Jak nastavit optimální politiku bezpečnosti IT

26. 1. 2013

Sdílet

 Autor: © higyou - Fotolia.com
Pokud přidáme i aktuální trend prudce rostoucí mobility, není možné si v současné době představit podnikovou síť, která by nebyla chráněná jedním nebo více bezpečnostními nástroji. Bezpečnostní politika by měla být účinná, měla by zajistit maximální ochranu.

V době exploze elektronických médií a zařízení se bezpečnostní politika stává nutnou součástí strategie všech podniků, které provozují nějakou počítačovou síť, a to nejen velkých firem, ale i těch malých a středních. Bezpečnostních hrozeb pro podnikové sítě a podniková data přibývá, objevují se stále nové způsoby, jakými mohou být podniková data ohrožena – prostřednictvím elektronické pošty, surfováním po webu či používáním výměnných médií.


K pokrytí širokého spektra hrozeb podniky využívají kombinaci různých nástrojů. Například ty pro archivaci elektronické pošty archivují veškerou elektronickou poštu všech uživatelů v podobě, v jaké přišla na poštovní server nebo z něj odešla. Chrání tak společnost před ztrátou kriticky důležité obchodní komunikace. Nástroje pro kontrolu přístupu na internet umožňují předejít úniku dat přes stránky využívající techniky sociálního inženýrství, monitorovat a blokovat komunikaci a přenos souborů probíhající přes nejrůznější internetové aplikace. Rovněž pomáhají zvyšovat produktivitu uživatelů omezením přístupu na webové stránky umožňující bezcílné surfování. Nástroj tzv. end point security zase poskytuje prevenci úniku dat a krádeže informací díky komplexní kontrole nad přístupem k přenosným paměťovým zařízením.


Nicméně instalace efektivních nástrojů je jen polovinou úspěchu, neméně důležité je stanovení (a následné vymáhání) bezpečnostní politiky. Ta by měla být na jednu stranu účinná, měla by zajistit maximální ochranu před veškerými hrozbami, na druhou stranu by ale měla umožnit pracovníkům normální, produktivní práci a neomezovat výkonnost celé společnosti. Typickým příkladem je kontrola přístupu na internet, která v extrémním případě dokáže zakázat jakýkoliv přístup na webové stránky s nepracovním obsahem. Je však jasné, že k produktivitě zaměstnanců nucených k nepřetržité práci tato strategie moc nepřispěje, doporučuje se dovolit alespoň časově omezený přístup do celého webu nebo na některé webové stránky či do sociálních sítí.

bitcoin školení listopad 24


Politika bezpečnosti není jen záležitost technická, ale také pracovněprávní, musí být také v souladu s nejrůznějšími zákony. V případě nasazení speciálních kontrolních nástrojů umožňujících shromažďování širokého katalogu údajů je často nezbytné záměr a možnosti nasazení konkrétního kontrolního nástroje konzultovat s právním specialistou na problematiku ochrany osobních údajů a soukromí. Kromě toho, že by bezpečnostní politika měla být citlivě nastavena, měla by být rovněž vhodně komunikována s pracovníky, tak aby správně pochopili její význam. Jejím cílem není jen maximální ochrana před hrozbami, ale také produktivní zaměstnanci a celková výkonnost firmy.


Autor pracuje jako ředitel pro strategii GFI Česká republika a Slovensko