České firmy se málo věnují informační bezpečnosti, její řešení by mělo být ucelené
Informační bezpečnost není v České republice dobrá. Dle výzkumu společností GiTy a Ogilvy PR pouze 54 procent dotázaných firem přisuzuje informační bezpečnosti maximální význam s ohledem na primární byznys. Druhým alarmujícím zjištěním je, že téměř pětina společností považuje pozornost věnovanou otázkám informační bezpečnosti za nedostatečnou. V oblasti informační bezpečnosti vidí 80 procent firem prostor ke zlepšení. Tato čísla nejsou právě uspokojivá. Dokonce lze říct, že jsou katastrofální.
Další úkol
Před deseti lety jsme se potýkali s informační gramotností – se schopností lidí pracovat s výpočetní technikou. Před pěti lety jsme řešili internetovou gramotnost. Dnes jsou lidé schopní s pomocí internetu pracovat i se bavit. V současnosti máme před sebou další „vzdělávací úkol“ – naučit uživatele zásadám informační bezpečnosti. Rozvoj internetu a všech jeho funkcí totiž přinesl stejně masivní nárůst elektronické kriminality. Výzkumy z poslední doby ukazují, že organizace sice o informační bezpečnosti uvažují, dostatečně se jí však nevěnují.
Hitem loňského léta byl v segmentu informačních technologií (IT) outsourcing služeb. Ty se na našem trhu sice zabydlují už delší dobu, ale zatím nepříliš úspěšné. Rychle však rostou nabídky komerčních subjektů na outsourcing informační bezpečnosti. To je dané především ekonomickými faktory. Specialistů schopných zavádět informační bezpečnost je málo a jsou pro organizace finančně nákladní – jejich plat začíná okolo 60 tisíc korun.
Poslední průzkumy odhalují, že využívání outsourcingu v informační bezpečnosti bude pokračovat. Jednou z jeho velkých výhod jsou jasně daná pravidla – například to, že za dvanáct měsíců procento bezpečnostních incidentů nepřekročí určitou hodnotu. Pozitivem je také vztah externího manažera bezpečnosti k zaměstnancům. Nesdílí s nimi pracoviště a bezpečnost je řízená „zvenku“. Na všechny zaměstnance organizace se používá „stejný metr“, nikdo si nemůže vynucovat určitá privilegia z pozice své funkce. Oproti tomu interní pracovník informační bezpečnosti zná detailně prostředí organizace a může kdykoli reagovat na incidenty.
Současné trendy
Zajištění informační bezpečnosti pouze technologickými prostředky je dnes překonané. Moderní trendy informační bezpečnosti kladou především důraz na systémová řešení, která umožňují odpovídající míru ochrany. A především zajistí, aby se tento proces stal součástí nejdůležitějších firemních pravidel. Fungování takových řešení je založeno na tom, že se v jednotlivých fázích jejich zavádění kombinují technologické a procesní prvky informační ochrany. Vhodné propojení technologií a procesů zaručí požadovanou míru ochrany. A dokáže také zajistit, aby stav informační bezpečnosti byl v organizaci v jakémkoli okamžiku na maximální možné úrovni. Jak taková moderní řešení prakticky fungují?
Nápravná opatření
Na začátku se vždy identifikují aktiva společnosti a následně analyzují rizika. Na základě toho je pak vypracován plán nápravných opatření, která jsou postupně prováděna. Zároveň je vytvořen proces takzvané řízené dokumentace, který zajistí aktuálnost všech bezpečnostních a kritických dokumentů. Během těchto činností jsou všichni uživatelé poučeni o systému bezpečnosti a jsou průběžně auditováni. Součástí procesu je i vytvoření mechanismu, který identifikuje a analyzuje bezpečnostní incidenty, a spuštění nástrojů k jejich minimalizaci. Po ukončení prvního cyklu nápravných opatření je spuštěn další.
Ztráty z nezajištěné ochrany aktiv mohou být obrovské. Záleží pouze na rozhodnutí organizace, zda se vydá cestou interních zaměstnanců, nebo dá přednost externímu subjektu. Podstatné však je si uvědomit, že řešení informační bezpečnosti je nutné pojmout uceleně – jako kontinuální proces.
