Outsourcing bezpečnostního řešení

Podobně jako se zvyšuje hodnota informací v informačních systémech, zvyšuje se i kvalita bezpečnostních řešení chránících tyto systémy před útoky zvenku i zevnitř.



Menší firmy (a často i jednotlivci) chrání své systémy pomocí firewallů, větší
firmy používají navíc systémy pro detekci útoků v reálném čase. Stále častěji se
objevují systémy chlubící se „vyšší inteligencí“, jejich ochrana je stále
komplexnější, zranitelnost stále menší. Málokdy se ale hovoří o odvrácené
stránce těchto „inteligentních“ systémů, kterou je složitost jejich
administrace. Zatímco před několika lety dokázal firewall nakonfigurovat nadšený
správce metodou pokus – omyl, v dnešní době vyžaduje správné nastavení až týdny
školení, což stojí čas a nemalé finanční prostředky. Když se pak takový správce
rozhodne firmu opustit, zbývají dvě možnosti – draze vyškolit jeho nástupce,
nebo mu zvýšit plat. Po půl roce se tato situace může opakovat a spirála
rostoucích výdajů je roztočena.
Není to ale jen problém výdajů. I velmi inteligentní systémy jsou k ničemu,
pokud nejsou správně nastaveny a jejich nastavení není pravidelně aktualizováno.
Firemní správce sice absolvoval školení a nastaví firewally přesně podle
příručky, nicméně nejlépší učitel je i v tomto případě praxe. Vlastní správce,
který má na starosti pět firemních firewallů, nikdy nedosáhne takové úrovně
znalostí jako specialista z bezpečnostní firmy, který se stará o desítky
firewallů několika zákazníků.

Outsourcing: ano či ne?
S přihlédnutím k výše uvedeným důvodům se tedy outsourcing bezpečnostního řešení
jeví jako dobrá volba. Výběr poskytovatele této služby ale není jednoduchou
záležitostí. Na co by si měl dát IT manažer při výběru pozor?
Především je to existence procesů na straně poskytovatele outsourcingu. Procesy
by měl zajistit, aby outsourcing poskytovala bezpečnostní firma jako celek,
nikoliv jeden konkrétní člověk v této firmě. V opačném případě se sice firmě
(zákazníkovi) o bezpečnostní řešení bude starat zkušený expert, ale co se bude
dít v případě jeho nemoci, dovolené či velkého vytížení jiným zákazníkem?
Procesy by měly také pokrývat veškeré změny, které jsou v bezpečnostním systému
prováděny. Ačkoliv se může zdát, že přenesením zodpovědnosti za bezpečnostní
řešení poskytovateli outsourcingu mizí veškeré starosti, není to pochopitelně
tak úplně pravda. Poskytovatel se sice stará o správnou konfiguraci a sleduje
možné bezpečnostní slabiny, ale nemůže sám rozhodovat o provádění změn, které
mohou mít vliv na funkčnost ostatních systémů ve firmě. Nemůže například
rozhodnout o změně konfigurace systému, která bude mít za následek výpadek
vzdáleného připojení managementu k firmě. Existence procesu může těmto
„nepříjemnostem“ předejít – každá změna je předem naplánovaná a ohodnocená z
hlediska dopadů na ostatní firemní systémy. IT manažer pak musí rozhodnout, zda
se změnou souhlasí či nikoliv.
Závěrem je užitečné zmínit, že outsourcing automaticky neznamená zbavení se
takzvaných in-house zdrojů a přenesení starosti o bezpečnostní řešení mimo
firmu. U významných poskytovatelů outsourcingu se jedná o škálovatelnou službu,
která umožní IT manažerovi rozhodnout se, které služby ponechá ve vlastní
„režii“ a které předá externí firmě. Není se tedy třeba obávat, že rozhodnutí
využít outsourcingu bezpečnostního řešení znamená okamžité zbavení se vlastních
specialistů na bezpečnost.
Outsourcing může začít u jednotlivých servisních služeb, jako je instalace
patchů, hot-fixů a upgradu na nové verze produktů na základě pokynů zákazníka.
Ve stejné kategorii se nacházejí změny konfigurací, též vyvolané pokyny
zákazníka. O něco výš stojí kontinuální sledování bezpečnostních slabin a
následné aktivní doporučování změn v systému, na zákazníkovi je již pouze jejich
schvalování. Plný outsourcing pak znamená, že poskytovatel outsourcingu má ve
své správě celý bezpečnostní systém (hardware, software, bezpečnostní politiku,
atd.), reaguje na požadavky zákazníka (řízení přístupových práv při
příchodech/odchodech zaměstnanců, vytváření a aktualizace bezpečnostních politik
při vzniku nových aplikací atd.) a garantuje, že v každém okamžiku je bezpečnost
na požadované úrovni. I v tomto případě má zákazník k dispozici dokumentaci
všech prováděných změn. Pokud se tato změna dotkne i jiných procesů (např.
omezení některých aplikací, přístupu na internet apod.), měl by být zákazník
informován o dopadech těchto změn a schválit jejich provedení.

Autor je ředitelem Security Expert (divize Corpus Solutions)










Komentáře