Aktuální číslo časopisu Ekonom
Hlavní myšlenka: Faktorů ohrožujících bezpečnost informačních systémů je mnoho a jejich potenciální závažnost roste. Ochrana před riziky IT se často vidí jen v technických a organizačních řešeních realizovaných striktní formou příkazů, zákazů a směrnic. Zapomíná se přitom na lidi: jak to přijmou a pochopí, jak budou reagovat, co formuje jejich postoje, motivaci a loajalitu k firmě.
Úsilí o bezpečnost informačních systémů začíná definicí možných hrozeb. Od toho se odvíjí politika bezpečnosti, která se pak specifikuje do souboru pravidel usměrňujících pracovní jednání uživatelů. Následuje implementace systému bezpečnosti, řízení a kontrola zajištění bezpečnosti v praxi. Jde o neustále se opakující proces: prohlubuje se poznání hrozeb, vznikají nové hrozby i nové způsoby zabezpečení. Jakmile známe hrozby a potenciální rizika, je třeba je analyzovat, a pak teprve začít koncipovat politiku bezpečnosti IT.
Politika bezpečnosti říká, co je a co není dovoleno, definuje bezpečnost pro jednotlivé podnikatelské jednotky a systémy. Nezbytnou součástí politiky bezpečnosti jsou jasně uvedené sankce za nedodržování procedur bezpečnosti. V praxi se často definují povinnosti, ale neuvádí se, co následuje, když tyto povinnosti nejsou plněny. To je dost závažná chyba.
Jednotlivé části politiky bezpečnosti se snadno mohou dostat do vzájemného rozporu. Pokud k tomu skutečně dojde, vznikají nová zranitelná místa celého systému IT. Dobrou zásadou proto je uvažovat při koncipování politiky bezpečnosti realisticky a držet se pravidla "Méně je více!".
Analýza rizika v oblasti IT je založena na základních otázkách:
- Před jakými hrozbami bychom se měli chránit a které naopak akceptovat? Při odpovědi na tuto otázku musíme analyzovat náklady na předejití riziku:
- Je levnější preventivní ochrana nebo obnova a zotavení se z následků hrozby?
Analýza účinnosti uvažovaných bezpečnostních opatření vyžaduje odpovědi na otázky:
- Jsou uvažovaná opatření k zajištění bezpečnosti v souladu se zákony?
- Budou na tato opatření lidé reagovat podle očekávání, tj. s pochopením a pozitivně?
Lidské hrozby jsou vnitřní i vnější. Tzv. outsideři mají snahu narušit bezpečnost informačních systémů z vnějšku organizace. Naproti tomu insideři (zaměstnanci či pracovníci dodavatelů) jsou lidé, kteří mají oprávnění k přístupu do systému, ale používají data nebo zdroje a prostředky IT neoprávněným způsobem. Podle některých odhadů mají insideři na svém kontě 80 až 90 % všech problémů bezpečnosti informačních systémů.
Pět nejnebezpečnějších provinění koncových uživatelů IT
1. Postupují v rozporu s politikou bezpečnosti informačních systémů.
2. Posílají podniková data do své domácí pošty.
3. Vkládají do systému data z nedůvěryhodných zdrojů na webu.
5. Nedbají na zásady fyzické bezpečnosti.
Lidé tyto chyby často nedělají se zlým úmyslem, ale obvykle pouze z pohodlnosti, z nedbalosti, z nedocenění potřeby dbát na bezpečnost, z neznalosti zásad bezpečnosti a podceňování rizik.
Přístupová hesla. Odborníci na bezpečnost IT často doporučují zavádět do praxe dlouhá a složitá hesla, která je navíc nutno často měnit. Zdůvodňuje se to podstatně menší pravděpodobností jejich rozšifrování neoprávněnými osobami. Uživatelé však obvykle nejsou s to si taková hesla zapamatovat, zejména když musí používat různá hesla pro různé systémy. Proto si je často zapisují na lístečky a přilepují na monitor, nebo uloží do horní části první zásuvky stolu, případně všechna hesla umístí do jednoho snadno dostupného souboru v jejich PC. Lepším řešením jsou proto krátká hesla, která si lidé mohou sami navrhnout a snadno zapamatovat. Lze je sice snadněji rozšifrovat, ale faktem je, že většina bezpečnostních incidentů má svůj původ u insiderů, kteří se dostanou k heslu prostřednictvím zneužití lidské slabosti.
Hlavní zásada: K bezpečnosti informačních systémů je třeba přistupovat systémově. To je první zásada, kterou je třeba respektovat. Druhou zásadou je, že lidé jsou součástí systému. V návrhu zabezpečení informačních systémů je proto vždy třeba počítat s chováním lidí. Optimálním přístupem k problematice bezpečnosti je návrh nikoliv maximalistického, ale realistického systému ochrany.
V optimálním případě dokáže management firmy lidi motivovat k pocitu sounáležitosti s firmou, kdy zaměstnanci považují problém bezpečnosti informačních systémů za svůj vlastní existenční zájem.
*) Pořadatelem konference IT Security 2006 byla vzdělávací společnost IIR (Institute for International Research).
Zaujal vás článek? Pošlete odkaz svým přátelům!
Tento článek je odemčený. Na tomto místě můžete odemykat zamčené články přátelům, když si pořídíte předplatné.
Newsletter týdeníku Ekonom.
Odhlásit se můžete kdykoliv.
Přihlášením k newsletteru beru na vědomí, že dochází ke sbírání a zpracování osobních údajů. Více informací o zásadách ochrany osobních údajů naleznete ZDE.
