Nebezpečí číhá na každém kroku

Nehledě na prohlášení špičkových manažerů o tom, jak jim leží na srdci informační bezpečnost, se ukazuje, že ob...


Nehledě na prohlášení špičkových manažerů o tom, jak jim leží na srdci
informační bezpečnost, se ukazuje, že obrovské množství firem nedodržuje
základní pravidla ochrany svých dat před hackery, nespolehlivými zaměstnanci a
průmyslovými špiony.
A rozpor mezi slovy a činy je ještě patrnější, když se podíváme na přístup k
řešení problému roku 2000.
Předkládáme vám závěry z přehledu, který vypracovala společnost Ernst & Young
společně s americkým Computerworldem a který se týká přístupu firem k otázkám
bezpečnosti. Průzkumu se účastnilo 4 255 manažerů IT a tady jsou výsledky:
- 51 % firem nemá definovanou formální bezpečnostní politiku.
- Tři čtvrtiny firem nemá žádný plán, jak reagovat na případné bezpečnostní
incidenty.
- Více než polovina společností nedisponuje plány na obnovu případných
informačních škod.
- Více než třetina firem nemonitoruje své sítě, aby odhalila případné podezřelé
aktivity.
- Méně než pětina respondentů používá šifrovací technologie k zabezpečení
citlivých údajů.
Průzkum také ukázal zásadní nedorozumění, pokud jde o definici rizik z hlediska
informační bezpečnosti. V odpovědi na dotaz, jaké jsou hrozby pro informační
bezpečnost, byli hackeři uváděni dvakrát častěji nežli zaměstnanci, nicméně
studie jasně ukázaly, že drtivá většina narušení bezpečnosti firemních
informací pochází zevnitř firem.
Více než 32 % manažerů v průzkumu uvedlo, že problém bezpečnosti je největší
bariérou elektronického obchodu. (Ve 26 % případů byla citována neadekvátní
technologie a ve 25 % uváděli manažeři nevýhodnost z ekonomického hlediska.)
Přesto se zdá, že se blýská na lepší časy. Ve srovnání se stejným průzkumem z
loňského roku výrazně klesl počet společností, které se stavěly přezíravě k
bezpečnostním produktům.
"Během posledních dvou let výrazně vzrostlo vědomí důležitosti ochrany
bezpečnosti dat," říká John Darbyshire ze společnosti Ernst & Young LLP.
Přátelský útok
Jedním ze způsobů, jak přimět vrcholný management k tomu, aby vzal bezpečnostní
rizika vážně, je uskutečnění testů průchodnosti. Dají se použít automatické
nástroje, které zjistí případné bezpečnostní mezery ve firemním systému. Tak
lze přesvědčit vedení o zranitelnosti citlivých informací v podniku a přimět ho
k přehodnocení stanovisek. "Je to taková léčba šokem," říká o použití této
metody Darbyshire.
John Wylder, senior viceprezident SunTrust Banks s ním souhlasí. Použití těchto
testů je podle něj skutečně účinné a je asi nejsnazší cestou, jak dokázat
vedoucím pracovníkům firmy, jak moc je jejich systém ohrožen. "Když uvidí, jak
snadno se konkurence může dostat k jejich seznamu zákazníků, většinou to jimi
dost otřese."
Přesto je namístě profesionálům z oboru bezpečnosti informací doporučit
"pozitivní přístup". Je lépe hovořit o tom, jaké výhody bezpečnostní opatření
firmě přinesou, než malovat temné perspektivy, které společnost čekají, pokud
si bezpečnostní produkt nezakoupí. Na takovéto chmurné předpovědi bývají
špičkoví manažeři dost citliví, zvláště tehdy, když jejich firmu ještě žádný
bezpečnostní problém nepostihl.
O důvod víc, proč nenávidět rok 2000
Y2K, Millenium bomb, a čert ví, jak ještě se problém roku 2000 v médiích
vzletně nazývá. Kromě spousty dalších potíží, znamená toto černé datum i další
riziko pro bezpečnost dat ve firmách. Ve spoustě společností totiž management
přesunul veškerý svůj zájem na vyřešení otázky "2000". Kromě zájmu tam ovšem
přesunul také finance a pracovníky. Otázka ochrany bezpečnosti dat, která se i
tak potýkala s do jisté míry laxním přístupem vedení, se nyní ocitla ještě více
mimo sféru pozornosti vedoucích pracovníků.
