Loading...

JAK NA BEZPEČNOST INFORMACÍ

Kybernetická bezpečnost – termín, se kterým se všichni setkáváme stále častěji v nejrůznějších situacích a v mnoha jeho podobách. Objevuje se v hlavních zpravodajských relacích televizních stanic, v novinách i časopisech, ozývá se z úst politiků, odborníků, komentátorů. Zpráva je většinou spojena s konkrétní hrozbou a končí ubezpečením, že v nejbližší době bude řešení této problematiky prioritou. Realita je ale často jiná. Proč?.

Možná za to může sám termín kybernetická bezpečnost. Možná, že termín „kybernetická“ je pro řadu z nás příliš tajemný, těžko uchopitelný, nesrozumitelný, respekt budící. Možná, že termín „kybernetický“ vyvolává dojem, že se jedná pouze o zadání pro odbor informatiky. Jak tomu pomoci? Stačí použít jinou terminologii. Pojďme společně řešit informační bezpečnost nebo ještě lépe bezpečnost informací. Definujme si, že se jedná o trvalé zlepšování ochrany cenných informací ve všech formách jejich výskytu. Tento jiný pohled často stačí na překonání počátečních obav a nechuti začít řešit bezpečnost informací jako další firemní proces.

Impulzem k řešení bezpečnosti informací mohou být např. medializované úniky dat nebo vyděračské praktiky založené na zašifrování uživatelských dat. Impulzem může být výše sankcí, které nově zavádí nařízení GDPR. Ale tím rozhodujícím impulzem by mělo být poznání, že informace jsou jedním z nejvýznamnějších firemních aktiv a takto je třeba k nim přistupovat. Informační bezpečnost není jen o technologiích, jedná se také o soubor povinností, zásad a pravidel, která jsou závazná pro každého uživatele či provozovatele informačních technologií a systémů.

Pro každou popsanou situaci bychom měli mít připravené řešení. Jak na to?

Inspiraci můžeme najít např. v normách řady ČSN ISO/IEC 27000. Překvapivě srozumitelnou formou nám poskytují metodickou pomoc, jak pokrýt všechny oblasti informační bezpečnosti. Je to jako puzzle, všechny kostičky do sebe zapadají. Zásadní je, že na žádnou kostičku nezapomeneme. Jen jí třeba přidělíme nižší prioritu a její realizaci naplánujeme na pozdější dobu. Proč vymýšlet již vymyšlené? Tento přístup zvolil i zákonodárce při formulaci zákona, který vychází právě z norem řady ISO 27000. Možná, že i vaše organizace se stává prostřednictvím novely tohoto zákona ze srpna 2017 povinnou osobou, jen o tom ještě nevíte.

Právě výše uvedený systematický přístup pomůže posoudit důležitost jednotlivých technických opatření, jejichž realizací bude postupně zvyšována informační bezpečnost. Stejně důležitá jsou i organizační opatření, která zvýší povědomí zaměstnanců o informační bezpečnosti a vynutí dodržování bezpečnostních pravidel. Není na čase zvážit, zda pravidelné školení zaměstnanců v této oblasti není stejně důležité jako školení řidičů referentských vozidel?

Nejdůležitější je osobní angažování managementu a jeho aktivní zapojení do těchto projektů. Nejen proto, že právě vrcholoví manažeři pracují s informacemi, které mají pro organizaci tu nejvyšší hodnotu, ale především proto, že bez přímé podpory vrcholového managementu nelze vybudovat funkční a účinný systém informační bezpečnosti. Je třeba zapojit všechny útvary, informační bezpečnost je o individuální odpovědnosti na všech úrovních a pozicích.

Ano, čeká vás spousta práce

AUTOCONT je připraven řešit informační bezpečnost společně s vámi. Stát se vaším partnerem, zainteresovanou stranou, řečeno terminologií výše zmiňovaných norem. Využijeme promyšlenou metodiku a doporučíme vám realizaci potřebných organizačních i technických opatření. Jsme připraveni převzít provádění každodenních operativních činností, protože je dokážeme automatizovat a zastřešit zkušenými odborníky.

Jednoduchý a názorný příklad

Útok vyděračů prostřednictvím tzv. ransomware. Došlo k zašifrování dat. Je okamžitě narušena dostupnost informací. Pokud nemáte zálohy nebo nejsou aktuální, dochází současně k porušení integrity informací. A pokud vyděrači data současně zkopírovali mimo naše úložiště, dochází i k porušení jejich důvěrnosti.

O co tady vlastně jde?

Informační bezpečnost je schopnost zajistit neustálou důvěrnost, integritu a dostupnost informací. Takto jednoduše definuje bezpečnost informací jak norma ISO 27001, tak zákon o kybernetické bezpečnosti stejně jako nařízení GDPR.

DŮVĚRNOST INFORMACÍ

Informace nejsou dostupné neautorizovaným jednotlivcům nebo procesům.

INTEGRITA INFORMACÍ

Jistota, že data nebyla a nebudou změněna.

DOSTUPNOST INFORMACÍ

Autorizovaní jednotlivci a procesy mají informace dostupné podle definovaných pravidel.

Tyto tři nedílné součásti informační bezpečnosti se následně aplikují do všech dílčích činností, do všech firemních procesů.

Jednou z možností je připojení do AC SOC (AutoCont Security Operation Centrum). Hlouběji se těmto službám budeme věnovat v následujícím vydání ELITY.

Josef Středa
bezpečnostní konzultant