Spotrebak.cz - sponzor E-komerce
 Sponzoři 
 Hledání 
 Newsletter 
 Reklama 
 Diskuze 
 Bez komentáře 
Vše pro váš digitální fotoaparát!

Bezpečnostní situace ve větších podnicích

Každý podnik je v permanentním ohrožení, například svými konkurenty na trhu. Pokud se zrovna nejedná o monopol, ale i ten je ohrožen např. státním regulátorem.

Vymezím se nyní pouze na hrozby týkající se informační bezpečnosti např. hrozby útoku z Internetu proti aplikačním serverům, případně interním systémům společnosti, hrozba virů, nepovolená modifikace nebo prozrazení interních dat administrátorem. Alternativně je možno uvažovat také bezpečnost fyzickou, tj. přístup do budovy, fyzickou ochranu aktiv společnosti, např. trezory apod. V první řadě to ale bude bezpečnost informační.

Domnívám se, že adekvátní členění pro srovnání je v tomto případě podle závislosti klíčových obchodních procesů na korektní funkci systémů implementovaných za pomocí informačních technologiích. Rozliším dvě skupiny podniků:

  • podniky, jejichž obchodní procesy jsou vysoce závislé na funkci IT
  • podniky, u kterých je IT bráno spíše jen jako doplňková činnost, resp. se IT přímo nepodílí na klíčových obchodních procesech společnosti.

Do skupiny podniků dominantně závislých na funkci IT lze zařadit např. banky, mobilní operátory, poskytovatele Internetu, nebo třeba jadernou elektrárnu a její řídicí systémy. Do druhé skupiny lze zařadit podniky průmyslové, zabývající se např. zpracováním surovin, těžbou, potravinářství apod.

V případě těch druhých jsou výsledky v podstatě pesimistické, a dá se obecně říci, že tyto podniky ohroženy informačními hrozbami jsou. Na vině je často neexistence konceptu a poněkud nesystematické zavádění a práce s IT bez ohledu na bezpečnostní problematiku. Zde se jedná zejména o neexistující procedury a postupy pro práci s IT, neexistence politiky přístupu uživatelů ke sdíleným datům, požadavky na autentizaci apod. Takováto pravidla, formálně známá jako bezpečnostní politika informačního systému, často ve společnosti chybí. Protože tato pravidla jsou základem pro implementaci dalších bezpečnostních prvků a systémů, je zřejmé, že následná implementace přejímá tyto neduhy a zabezpečení systému je tak nedostatečné.

V případě bank, telekomunikací a dalších podniků, ve kterých jsou požadavky na korektně fungující IT klíčové a také případné dopady při vzniku problémů jsou dominantní je stávající situace bezpečnosti v celé řadě případů na dobré úrovni. Existují ale také firmy (například poskytovatelé Internetu), ve kterých bezpečnost není řešena dostatečně kvalitně nebo vůbec. Obecně lze říci, že podniky jako jsou banky, mobilní operátoři, letecké společnosti a společnosti s podobným finančním zázemím, mají svá rizika a hrozby pod kontrolou, provádějí periodické audity, systémy trvale monitorují apod.

Na druhou stranu celá řada podniků, ve kterých je IT dominantní, ale finanční prostředky nejsou k dispozici nebo nejsou pro bezpečnost vyhrazovány, je vystavena široké škále hrozeb. Případy takových podniků jsou např. společnosti softwarové, případně poskytovatelé Internetu, kteří jsou hlavně zaměřeni na zaručení kontinuity, méně už ale na bezpečnost.

Typickým problémem těchto firem je nekoncepční přístup k bezpečnosti, neznalost potenciálních hrozeb a případných dopadů. Výsledkem je pak nedostatečné nebo chybějící zabezpečení jak jejich internetových serverů tak i interních systémů.


Vnitřní bezpečnostní hrozby

Existují metodologie, které na základě znalostí procesů v podniku a potenciálních hrozeb pro tyto procesy, dovedou modelovat rizika a navrhovat případná protiopatření, aby tato rizika a tím i dopad hrozeb byly minimalizovány.

Tato metodologie je realizována pod souhrnným názvem bezpečnostní audit a lze říci, že proto, aby byly efektivně a efektně minimalizovány hrozby uvnitř podniku, je potřeba provádět pravidelné bezpečnostní audity.

