Firemní bezpečnostní politika existuje často jen na papíře

I když už nově stanovená bezpečnostní politika začne být nasazována, obvykle se ukáže, že řada procesů (především v oblasti IT, ale i jinde), které se ve firmě dosud používaly, jsou s těmito pravidly ve sporu. V tuto chvíli je třeba zdokumentovat, co je s bezpečnostní politikou ve sporu, určit rizika, která to přináší, odhadnout náklady na uvedení do souladu...Absence bezpečnostní politiky není dnes pouze záležitostí IT a ekonomických rizik vyplývajících z možného selhání systémů. Firmy se kvůli absenci bezpečnostní politiky mohou dostat i do legislativních problémů, pokud například neplní regulační požadavky/zajištění shody s předpisy. Těchto požadavků regulujících nakládání s důvěrnými daty přitom stále přibývá.
Jak to, že i tak dochází ve firmách k situacím, kdy bezpečnostní politika buď vůbec neexistuje, nebo není reálně nasazena?
Anton Chuvakin uvádí ve svém sloupku v americkém Computerworldu mj. následující mechanismus. Bezpečnostní politika se formálně a obecně projedná v rámci managementu, kde se stanoví její zásady. Příslušná pravidla však nejsou distribuována po celé organizaci a často nejsou ani dostatečně přesně zapsána, mají abstraktní charakter bez potřebné konkretizace.
I když už nově stanovená bezpečnostní politika začne být nasazována, obvykle se ukáže, že řada procesů (především v oblasti IT, ale i jinde), které se ve firmě dosud používaly, jsou s těmito pravidly ve sporu. To není překvapivé – bezpečnostní politika, pokud se stanovuje shora (což ale zase může být nutné kvůli legislativním požadavkům), nevychází z toho, jaké IT procesy právě reálně fungují. Potíž je, že v tuto chvíli je třeba zdokumentovat, co je s bezpečnostní politikou ve sporu, určit rizika, která to přináší, odhadnout náklady na uvedení do souladu a vůbec připravit celý proces. K tomu ale často nedojde, třeba i proto, že není jasné, kdo by za tento proces měl být zodpovědný, nebo proto, že je snazší se tvářit, jako by problém neexistoval...
Dalším problémem je, že protože proces vzniku a aplikace bezpečnostní politiky je takto komplikovaný, když už se jednou povede nějaký standard formalizovat, existuje logická potřeba se v něm dále nevrtat. Jenže ani to nevede k dobrým koncům: nasazuje se nový software i nové procesy. Pokud není bezpečnostní politika vzhledem k těmto změnám aktualizována, může se snadno stát, že nové technologie budou se stávající verzí politiky v rozporu. To obvykle stejně nezabrání jejich nasazení, výsledkem však bude, že bezpečnostní politika nebude v praxi dodržována, stane se opět pouze formálním dokumentem, který nikdo nebere vážně a je třeba spíše vymýšlet triky, jak ho obcházet („aby se vlk nažral a koza zůstala celá“). Znovu tu bude tendence zamést problém pod koberec a čekat, že se to nějak vyřeší samo od sebe...

Zdroj: Computerworld.com


Komentáře