5 minute read
Ako si overiť reálny stav informačnej bezpečnosti firmy?
Informačná bezpečnosť firiem – 3. časť
Ako si overiť reálny stav informačnej bezpečnosti firmy?
Advertisement
V súčasnosti asi len ťažko nájdeme firmu, ktorá by nebola existenčne závislá od informácií. Údaje o tom, aké zásoby má na sklade, koľko jej zákazníci dlžia, komu treba dodať tovar, alebo kto je objednaný na poskytnutie služieb, sú pre väčšinu firiem to najväčšie aktívum. Napriek tomu firmy pri ochrane tohto digitálneho majetku nie sú dosť obozretné. Paradoxne však väčšiu pozornosť venujú ochrane áut alebo montáži kamerových systémov.
Kde robia firmy chyby pri ochrane dát?
1. Nepoznajú hodnotu vlastných informácií
Keď som sa raz majiteľa dopravnej firmy opýtal pri vyjednávaní o cene zabezpečenia IT techniky, či by chcel radšej, aby sa mu pokazilo jedno z áut alebo server, odpovedal pohotovo: „Fúha, ak by mi dnes vypadol server, tak to tu môžeme zavrieť. Bez auta si pár dní poradím, ale bez počítačov nerozvezieme nič.“ Toto vyjadrenie jasne ilustruje situáciu aj v mnohých iných firmách. Často berieme počítače ako samozrejmosť a nevenujeme dostatočnú pozornosť ich bezpečnosti a bezpečnosti dát. Inými slovami, častou chybou je, že firmy podceňujú alebo nepoznajú hodnotu vlastných informácií.
2. Nevenujú dostatočnú pozornosť ich ochrane
Druhou veľmi častou chybou firiem je, že sa spoliehajú na svojho dodávateľa IT, nerozumejú sa jeho práci a príliš mu dôverujú. Majitelia a manažéri malých a stredných firiem sa zameriavajú na riešenie svojich pracovných úloh a spoliehajú sa na to, že ten šikovný chlapec, ktorý sem chodí zapájať tlačiarne a inštalovať softvér, sa stará aj o bezpečnosť dát – veď nainštaloval aj antivírus. V praxi je situácia zlá, externý dodávateľ, ktorý poskytuje IT služby, rieši veci zo svojho uhla pohľadu, spravuje a ochraňuje si veci po svojom a netuší, že používatelia nezálohujú lokálne súbory na určené miesto, že si inštalujú vlastný softvér, že poskytujú WiFi heslo návštevám alebo k účtovnému programu cez teamviewer pristupujú tretie strany bez akýchkoľvek obmedzení. Jednoducho povedané, firmy bezpečnosti nevenujú pozornosť, spoliehajú sa na „zázračné možnosti“ externého dodávateľa.
3. Nemajú plány v prípade porúch
Treťou chybou firiem je absencia plánu B. Vo firmách neexistujú plány, čo robiť v prípade, že sa pokazí server, vypadne prístup k internetu alebo počítačovú sieť napadne vírus. V praxi sa stretávam iba s predstavou, ktorá sa dá zhrnúť do vety: „Zavoláme nášho technika, on nám pomôže.“ V situácii, keď sa pokazí jedno PC, vypadne na pár hodín internet alebo sa zasekne tlačiareň, tak technik na telefóne je fajn. Firmy však musia mať plány aj na závažnejšie situácie, pri ktorých prestane fungovať úplne všetko, napríklad v dôsledku poruchy disku, na ktorom sú všetky dáta alebo vírusu, ktorý ochromí všetky počítače vo firme (napríklad ransomvér). Tu predstava, že to technik vyrieši bez toho, aby existovali záložné údaje mimo napadnutú sieť, alebo možnosť nahradiť server iným pripraveným riešením, nie je v praxi dostatočne rýchlo realizovateľná.
Ak to mám zhrnúť, tak firmy, ktoré nevenujú pozornosť ochrane údajov a neriadia svoju informačnú bezpečnosť, riskujú svoju existenciu. Ako to vyriešiť?