I když se o hackerech hodně píše, pouhá 4 % společností utrpěla ztráty v
důsledku útoku hackera. Většinou firma dojde újmy "starým dobrým způsobem". Je
potom k vzteku, když investuje-te značné prostředky do bezpečnostních produktů
a nakonec vám pláchne účetní s klasickým papírovým šanonem.
Prvotní impulz k formulování bezpečnostní politiky firmy by neměl vyjít od
pracovníků oddělení IT. Nejlépe je, jsou-li požadavky vzneseny z obchodního
oddělení, tedy z té strany, která je zodpovědná za produkty a služby
společnosti.
Podle Patricie Gilmorové, výkonné ředitelky pro informační bezpečnostní rizika
v Charles Schwab & Co. ze San Francisca, v minulosti byli za data zodpovědní
pracovníci IT. To se však musí změnit. Je třeba přesvědčit lidi z obchodních
oddělení, že jsou to oni, kdo nesou zodpovědnost.
Gilmorová, která je současně ředitelkou Asociace pro systémovou bezpečnost
říká, že žádná organizace si nemůže dovolit vybudovat systém, který bude
absolutně prost jakýchkoliv rizik. Může však vytvořit systém s "řiditelnými"
riziky. Proto se nyní již pracovníci z její firmy, zodpovědní za implementaci
systémů, ptají zákazníků z obchodních oddělení, jaká míra bezpečnostních rizik
je pro ně ještě přijatelná.
Spousta lidí si myslí, že technologie jako firewally, detekční zařízení apod.,
vyřeší bezpečnostní problémy firmy. Když si koupíte firewall a někdo ze
zaměstnanců zavolá svému kamarádovi přístupové heslo, tak je vám ovšem
sebelepší a sebedražší firewall nanic.
Další z bezpečnostních opatření, které firmy zanedbávají, jsou zařízení
detekující případné vniknutí do informačního systému firmy. Tato zařízení
monitorují podezřelé aktivity ve firemní síti, například opakované neúspěšné
pokusy zalogovat se, a vyvolají poplach, pokud se objeví. Studie ukázala prudce
rostoucí počet poplachů. V letošním roce již jen 19 % firem neodhalilo úspěšný
atak firemní sítě přes Internet, zatímco loni si takovéhoto útoku "nevšimlo" 42
% společností.
Lepší nástroje
Průzkum také ukázal, že odborníci na IT jsou mnohem spokojenější s
bezpečnostními produkty než v předchozích letech. Již jen 18 % dotázaných
specialistů tvrdí, že "největší překážkou zajištění bezpečnosti jsou právě
bezpečnostní produkty". Loni toto tvrzení zaznělo z 31 % úst.
Současné nástroje pro řízení podnikových systémů spolu s detekčními zařízeními
a firewally dávají velice kvalitní bezpečnostní záruky pro podniková data.
Zvláště v průběhu minulého roku se objevila řada nových nástrojů, které
pomáhají vyplnit bezpečnostní mezery v podnikových IS, především pokud jde o
oblast manažerských systémů a monitoringu prostředí. Ještě je třeba zlepšit
nástroje a produkty pro centralizovaný management bezpečnostních služeb, jako
je např. kontrola přístupového hesla.
Další z věcí, která ještě není používána tak, jak by měla, je šifrování. Jen 17
% respondentů používá šifrované údaje pro styk s Internetem, 4 % používají
digitální podpis a 5 % digitální certifikaci. Často je slyšet námitka, že
šifrování je zbytečné pro styk uvnitř firmy, je-li podniková síť chráněna
firewallem. Sebelepší firewall se však nakonec překonat dá. Proto odborníci
považují šifrování za technologii budoucnosti. Nicméně jako každá nová
technologie bude znamenat pro vedení i zaměstnance mnoho změn, mnoho práce a
mnoho učení.
Žádná technologie sama o sobě však není samospasitelná. Základem je a zůstane
kvalifikovaná a odborně zpracovaná bezpečnostní politika firmy.
8 3001 / jaf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.