Deset největších bezpečnostních mýtů podle Gartnerů

Když dojde na informační bezpečnost, setkáváme se s mnoho přeháněním a nepochopení, na straně hrozeb i bezpečnostních technologií. Jak říká Jay Heiser, analytik společnosti Gartner, mnoho pochybných tvrzení a předpokladů se již léta traduje i mezi personálem, který je zodpovědný za ochranu dat.

Mýtus 1: „Mně se to nemůže stát.“
Ano, je lehké uvěřit přehnanosti méně příjemných tvrzení a ponechat zaměstnance, at si dělají, co chtějí a kličkují mezi povinnostmi a současně zdůvodňují snížení nákladů na bezpečnost.
Řešení: Stačí přistupovat k požadavkům na bezpečnost se stejnou odpovědností, jako by to byl obchodní případ. Hodně také pomůže nasadit nějaký bezpečnostní klasifikační framework.

Mýtus 2: „Bezpečnostní rozpočet je typicky 10 procent z peněz investovaných do IT“
Tak to je zbožné přání. Statistika Gartneru ukazuje spíše hodnoty v okolí 5 procent.
Řešení: Stačí se poptat okolo sebe a věřit vlastním očím...

Mýtus 3: „Bezpečnostní rizika mohou být kvantifikována“
V kultuře orientované na čísla, kde „největší číslo vyhrává“, je jednoduché uvěřit, že řádky v Excelu perfektně zdůvodní bezpečnostní rozpočet.
Řešení: Připravit nenumerickou prezentaci a vyhodnocení rizik a pokusit se zajistit, aby obchodní oddělení převzalo do vlastnictví i s IT související rizika.

Mýtus 4: „Máme SSL, takže víte, že vaše data jsou v bezpečí“
Ne, to je sázka na magickou stříbrnou kulku. Nákupy bezpečnostních řešení musí odpovídat práci s daty.

Mýtus 5: „Expirační doba hesel a jejich složit sníží rizika“
S hesly jsou problémy vždy, ale jejich lámání není jádrem útoku. Hesla nejsou většinou lámána, ale získávána jiným způsobem.

Mýtus 6: „Vyčlenění bezpečnostní ředitele mimo IT automaticky zajistí dobrou bezpečnost“
Delegace zodpovědnosti jinam neřeší důvod problémů.

Mýtus 7: „Dodržování bezpečnostních praktik je starostí ředitele“
Bezpečnostní program musí stavět na vnitřní kultuře, nikoho hledat oběť, na kterou se vše hodí.

Mýtus 8: „Nakoupením nástroje XY bude vše vyřešeno“
Hledání univerzálního všeléku u výrobců ještě nikdy nic nevyřešilo. Lepší bude začít metodickou analýzou bezpečnostních rizik a mnohaletým bezpečnostním plánem.

Mýtus 9: „Nasazením systému politik bude vše vyřešeno“
To je opět zbožné přání. Je třeba zavést princip zodpovědností a pustit se do bitvy.

Mýtus 10: „Šifrování je nejlepší cestou k ochraně citlivých souborů“
Pokud šifrování funguje, je to skvělé. Ale je třeba získat zkušenosti s kryptografií ještě před tím, než se bude rozhodovat o způsobu nasazování šifrování a zabezpečení přístupových klíčů.