Ako začať s informačnou bezpečnosťou firmy
Záujem o riešenie musí vychádzať od vedenia firmy, od majiteľov, konateľov. Nedá sa spoliehať na dodávateľa, nech je akokoľvek ochotný, platí zásada: Dôveruj, ale preveruj. Treba si stanoviť rozsah úloh, ktoré sa týkajú zabezpečenia a kontrolovať dodávateľa, či naozaj robí to, čo treba. Ak sa o bezpečnosť stará zamestnanec, tak detto. V prípade incidentu sa totiž škoda môže vyšplhať veľmi vysoko a môže aj presahovať možnosti náhrad zo strany lokálneho poskytovateľa IT služieb.
1. Základom je analýza rizík
Každá firma, ktorá ešte neriešila bezpečnosť informácií, by si mala pripraviť zoznam aktív (t.j. všetkého, čo má pre nich hodnotu). Môže ísť o zoznam počítačov, serverov, nakúpeného softvéru, dát, ktoré tento softvér spracúva, online služby, ktoré firmy využívajú a pod. Tieto aktíva odporúčame oceniť. V prípade hardvéru je to ľahké, poznám jeho cenu, v prípade softvéru alebo údajov je ocenenie ťažšie, tu odporúčam hodnotu účtovníctva, hodnotu obchodných dát (zoznamy zákazníkov, obchodné prípady a pod.) oceniť sumou, ktorú by ste boli ochotní „zaplatiť“, aby ste ich získali späť. Ľahko sa môže stať, že si tieto dáta oceníte na sumu podobnú obratu vašej firmy.
Potom sa zamyslite nad hrozbami, ktoré tieto aktíva prinášajú. Počnúc fyzikálnymi (napr. požiar, voda), kybernetickými (vírusy, hackeri), cez poruchy a havárie, až po úmyselne spôsobené zamestnancami (krádeže, poskytnutie dát konkurencii a pod.) a následne zvážte, aké je riziko, že sa hrozby naplnia (napríklad vysoké, stredné alebo nízke).
Aj z jednoduchej analýzy rizík sami uvidíte, čo má pre vás hodnotu, čo musíte chrániť v prvom rade. A ako vaše aktíva chrániť? Treba si určiť (spísať) zoznam opatrení, ktoré uvedené riziká znížia alebo úplne eliminujú.
2. Opatrenia pre elimináciu rizík
V malej firme si pod týmto pojmom môžete predstaviť pravidlá, ktorými určíte, ako budete svoje informácie chrániť. Počnúc zabezpečením budovy a miestností (dvere, zámky, protipožiarne opatrenia) cez zabezpečenie počítačov (mená, heslá, aktualizácia operačného systému, pravidlá pre firewall, antivírus), ochranu pred krádežou (šifrovanie USB kľúčov, notebookov, mobilov, šifrovanie e-mailu), pravidelné zálohovanie (minimálne dve zálohy, jednu lokálnu a jednu mimo budovy pre prípad veľkých škôd), až po pravidlá, ako budete prístup k dátam udeľovať externým pracovníkom, dodávateľom a podobne.
Myslite aj na plány úplnej obnovy, napríklad ako budete postupovať v situácii, kedy budovu a počítače úplne zničí povodeň, či požiar. Či budete mať aktuálne záložné dáta uložené na USB alebo v cloude. Či nakúpite nové počítače a softvér, aby ste ich mohli použiť, alebo si prenajmete aplikácie online. To všetko treba mať zdokumentované, aby sa v prípade incidentu dalo postupovať podľa plánu aj v prípade, že budú kľúčoví zamestnanci alebo dodávateľ IT na dovolenke.
3. Kontrolovanie a vylepšovanie
Bezpečnosť firemných údajov je živý proces, treba sa jej venovať priebežne. Nestačí mať plány a postupy v zásuvke, treba ich denne dodržiavať a vedenie musí byť v tomto smere pre zamestnancov príkladom. Ak sa zavedú nové systémy, aplikácie alebo sa objavia nové hrozby – treba reagovať a bezpečnostné pravidlá doplniť a upraviť.
Z každého bezpečnostného incidentu, by sa firmy mali poučiť, zistiť, čo urobili zle a do budúcnosti to vymyslieť inak a lepšie.
