Jak prodat bezpečnost finančnímu řediteli firmy

1. 12. 2003

Sdílet

Všichni, nebo téměř všichni, se shodují na tom, že zabezpečení informačních systémů je nezbytností. Je ovšem ve...
Všichni, nebo téměř všichni, se shodují na tom, že zabezpečení informačních
systémů je nezbytností. Je ovšem velký rozdíl mezi situací, kdy se o
zabezpečení jenom mluví, a tím, kdy se má něco podniknout nebo dokonce
investovat nemalé peníze. V takovém okamžiku přicházejí ke slovu termíny jako
definice obchodního případu nebo návratnost investic. Lze je ovšem skutečně
aplikovat i na oblast bezpečnosti?
"Vypněte to, a to hned!" Tím, kdo vydal tento příkaz, byl šéf pro informační
bezpečnost (CISO, Chief Information Security Officer) jisté poměrně velké
firmy. A tím, co přikázal vypnout, byla celá její internetová infrastruktura,
která generuje denně více než 2 miliony dolarů tržeb s vysokou mírou zisku.
Po bezesné noci správci IT infrastruktury konečně zjistili, proč jsou postiženi
dlouhým útokem typu DoS. Jejich firewally přece měly bez problémů tento útok
odrazit, ale to se nestalo. "Zlí hoši" po nich šli jako vosa po medu. To ráno
si najednou někdo uvědomil, že firemní firewally byly sice aktualizovány, ale
zapomnělo se na opětovnou aplikaci jakýchkoliv kritických bezpečnostních
pravidel.
Příčinou výše zmíněného útoku tedy byla zásadní a přitom prostá lidská chyba.
Přesto tato událost způsobila kompletní přehodnocení internetové bezpečnosti ve
firmě. Následovalo rozhodnutí o zvýšení bezpečnostních opatření a také
outsourcing větší části správy a monitorování zabezpečení.

Časy se mění
Za starých časů se celá bezpečnostní infrastruktura firmy skládala z několika
firewallů a určité antivirové ochrany. Avšak nová rizika tato jednoduchá
obranná opatření vysoce přerostla a náklady na bezpečnost se vyšplhaly na
takovou úroveň, že podléhají schválení CISO a někdy také CIO. Firmy ze žebříčku
Fortune 500 pak mají takové výdaje na bezpečnost, že jejich schválení vyžaduje
souhlas CEO nebo dokonce správní rady. A každá z těchto firem má svého
vlastního, ostražitého finančního ředitele, který požaduje popsání nové
infrastruktury v souvislostech jako obchodní případ s důvěryhodnou mírou
návratnosti investic.
Tudíž před vámi stojí tři problémy. Je třeba určit potřebnou úroveň zabezpečení
vaší firmy. Je potřeba postavit obchodní případ a prezentovat jej netechnickým
řídícím pracovníkům tak, aby jej pochopili a podpořili. A musíte prokázat, že
investice budou mít finanční návratnost. A to vše kvůli systému, u kterého
pokud dokonale funguje se nic nestane.
I když to nezní jako jednoduché zadání, pravdou je, že z pořízení bezpečnostní
infrastruktury lze obchodní případ udělat. A to tak důvěryhodně, že i ten
nejpřísnější finanční ředitel bude s investicí souhlasit.

Krok 1: Zjistěte stav
Prvním krokem musí být zjištění stávající a požadované míry zabezpečení. Nechte
bezpečnostní audit zrealizovat firmou, která má solidní pověst. Nezapomeňte
zahrnout vyhodnocení zranitelných míst a také penetrační testy všech svých
klíčových systémů. (Klíčové systémy jsou ty, jež se starají o toky peněz, data
o zákaznících, zaměstnancích a produktech.) Nedělejte to sami. Pravděpodobně
nemáte potřebnou kvalifikaci a i kdybyste ji měli, nedosáhnete kredibility
nutné k obhájení obchodního případu.
Pokud všechno uděláte správně, budete mít k dispozici vyhodnocení, které vám dá
velmi dobrou představu o stavu bezpečnosti IT ve vaší firmě a o nutných
opatřeních v této oblasti. Nebuďte defenzivní. Podělte se o výsledky s vaším
CEO a se šéfy obchodní jednotky. Usnadněte jim pochopení problému a nápravná
opatření.
Vyhodnocení vám řekne, kde jsou vaše slabá místa a každé z nich podrobně
rozebere. U každé aplikace byste měli vědět, jaká potenciální nebezpečí hrozí,
znát celkový ekonomický dopad každého případu narušení a pravděpodobnost, že k
němu dojde. Nejlepším zdrojem těchto informací platných celosvětově je zpráva
vydávaná každý rok společně Institutem pro počítačovou bezpečnost (Computer
Security Institute) a FBI. Má takovou míru důvěryhodnosti, že ji váš CFO bude
respektovat.
Poslední součástí vyhodnocení je projekt nákladů na zabezpečení během příštích
pěti let, postavený na stávajících technologiích a procesech.