Součástí bezpečnostního auditu a činností, které je třeba provádět jsou například:

1. Znalost a identifikace potenciálních hrozeb a jejich dopadů na aktiva resp. obchodní procesy společnosti.

2. Návrh a schválení bezpečnostní politiky. Bezpečnostní politika je souhrn pravidel, které je třeba implementovat a dodržovat, aby riziko hrozeb bylo minimalizováno.

Tato pravidla jsou pouze formální, měla by být schválena managementem společnosti a jejich dodržování vynucováno, případně penalizováno.

Jedná se například o soupis povinností a práv uživatele v lokální síti, povinnosti a práva jednotlivých pracovníků. Odpovědnosti pracovníků při provádění svěřených činností jako je administrace nebo údržba systému. Požadavky na kvalitu autentizačních mechanismů apod. Požadavky na fyzickou bezpečnost, požadavky na přístup k datům zvenčí. Tato pravidla pak musí být implementována v další fázi.

3. Implementace bezpečnostní politiky. V této fázi jsou formální pravidla bezpečnostní politiky implementována například zavedením autentizačních mechanismů pro přístup do jednotlivých částí budovy, zabudováním monitorovacích mechanismů, zabezpečením přístupu do počítačové sítě.

Implementace ochranných mechanismů na klíčových serverech, implementace monitorovacích mechanismů a metod reakce při výskytu incidentu, ochrana sítě před neoprávněným přístupem z Internetu, ochrana dat klientů, implementace antivirového software, šifrování nejcitlivějších dat apod.

V této fázi jsou aplikovány výsledky z předchozích kroků. Zejména je důležité použít při implementaci bezpečnostní politiky taková opatření, která budou účinně eliminovat zjištěné hrozby, chránit obchodní procesy a data společnosti a u kterých bude vhodně vyvážen poměr mezi náklady na jejich implementaci a výší škod, které by mohly společnost postihnout v případě absence těchto protiopatření.

4. Při implementaci je nutno klást důraz na to, aby vše bylo dobře zdokumentováno a vytvářet také současně specifické dokumenty, které informují o implementovaných technologiích, metodách jejich řízení, obnovy, zaručení jejich kontinuální činnosti apod. Například metodologie pro administraci interních databázových serverů, nebo třeba soupis činností které je potřeba provést, když zaměstnanec ztratí čipovou kartu, kterou autentizoval přístup do budovy apod.

5. V další fázi je pak nutné vše otestovat, zda konfigurace odpovídají zadání a zda nedošlo někde k chybě a pak především řídit, kontrolovat, udržovat, aktualizovat apod.

Při opakovaných bezpečnostních auditech pak již probíhá pouze aktualizace stávajícího stavu, dokumentace, případně implementace silnějších mechanismů zabezpečení.

Největší problém při realizaci těchto opatření je jako obvykle problém finanční, zejména nedostatek uvědomění v řadách managementu, případně oddělení zodpovědná za rozdělování financí.


Celkový stav bezpečnosti IS v ČR

Domnívám se, že společnosti, které jsem v první části uvedl ve skupině, která dobře řídí bezpečnost svého IT (banky, mobilní operátoři apod.) je srovnatelná s Evropou a může s ní směle soupeřit.

Ostatní společnosti jsou již na tom hůře. Je to dáno zčásti nedostatečným podvědomím o bezpečnosti, zčásti také pozdějším přechodem na elektronické zpracování informací a elektronickou komunikaci. Celkově bych řekl, že za tou částí Evropy, která udává směr a je reprezentována ekonomicky nejsilnějšími zeměmi, jsme v oblasti informační bezpečnosti a ochrany dat pozadu.

Situace je ale jiná podnik od podniku a těžko lze srovnávat zabezpečení dvou různých firem z různých zemí a porovnávat jejich úroveň zabezpečení. I v Evropě - uvažujme nyní Evropskou Unii - podle mého názoru najdeme země, ve kterých je přístup k informačním technologiím a bezpečnosti na podobné úrovni jako v České republice nebo případně i horší.

Autor: Miloš Urbánek
Datum: 13. června 2002



 Profil autora  

Miloš Urbánek

Autor je Security Consultant společnosti ZOOM International


 Sdílet článek  
Facebook Facebook   Jagg Jagg.cz   Linkuj Linkuj.cz