Úloha zabezpečení sítě při implementaci systému řízení provozních rizik

15. 9. 2005

Sdílet

Úloha zabezpečení sítě při implementaci systému řízení provozních rizik

Internet a webové technologie mají pro fungování stále vyššího počtu firem a organizací zcela rozhodující význam. Jsou v centru provozních systémů, od podpory a prodeje až k řízení výroby a nákupu. Programy zabezpečení IT systémů mohou být chápány jako forma samopojištění společnosti, nutná k zajištění stabilního provozu a k dosažení zisku a růstu. Proaktivní řízení bezpečnostních a technologických rizik již není jenom otázkou využívaní nejlepších dostupných praktik a standardů. Je v mnoha případech vynucováno zákonem nebo speciální regulací v rámci daného odvětví. Řízení provozních rizik v souladu s těmito zákony a regulací vyžaduje jednoznačné namapování procesů a pravidel do funkcí a vlastností IT aplikací a infrastruktury. To předpokládá pochopení principů elektronické bezpečnosti a s jistou nadsázkou lze říci, že tato znalost se stává nutnou součástí IT gramotnosti vrcholového managementu.
Výše finančních ztrát, souvisejících s elektronickými bezpečnostními incidenty se u jednotlivých firem značně liší v závislosti na tom, jaký důraz tyto firmy kladou na zvládnutí bezpečnostních procesů a technologií. Podle výsledku průzkumu společnosti Aberdeen Group, publikovaném v březnu tohoto roku, dosahují ztráty u firem, které se v hodnotícím žebříčku této analytické společnosti umístily na nejhorších místech, až devítiprocentního ročního obratu. Na druhé straně společnosti, které v hodnocení obstály nejlépe, se potýkaly se ztrátami na průměrné úrovni 1,4 procenta ročního obratu. Příčinou těchto škod mohou být přímé ztráty související s výpadky kritických systémů, ale také ztráta obchodních příležitosti, ztráta zákazníka, krádež intelektuálního vlastnictví nebo elektronický podvod.
Finanční ztráty na úrovni osmi nebo devíti procent často ženou firmu do spirály. Firma odkládá nutné investice, které by mohly vést ke zvýšení úrově zabezpečení a k vyšší robustnosti elektronických systémů, ale také procesů a rozvoje lidského kapitálu.
Je nutné si uvědomit, že mezi mírou výdajů na elektronické zabezpečení a účinností bezpečnostních programů není vždy jednoznačná úměra. Již citovaná studie společnosti Aberdeen Group poukazuje na fakt, že jakkoliv existuje korelace mezi mírou výdajů na elektronickou bezpečnost, měřenou jako procentuální poměr bezpečnosti na celkovém rozpočtu IT organizace, a úrovní finančních ztrát v důsledku bezpečnostních incidentů, účinnost těchto investic stejně významně závisí na kvalitě řízení IT organizace. Není překvapením, že společnosti, které nejlépe nakládají s investicemi do programu elektronického zabezpečení, se také výrazně liší způsobem organizace IT, kvalitou řízení znalostí týkajících se elektornické bezpečnosti a tím, že definují výkonnostní ukazatele (PKI), které slouží k monitorování a měření efektivity bezpečnostních programů.
Z hlediska IT systémů se podpora řízení provozních rizik odehrává na několika úrovních. V nové architektuře IT systémů, založených na internetových technologiích, se úloha sítě transformovala. Z pouhé infrastuktury, která propojuje inteligentní koncové systémy, se stává otevřený prostor poskytující stále více inteligentních služeb. Koncepce inteligentní informační sítě (Intelligent Information Networks) je v souladu s vizí podnikové infrastruktury, v níž jsou aplikace dynamicky vytvářeny propojovaním systémů a zdrojů s pomocí standardních funkcí sítě, které poskytují rozhraní pro směrování zpráv na aplikační úrovni, konvergenci různých druhů elektronického obsahu a komunikačních kanálů. Adaptivní bezpečnost se stává nutnou funkcí inteligentní sítě. Namapování bezpečnostních funkcí inteligentní sítě na byznys procesy hraje v systému řízení provozních rizik kritickou roli.
Postupy informační bezpečnosti se rozvinuly od koncepce ochrany, omezené na hranice sítě, k hloubkovému modelu bezpečnosti, v níž jsou ochranné prostředky jako antivirový systém, detekce průniků, kontrola přístupu k síti, firewally a obrana koncových stanic, vrstveny přes celou infrastrukturu podniku. Systémy řízení bezpečnosti jsou rozprostřeny jako deštník nad informační sítí a fungují jako další vrstva inteligence, v níž může probíhat korelace informací a ze které je možné řídit a koordinovat obranu s pomocí různých typů bezpečnostních systémů.
Krokem k realizaci vize inteligentní informační sítě je bezpečnostní strategie Self-Defending Network společnosti Cisco Systems. Cílem této strategie je usnadňovat uživatelům efektivní správu bezpečnosti, omezovat rizika, jimž jsou vystaveny jejich síťové podnikové systémy a aplikace. Součástí této bezpečnostní strategie jsou funkce, umožňující dynamickou reakci na hrozby a útoky. Strategie Self-Defending Network stojí na třech funkčních pilířích. Je to systém koordinované ochrany před neoprávněnými průniky (Anti-X Defenses), zabezpečení aplikací (Application Security) a řízení sítě a omezování přístupu v souladu s bezpečnostní politikou (Network Control and Containment). Součástí strategie, která se prolíná přes všechny tři pilíře, je správa bezpečnostních informací (Security Information Management) se schopností automatizované reakce na útoky a proaktivní kontroly shody nastavení sítě s bezpečnostní politikou a prostředky bezpečnostního auditu.

