Zavádění bezpečnosti IT do střední organizace

Není problém se zaváděním systému bezpečnosti začít, ale prosadit jej do praxe. Bezpečnost IT se v poslední době st...


Není problém se zaváděním systému bezpečnosti začít, ale prosadit jej do praxe.
Bezpečnost IT se v poslední době stává často skloňovaným souslovím. V loňském
roce se i naše organizace rozhodla nastartovat proces řízené bezpečnosti. Ve
skutečnosti jsme realizovali jistá dílčí bezpečnostní opatření už dříve, ale
vše bylo prováděno izolovaně, případ od případu. Od roku 2003 jsme se této
problematice začali věnovat systematicky, v návaznosti na příslušné normy.
Prvním krokem byl výběr dodavatele, který nás měl uvést do problematiky
bezpečnosti IT, provést analýzu rizik a pomoci s vyhotovením některých
potřebných dokumentů. Myslím, že jsme při výběru měli šťastnou ruku spolupráce
s dodavatelem byla bezchybná a my jsme se za jeho přispění naučili, jak
pokračovat samostatně dále.

Analýza rizik
Analýza rizik trvala nejdéle. Při ní jsme samozřejmě museli být nápomocni,
žádná externí firma neví, co vše vlastníte a provozujete, jak si čeho ceníte a
co by se stalo, kdyby některá ze služeb byla nedostupná. Analýza rizik byla
provedena kombinovanou metodou.
V průběhu sběru podkladů pro analýzu rizik jsme si uvědomili, že musíme doplnit
strategii naší organizace o bezpečnost a deklarovat vůli managementu organizace
ohledně bezpečnosti v dokumentu Politika bezpečnosti organizace.
Dodavatelem byly vypracovány kromě analýzy rizik i dokumenty:
Politika bezpečnosti IT organizace
Systémová bezpečnostní politika ICT/IS
Plán bezpečnosti
Havarijní plán oddělení IT
Směrnice pro interní audit
Struktura školení bezpečnosti IT.
Analýza rizik a struktura dokumentů vycházela z norem, především z ISO/IEC TR
13335 a s přihlédnutím k ISO/IEC 17799. Veškeré práce dodavatele trvaly zhruba
čtyři měsíce.

Bezpečnostní management
Už v průběhu práce dodavatele jsme si uvědomili, že bezpečnost IT musí mít na
starosti jeden zaměstnanec s patřičnými pravomocemi i zodpovědností manažer
bezpečnosti IT. U procesu zavádění řízené bezpečnosti jsem byla od samotného
začátku, již jsem se v problematice orientovala, a proto jsem byla touto funkcí
pověřena.
Bezpečnost IT mám na starosti pouze polovinu své pracovní doby a v této
činnosti jsem přímo podřízena řediteli organizace. Ve zbylém čase pracuji na
stejných projektech jako dříve pod vedením vedoucího informatiky. Toto řešení
bylo zvoleno proto, že jsme považovali za zbytečné v organizaci naší velikosti
mít pro bezpečnost IT zaměstnance na plný úvazek.
Naše řešení s sebou přináší jisté klady i zápory, ale evidentní je, že jeden
pracovník na bezpečnost IT by byl v současné době opravdu nevytížený. Možná se
časem ukáže, že bude nutné situaci přehodnotit.
V návaznosti na implementaci bezpečnosti IT bylo nutno jmenovat také celý
bezpečnostní management, jehož struktura je uvedena v již dříve zmíněných
normách.

Bezpečnostní dokumenty
Postupem času bylo čím dále jasnější, že dokumenty vypracované dodavatelem
nelze použít přímo jako vnitřní předpisy naší organizace. V mnohých případech
bylo navrženo variantní řešení, na mnohá řešení jsme nebyli vybaveni personálně
ani finančně, ale hlavním důvodem byla nutnost přepsat dokumenty do jazyka
srozumitelného i zaměstnancům mimo informatiku.
Začala mravenčí práce s přepracováváním dokumentů přímo pro naše podmínky.
Systémová bezpečnostní politika ICT/IS byla pro naši organizaci příliš obsáhlá,
proto jsem ji rozdělila do obecné části, se kterou musejí být seznámeni všichni
zaměstnanci, a speciální části, určené pouze pro specialisty IT a bezpečnostní
management. Také jsem z původního dokumentu oddělila Politiku bezpečnosti IT
pro dodavatele, která obsahuje vše, co musí dodavatel naší organizace nezbytně
splňovat, čím se musí řídit a co musí mít uvedeno ve smlouvě.
Dokumenty jsem vypracovávala jeden po druhém v průběhu několika uplynulých
měsíců. Již teď je ovšem zřejmé, že mě v brzké době čeká jejich revize a
aktualizace.

Prosazování bezpečnosti
Postupným vytvořením a přijetím příslušných vnitřních předpisů skončila
jednodušší část mé práce. Složitější je dostat bezpečnost do povědomí všech
zaměstnanců tak, aby dodržování zásad bezpečnosti nebylo bráno jako zbytečná
práce navíc a také aby zaměstnanci uvedeným zásadám dobře porozuměli a řídili
se jimi v praxi. Navíc je nutné, aby si všichni uvědomili, že informace jsou
cenné a že je nelze sdělovat neoprávněným osobám.
Je to práce nikdy nekončící. Připravuji materiály pro školení na jednotlivých
útvarech a vzdělávání v oblasti bezpečnosti IT provádíme i za pomoci vybrané
školicí agentury. Řešila jsem již několik bezpečnostních incidentů, naštěstí s
nepříliš závažnými důsledky.
Často odpovídám na dotazy jednotlivých zaměstnanců. Z některých je zřejmé, že
oblast bezpečnosti IT je pro mnohé velkou neznámou. Kladně hodnotím, že se
raději zeptají, když si nevědí rady, ale neustále uvažuji, jak bych jim danou
problematiku lépe osvětlila. Začínám vytvářet komentovanou Příručku bezpečnosti
IT (obecnou část), ve které budou podrobně vysvětleny pasáže, na které se mě
zaměstnanci ptají nejčastěji.

Neustálý proces
Jak všichni víme, bezpečnost IT není stav, ale neustálý proces. Po nastartování
tohoto procesu bude jistě trvat delší dobu, než vejde do obecného povědomí
zaměstnanců, že je třeba být neustále ve střehu. Snažím se jim to připomínat
všemi možnými způsoby od směrnic a školení až po hesla na intranetu. Našim
manažerům jsme dokonce pořídili knihu Kevin Mitnicka Umění klamu, aby se
dozvěděli, jakými cestami mohou externí subjekty získat firemní informace.
Věřím, že postupem času se všichni naučíme pracovat tak, abychom zabránili
možným incidentům a nezužovali bezpečnost IT na antivirové programy a
firewally. Už teď jsem si jistá, že jsem své spolupracovníky přesvědčila o tom,
že bezpečnost IT není problémem pouze informatiky, ale nás všech. Každý se může
stát slabým místem a podle toho se musí chovat.
Řešíte podobné problémy jako Milada Hrabalová? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.