Oslabené zabezpečení odeslaného e-mailu

Možné postupy Jedním ze způsobů ověření bezpečnosti je spoléhat se na certifikaci podle ISO 17799. Tato norma říz...


Možné postupy
Jedním ze způsobů ověření bezpečnosti je spoléhat se na certifikaci podle ISO
17799. Tato norma řízení zabezpečení není neprůstřelná jenom to, že jí
dodržujeme, neznamená, že se k nám nemůže nikdo nabourat nicméně pokud partner
normu dodržuje, budeme mít alespoň takový příjemný pocit, že děláme něco
správně. Nevýhodou tohoto postupu je skutečnost, že zatím žádný z našich
současných partnerů nejedná v souladu s ISO 17799. Ani jeden jediný.
Není to tím, že komunikujeme se zvlášť nebezpečnou skupinou společností; jde
spíše o to, že dodržování ISO 17799 chce čas, stojí určité úsilí a peníze. A
jakmile společnosti dosáhnou certifikace shody s touto normou, nemají se
vlastně až tak čím pochlubit takže firmy taková certifikace spíše zatěžuje.
Další možností řešení je vyslat k partnerům auditory. K významným obchodním
partnerům můj klient často vysílá tým auditorů, který prolézá jejich systémy a
ujišťuje se, že je vše v pořádku. Auditoři normálně vykrývají celou řadu
oblastí i nad rámec bezpečnosti, a to dává mému klientovi větší záruky, než by
mohl dostat jiným způsobem. Problémem ale je, že auditování je pomalým a
nákladným procesem. A stejně jako je tomu i u jiných auditů, jde jen o takovou
"momentku" za dva roky se může systém a zabezpečení partnera mého klienta
drasticky změnit, takže bude nutné pravidelně provádět opakovací audit.
Třetí možností je spoléhat se na ustanovení vzájemných smluv o zabezpečení a
důvěrnosti. Můj klient podobná ustanovení zahrnuje do všech odesílaných smluv,
ale v takové věci já osobně moc nevěřím. Především smluvní ustanovení o
zabezpečení jsou v podstatě reaktivním opatřením jsou účinná pouze poté, co
došlo k problému. Tahle společnost skutečně potřebuje opatření, které především
chrání před vznikem problému samotného. A je tu ještě jedna potíž. Zatímco
smluvní ustanovení umožňuje mému klientovi žalovat obchodního partnera za škody
poté, co dojde k narušení bezpečnosti, soudní spory v oblasti IT jsou nákladné
a nespolehlivé, protože zřídkakdy se snadno prokazuje, jak došlo k úniku
konkrétní důvěrné informace. Když jsem se zaměstnanci mého klienta postupně
prošel uvedené možnosti, viděl jsem jejich celkem skleslé obličeje. Bohužel,
neměl jsem lepší řešení, které bych jim mohl nabídnout.

Papírový proces
V současné době tedy implementujeme alespoň něco, co bych označil jako
"papírový proces ujištění o zabezpečení". V podstatě pokládáme partnerům mého
klienta několik relevantních otázek, hodnotíme jejich politiku zabezpečení a
cítíme, kdy máme z partnerů dobrý pocit. Nemáme žádný způsob, jak zjistit, zda
jsou odpovědi přesné. Když má společnost více než 600 obchodních partnerů a
nízký rozpočet pro zabezpečení, neexistuje způsob, jak cokoliv ověřit. Náš
papírový proces nám ale i tak pomáhá identifikovat společnosti, na které je
potřeba se zaměřit a zacílit na ně audit. Když od dodavatele dostanete e-mail,
ve kterém je uvedeno: "Zašleme vám naší bezpečnostní politiku za několik týdnů,
protože chlapík, který ji má na starosti, si teď vzal dovolenou," určitě z něj
nebudete mít dobrý pocit. Koneckonců, když má v nějaké firmě kopii bezpečnostní
politiky k dispozici pouze jedna osoba, nikdo jiný ji nejspíše nebude
dodržovat. Další dodavatel se vychloubal svou nákladnou bezdrátovou sítí, ale,
když měl uvést odpověď na otázku ohledně značky a modelu hlavních firewallů,
uvedl název antivirového programu. Takže to, s čím jsme nakonec skončili, je
papírový systém, na který není možné se co do přesnosti spolehnout, protože
obraz zabezpečení IT partnera podává velmi stručně a velice rychle stárne. Ale
jak vidím, je to v současné době nejlepší možnost, jak provádět kontrolu
zabezpečení.

Ideální řešení
Co bych skutečně uvítal, je vytvoření nezávislé agentury, která měří a vykazuje
informační bezpečnost společností, a to nejlépe stejným způsobem, jakým
analytici hodnotí finanční rizika společností. Pokud Moodys Investor Service
udělí společnosti hodnocení AAA, můžete si být jisti, že v nejbližší době
nevyhlásí bankrot a že vám vždy zaplatí. Vše, co potřebujeme, je agentura,
která začne poskytovat hodnocení rizika bezpečnosti společností. Ta by
představovala skvělého pomocníka pro elektronickou komerci a poskytovala by
zákazníkům hodnotný způsob posuzování toho, jak dobře dodavatelé hlídají svoje
důvěrné informace.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.