Jaké je využití funkcí bezpečné sítě pro potřeby řízení provozního rizika?
Události, které představují riziko, je možné obecně rozdělit do několika kategorií: (1) interní a (2) externí podvod nebo krádež, (3) ztráta způsobená v důsledku praktik zaměstnanců a nedostatků v bezpečnosti práce, (4) ztráta v důsledku praktik klientů, obchodních praktik a postupů, (5) ztráta způsobená zničením fyzického majetku, přerušením kritických procesů nebo havárie systémů. Další kategorií jsou (6) události spojené s chybou v řízení, ve výkonu procesů, v dodávkách služeb nebo produktů. V neposlední řadě jsou to (7) události související s kvalitou produktů nebo služeb jako takových.
Nasazení bezpečnostních funkcí sítě slouží k prevenci některých z výše jmenovaných rizik. Funkce Anti-X Defenses snižuje riziko událostí, spadajících do kategorie externí elektronické krádeže, a také událostí přerušení kritických procesů nebo havárie systémů. Z technického hlediska tato ochrana kombinuje firewall, systém ochrany před neoprávněnými průniky IPS (Intrusion Prevention System), moduly pro odhalování anomálií a prostředky pro omezení následků útoku typu DDoS (Distributed Denial of Service). Je doplněna o řešení pro kontrolu provozu na aplikační úrovni, antivirovou a antispywarovou ochranu, ochranu koncových stanic a serverů s pomocí bezpečnostních agentů a filtrování URL adres. Podrobná kontrola provozu sítě účinně zabraňuje nežádoucím aktivitám nebo škodlivému kódu, jako jsou síťoví červi, v šíření sítí.
Zabezpečení aplikací (Application Security) snižuje riziko interní a externí krádeže. Poskytuje ochranu podnikových aplikací pomocí řízení přístupu na aplikační úrovni, šifrování, hloubkovou kontrolu protokolů, kontrolu signalizace IP telefonie nebo instantních zpráv a peer to peer aplikací, které mohou být zneužity k sofistikovanému útoku.
Funkce Network Control and Containment zamezuje riziku, které souvisí s nesprávnými praktikami zaměstnanců, ztrátou produktivity. Slouží také k vynucování bezpečnostní politiky týkající se nastavení koncových zařízení. Stejně tak přispívá k ochraně před interní a externí krádeží a před šířením škodlivého kódu. Z technického hlediska využívá řízení připojení do sítě (Network Admission Control), kontrolu identity uživatele, řízení přístupu k informačním zdrojům podle identity a ochranu dat uživatele při vzdáleném přístupu do firemní sítě z nechráněných počítačů.
Důležitou součástí řízení rizik je audit procesů a znalostí, ale také IT aplikací a infrastruktury. Implementované řešení by tedy mělo poskytovat funkce bezpečnostního auditu s pokud možno automatizovaným upozorněním na odchylky od stanovené bezpečnostní normy. Tyto funkce nabízí systém správy bezpečnostních informací.
Správně nasměrované investice, zaměřené na oslabení rizik spadajících do jedné nebo do více kategorií rizkových událostí, jsou součástí nákladů na shodu (Compliance Cost). Známá poučka z oboru řízení kvality praví, že vyšší (a inteligentní) náklady na shodu by měly následně vést k nižším nákladům způsobeným neshodou (Noncompliance Cost). Jinými slovy, rozumnou prevencí můžeme předejít škodám způsobeným zanedbáním rizika a ve výsledku ušetřit a ochránit společnost před ztrátou kredibility nebo negativní publicitou.

Juraj Rakovský, Business Development Manager Cisco Systems

Autor článku