Myšlenka bezpečnosti

"Bezpečnost musí být především v hlavě", tak by měla znít základní poučka pro jakékoliv specialisty, zabývajíc


"Bezpečnost musí být především v hlavě", tak by měla znít základní poučka pro
jakékoliv specialisty, zabývající se zabezpečením čehokoliv. O informacích, a
to v době masového užívání Internetu, ani nemluvě. O důvodech vedoucích k
nutnosti maximální ochrany informací teoreticky již dnes nikdo nepochybuje. V
praxi je to však jinak. V mnohých případech nezáleží jen na aktivitě a
znalostech informatiků, ale zejména na erudici managementu, který návrhy svého
informačního oddělení posuzuje a schvaluje. Pokud funguje alespoň tato primární
podmínka, je možné, že firma bude disponovat větším či menším počtem
sofistikovaných nástrojů na ochranu dat. Technologie dnes nabízejí velké
množství prostředků, určených pro firmy různé velikosti a různé míry požadavků
na bezpečnost. Nicméně ani nejlepší ochranné systémy nejsou k ničemu, pokud
nejsou součástí systému řízení firmy. A právě zde bývají v organizacích
největší slabiny. Nebezpeční zaměstnanci
Pokud se zabezpečují podnikové systémy, obzvlášť pokud jsou napojené na
Internet, bývá hlavní starostí administrátorů podnikových sítí ošetření systému
proti průniku zvenku. O nebezpečí, které mohou představovat vlastní většinou
klíčoví pracovníci firmy, se příliš nehovoří. Přesto statistiky zabývající se
bezpečností v bankách uvádějí jako hrozbu vlastní pracovníky (současné i
bývalé) na prvních místech. "Nejhorší" na tom je, že ochrana informací na této
úrovni již nezbytně vyžaduje efektivní spolupráci informatiků s celým vedením
společnosti a to bývá nejslabší bod celé akce, jelikož v našich podmínkách
nebývá vedoucí informatiky (CIO) zařazen do nejvyššího vedení, a obě
zainteresované skupiny tak těžko hledají společný jazyk.
Přesto je snaha vyřešit tento problém nutná ve světě již existuje standard
určující míru "bezpečnosti" dané organizace, a není daleko doba, kdy jeho
akceptování bude nejen konkurenční výhodou, ale nezbytností.
Tento standard tvoří norma BS 7799, jejímž základem je prevence, ochrana a
udržování záznamů. Norma pokrývá nejen všechny papírové a elektronické
dokumenty, ale zasahuje i do oblasti lidských zdrojů. K čemu vlastně je
zavedení této normy do systému řízení podniku? Ochrana dat podle normy BS 7799,
potvrzená certifikací, minimalizuje obchodní ztráty vyplývající z úniku
informací, nastoluje důvěru podnikatelského okolí firmy, a znamená tak další
možnou konkurenční výhodu. Základní pojmy, se kterými norma pracuje, jsou
důvěrnost, integrita a přístupnost. Důležitou schopností systému řízení
ošetřeného podle této normy je schopnost předvídat ztráty způsobené únikem
informací, a tak jim i předcházet. Pokud bychom šli tímto směrem dál, dostali
bychom se až k řízení rizik, což již přesahuje téma tohoto článku.

Pojistit si data...
Vrátíme-li se k úvodnímu tvrzení, potom by bezpečnost firemních dat měla být
zakódována především v hlavách jejího nejvyššího vedení. Problém je natolik
komplexní, že nelze pověřit pouze oddělení informatiky, aby nakoupilo
odpovídající produkty a ošetřilo podnikový informační systém. Norma BS 7799
vyžaduje skloubení všech činností firmy, což potvrzují požadavky na certifikaci
podle této normy. Certifikační audit má zhruba 4 základní části. V 1. etapě se
zkoumá politika zabezpečení dat a riziková analýza ve vztahu k podnikatelskému
plánu. Do 2. části patří prověření ochrany registrů, dat a antivirová ochrana v
návaznosti na bezpečnost dat v oblasti lidských zdrojů. Ve 3. etapě jsou
analyzovány systémy a způsoby hlášení incidentů, ochrana autorských práv a
vůbec soulad s právními požadavky a s bezpečnostní politikou společnosti.
Nakonec se ve 4. části auditoři věnují vztahu vedení firmy k vybudovanému
systému.
Znamená to obrovské množství práce, které se však nakonec vyplatí. Ve světě,
konkrétně v Norsku, je již pojišťovna Gjensidige ochotná pojistit společnost
proti ztrátě dat za podmínky, že má certifikát v souladu s normou BS 7799. Jako
první začala tyto certifikace provádět norská společnost Det Norske Veritas.
1 0296 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.