Krok 2: Mějte plán
Nyní je třeba vytvořit bezpečnostní plán sloužící k nápravě mezer v zabezpečení
zjištěných při bezpečnostním auditu. Nevynechejte žádnou oblast. Firewally,
antivirovou ochranu, systém detekce vniknutí, interní segmentaci sítě,
aplikace, jejich nasazování, pronájem, outsourcing, školení, monitorování a
provoz to vše by mělo být ve vašem plánu obsaženo.
Vytvořte pětiletý model celkových nákladů na vlastnictví (TCO). A stále mějte
na zřeteli obtížnost a náklady na realizaci jednotlivých částí opatření.
Existují nesčetné příklady kvalitních lidí, kteří dostali výpověď, protože
zařízení sloužící k detekci vniknutí ležela ve skladu ještě půl roku poté, co
byla zakoupena a zaplacena. Prostě nebyli k dispozici odborníci, kteří by je
nainstalovali.
TCO budou mnohem vyšší, než byste čekali. Bezpečnost je drahá. Ale pokud
nezahrnete všechny prvky a nevytvoříte pětiletou kalkulaci TCO, finanční
ředitel vás donutí udělat všechno znovu, čímž samozřejmě ztrácíte body. A pokud
výši nákladů podceníte a podaří se vám toto číslo prosadit ve schvalovacím
procesu, už byste raději měli začít s vybrušováním svého životopisu.

Krok 3: Obchodní případ
Vybudujte také obchodní případ založený na kalkulaci návratnosti investic do
bezpečnosti. Jistě, lze to udělat podívejme se jak.
Celé tajemství spočívá v tom, že musíte být schopni vedení firmy vysvětlit, o
co se pokoušíte, a to takovým způsobem, aby to bylo všem srozumitelné. Oni jsou
placeni za to, že moudře rozhodují o alokaci zdrojů (peněz). Dejte jim
srozumitelný výčet skutečností, a dostanete z nich tu správnou odpověď.
Začněte z velkého nadhledu. Obrázky a graf v těchto případech obvykle zabírají
nejlépe. Za osvědčený lze považovat graf ve tvaru písmene S a analogii hradu a
příkopu.
Vysvětlete, že se snažíte vybudovat příkop kolem hradu. Dokud není příkop kolem
celého hradu, utratili jste sice spoustu peněz, ale bezpečnost se vůbec
nezlepšila. Tato analogie reprezentuje levou část S křivky. Pokud nemáte
zprovozněnu minimální úroveň zabezpečení, utrácíte peníze, ale stále jste
zranitelní.
Jakmile se podaří příkop kolem hradu dokončit, rozhodnete se, jak široký a jak
hluboký by měl být. Toto je střední část grafu, kterou pracovně nazvěme třeba
zónou obezřetnosti. Liší se od odvětví k odvětví. Výrobce krejčovské křídy
potřebuje menší zabezpečení než zpracovatelé transakcí provedených kreditními
kartami.
Když postavíte příkop kilometr široký a pouze metr hluboký, peníze jste
vyhodili z okna. To představuje pravá horní část S křivky. Stále utrácíte
spoustu peněz, ale bezpečnost se již nijak významně nezvyšuje. Finanční
ředitelé se CIO, který vyhazuje peníze, rádi zbaví. A že se to na vašem
životopisu nebude nijak zvlášť vyjímat, je jasné.
Poté se ponořte do problematiky poněkud hlouběji. Sdělte, co chcete s penězi
udělat a proč. Zde je vhodné nasadit matici rizik a řešení. Využívá data z
bezpečnostního auditu a uvádí jednotlivé rizikové oblasti, ekonomický dopad
bezpečnostního incidentu v každé z nich, pravděpodobnost jeho výskytu a
výsledné náklady každého takového incidentu pro celý podnik. K těmto prvkům
přiřaďte jednotlivé části svého bezpečnostního plánu a odškrtávejte jednotlivé
oblasti, kde tento plán řeší daná rizika.
Je dobré uvést nejdříve všechny kroky nutné k dokončení imaginárního příkopu.
Poté následují opatření nutná k tomu, aby se firemní bezpečnost dostala do
"zóny obezřetnosti". A dále kroky, jejichž realizací by se společnost dostala o
kousek dále za tuto zónu, ale ne příliš daleko.
Teď, když jste uvedli všechny navrhované kroky a jejich náklady ve vztahu k
modelu finančních rizik, je třeba stanovit návratnost investic u každého z
nich. Návratnosti lze docílit čtyřmi základními způsoby: snížením stávajících
nákladů, snížením budoucích nákladů, snížením finančních rizik nebo zvýšením
tržeb. Finanční ředitel bude radostí bez sebe!

