelem je zvýšení kybernetické bezpečnosti napříč členskými státy. Každá země EU bude muset například řídit rizika v oblasti kybernetické bezpečnosti, zavede se oznamovací povinnost pro subjekty základního a důležitého významu a obecně se bude klást důraz na sdílení informací o kybernetické bezpečnosti.

Domnívám se, že právě NIS 2 způsobí podobný „wow efekt“ jako dříve GDPR, zejména ve společnostech, na které bude tato legislativa nově dopadat.


Úvodní foto: Internet Info DG




Komentáře