Komentář: Jakou cenu má informační bezpečnost?

Na pracovníky odpovědné za informační bezpečnost ze všech stran útočí reklamy a výhodné nabídky. Firmy se předhánějí se „zázračnými“ produkty, přesně v duchu sloganu „Chci si jen vlasy umýt a jít“. Realita však bývá krutá. Po několika takových „zaručeně užitečných a výhodných nákupech“ získá podnik spoustu hardwaru a softwaru, aniž by se úroveň informační bezpečnosti zvýšila, v mnoha případech se naopak ještě sníží. Ať už z důvodu nefunkčnosti implementovaných technologií, nekompatibility či kvůli přílišné složitosti apod.

Na mysl tedy vyvstává otázka: Jak správně uchopit informační bezpečnost? Odpověď není jednoduchá. Základem úspěchu je vždy promyšlený a rozumný koncept informační bezpečnosti odpovídající potřebám firmy. Jinými slovy, není-li hned od začátku projektu jasně definována tzv. strategie informační bezpečnosti organizace, nemá smysl vůbec zahajovat implementaci.

Strategie informační bezpečnosti by měla být uceleným kontinuálním procesem, protože jen integrace všech procesních postupů a bezpečnostních pravidel do kompaktního celku přinese žádoucí výsledky. Zahrnuje v sobě podstatné kroky, jako je např. identifikace aktiv, ohodnocení aktiv, analýza rizik nebo identifikace rizik. Celá koncepce informační bezpečnosti je na těchto činnostech postavena. Následnými kroky jsou například Plány obnovy (Recovery Plan) nebo Plány kontinuity činnosti (Business Continuity Plan).

Málokdo ví, co se za výše zmíněnými názvy vlastně skrývá. Laicky řečeno, jde o zjištění aktiv (počítače, data, software apod.), která mají pro organizaci hodnotu a při jejichž nedostupnosti může dojít, v krajním případě, až ke krachu společnosti. Aby tato data mohla být chráněna, je třeba provést analýzu rizik, která aktivům hrozí,a vypracovat postupy, kterak tato aktiva obnovit a zahájit znovu činnost organizace. Samozřejmě tyto činnosti mají svoji strukturu a musejí obsahovat některé povinné kroky.

Lze tedy odpovědět na otázku uvedenou v nadpise tohoto příspěvku? Ano, hodnotu informační bezpečnosti lze vyčíslit. Je-li v organizaci zaveden systém informační bezpečnosti, jsou k dispozici také nástroje, pomocí kterých lze jasně ukázat nejen kolik firmu bude ochrana aktiv stát, ale i kolik společnost ztratí, budou-li aktiva zničena nebo nedostupná.

V České republice existuje profesní sdružení Český institut manažerů informační bezpečnosti, vystupující pod zkratkou ČIMIB, které sdružuje odborníky z oblasti bezpečnosti IS/IT. Základním cílem ČIMIB je podpora vzájemné výměny zkušeností a znalostí odborníků na pravidelně pořádaných konferencích či neformálních setkáních.