Představa, že ochrana informačních aktiv je věcí omezené skupiny specialistů, je omylem konsensuálně sdíleným jak mezi manažery, tak správci podnikových systémů. Každý systém je napadnutelný, vždy je možné odcizovat libovolné objemy dat a mnohý implementační projekt opomíjí bezpečnostní pravidla. Pokud bude někdo tato tvrzení považovat za kontroverzní, je to jen dobře. Znamená to totiž, že má alespoň základní ponětí o tom, že IT bezpečnost existuje.
Bezpečnostní zásady se uplatňují v celém životním cyklu podnikových systémů. Začíná se již ve fázi výběru systému a dodavatele, kdy je nutné omezit dodavatelské riziko, zvýšenou pozornost je nutné věnovat průběhu implementace, kdy se obvykle zapomíná na personální rizika vyvolaná externími pracovníky, a velmi důležitá je z pohledu bezpečnosti i migrace, která kromě finančních a reputačních rizik přináší i možnost narušení obchodních procesů. Stabilizační fáze nového systému pak může znamenat jen čekání na nemilé překvapení a je-li systém uveden šťastně do provozu, vyvstává otázka, jak dlouho to bude trvat, „než to někdo zkusí".
Z uvedeného příkladu je vidět, že bezpečnost podnikových systémů nelze oddělovat od celkové firemní kultury a metod řízení. Jinými slovy řečeno – pokud je společnost řízena odpovídajícím způsobem, je si její management vědom, že podcenění bezpečnostních zásad může mít devastující účinky na image i schopnost dosahovat výnosy.
Vybudování takové kultury není krátkodobou záležitostí a už vůbec ne levnou. V zásadě se jedná o zavedení dvou skupin opatření. Tou první skupinou jsou netechnická opatření zahrnující stanovení cílů, zásad a pravidel. Ta by měla být stanovena jak pro technologickou a infrastrukturní oblast a architekturu, tak i pro organizační, procesní a personální záležitosti. Právě zde by měly být formulovány zásady bezpečnosti, které by měly být aplikovány pro všechny systémy. Jedná se například o politiku řízení přístupů, ale také o pravidla hodnocení dodavatelů. Rozsáhlost problematiky obvykle vyvolává nezbytnou spolupráci napříč společností, a tak často vznikají komunikační bariéry mezi složkami, jejichž činnost navzájem přímo nesouvisí, a proto mluví jiným jazykem. Ale to je překonatelné.
Druhou skupinou jsou technická opatření. Vycházejí z bezpečnostních cílů a jsou prostředkem jejich dosahování. S většinou z nich se běžný uživatel setkává ve formě hesel a požadavků na jejich délku a formát. Určitě si také všimne antivirových programů a firewallů.
Technická opatření jsou možná uživateli vnímána jako omezující, a to ještě nevědí například o monitoringu sítě nebo monitoringu databází. V souvislosti s úniky dat se navíc postupně prosazují systémy Data Leak Protection a šifrování disků. Je z čeho vybírat, že? Bohužel to bez toho nejde.
Předpoklad, že renomovaný dodavatel dodá systém bez bezpečnostních slabin, je stejně nepodložený jako víra v existenci zlaté rybky. Důkazem je například vydávání záplat společností Microsoft. Na poli ERP systémů vládnoucí SAP se zdál být nedotknutelnou jistotou. Avšak na počátku tohoto roku byly na jedné konferenci prakticky demonstrovány průniky do SAP s využitím hlavních zranitelností systému. To prakticky znamená dvě věci – součástí dodávky informačního systému musí být analýza rizik systému (tedy aplikace netechnických opatření), a současně musí implementátor prokázat, jak budou nalezené slabiny odstraněny (technická opatření). Jen tak lze předejít celé řadě nepříjemností.
Autor je Senior Business Consultant ve společnosti Logica