Jde o peníze
Investice do informační bezpečnosti mohou dosáhnout návratnosti omezením
předpokládaných ročních ztrát (Annual Loss Expectancy, ALE) v důsledku narušení
bezpečnosti. ALE je kalkulací skutečných nákladů bezpečnostního incidentu
vynásobených pravděpodobností jeho výskytu v příštím roce. Je to obdoba
výpočtů, které dělají pojišťovny a na jejichž základě stanovují výši pojistného.
Předpokládejme, že máte (stejně jako firma z úvodního příkladu) webové stránky,
které generují tržby v objemu 2 miliony dolarů denně. Bezpečnostní audit
ukázal, že stránky jsou zranitelné v případě DoS útoku, v jehož důsledku by
došlo k třídennímu výpadku, přičemž pravděpodobnost úspěšného úroku v průběhu
roku je 60 %. ALE je 2 miliony/den krát 3 dny krát 60 % = 3,6 milionu dolarů.
Bezpečnostní vylepšení stojí 500 tisíc dolarů a sníží pravděpodobnost úspěšného
útoku na 15 % a dobu výpadku na jeden den. Zlepšené ALE činí 2 miliony/den krát
1 den krát 15 % = 330 000 dolarů. Čímž dostáváme návratnost v prvním roce ve
výši 3,3 milionu dolarů (3,6 milionu 300 tisíc) při vynaložení investice ve
výši 500 000 dolarů.
Nyní máte před sebou všechny nutné části úspěšného obchodního případu. Dalším
krokem bude pověřit příslušného pracovníka vypracováním standardních firemních
tabulek návratnosti investic a shrnout bezpečnostní audit, bezpečnostní plán
včetně TCO v příštích pěti letech, matici rizik a řešení a kalkulace ROI do
standardního firemního formátu. Mějte na paměti, že chcete svůj obchodní případ
prezentovat úplně stejně jako jakékoliv jiné firemní investice.
V tomto okamžiku asi stojí za to vytvořit stručnou prezentaci v PowerPointu,
která shrne klíčové body. Zůstaňte v nadhledu. Jakmile se dostanete do
technických a odborných detailů, publikum začne poulit oči a ztrácíte
důvěryhodnost ve své roli obchodníka. Předveďte prezentaci jednotlivě každému
vedoucímu pracovníkovi ještě před tím, než se bude věc projednávat.
Nevynechejte finančního ředitele. Naslouchejte a do svého dokumentu zapracujte
jejich připomínky. Nyní jste připraveni prezentovat záležitost na schůzi vedení.
Pokud se budete držet námi uvedeného postupu, vaším dalším problémem už by mělo
být pouze to, jak efektivně utratit všechny získané peníze.

Tipy na návratné investice do bezpečnosti
Vhodné investice do bezpečnostní infrastruktury závisejí především na aktuálním
stavu této oblasti u každé konkrétní organizace (jak ostatně zmiňujeme i v
hlavním textu). Přesto zde přinášíme několik tipů na vylepšení bezpečnosti (a
související možnosti návratnosti investic), které v současnosti ve firmách
patří k často realizovaným:
Lepší správa hesel může omezit související problémy, které zaberou IT
zaměstnancům hodiny a hodiny času a zhoršují jejich produktivitu.
Vylepšení správy bezpečnostních oprav je ohromnou příležitostí ke zvýšení
produktivity pracovníků týmu IT.
Nové technologie mohou integrovat firewall a systémy detekce vniknutí do
jediného balíku, čímž se odpovídajícím způsobem sníží náklady na údržbu.
Řadu přínosů nabízí i outsourcing monitorování bezpečnostních systémů. Systémy
detekce vniknutí produkují tuny informací a potřebují nepřetržitý dohled. Možná
byste se této práce raději zbavili ve prospěch někoho, kdo se tím živí.
Náležitá bezpečnost umožňuje firmám bezpečným způsobem převést takové činnosti,
jako jsou lidské zdroje či administrativa týkající se služebních cest, na web,
čímž lze dosáhnout úspor v administrativní oblasti.
Vhodně zvolená úroveň zabezpečení dovoluje využít bezdrátových sítí, čímž se
dosáhne úspor oproti nákladným klasickým pevným sítím.
Lepší bezpečnost může snížit celkovou výši pojistného, které firma platí.
Je dokonce možné dosáhnout postupného nárůstu tržeb realizací nových projektů,
které by jinak byly zamítnuty kvůli bezpečnostním obavám například převedením
části dodavatelského řetězce na internet.