Bezpečnost informací a GDPR dneška
Asi největším tématem, které v dnešní době rezonuje ve společnosti z oblasti informačních technologií, je kybernetická, resp. bezpečnost informací, jak se tato disciplína správně nazývá. Vedení firem si začíná uvědomovat, že pokud zaměstnanci pracují z domu, mělo by být jejich připojení a práce s daty řádně zajištěno, což jim v dobách kancelářských až tak důležité nepřipadalo.
Dodavatelé se v tomto směru taky činí a je někdy docela úsměvné sledovat, co se na trhu děje. Ale to je v pořádku, je to jejich práce a na trhu je spousta kvalitních řešení, která pomohou.
Ale není to jen o tom.
Je nepochybně dobře, že k tomuto procesu uvědomění dochází. Hrozby tady reálně existují a oproti jiným hrozbám mají svá specifika. Zatímco na ochranu před úrazem elektrickým proudem stačí vyvěsit cedulky „Nedotýkejte se drátů spadlých na zem“, tady to až tak moc neplatí. Hrozby bývají skryté, permanentní a velmi rychle se vyvíjejí. Současně dochází ke změně motivace útočníků, kterým již nejde o nějaké honění si vlastního ega, ale o čistý business, tedy o prachy.
Základní otázka tedy je – Co s tím? V rámci přípravy tohoto článku jsme komunikovali s řadou specialistů, od auditorů bezpečnosti informací, přes dodavatele řešení až po poskytovatele služeb. Některé jejich názory jsme publikovali v letošním prvním vydání magazínu Priority Business & Government, kde se tomuto tématu chceme pravidelně věnovat.
Takže odpověď na naši otázku je jednoduchá – nepanikařit.
První věc, kterou je třeba si uvědomit, je, co chráníte a jakou to má hodnotu. Je to podobné jako v normálním světě, kde například zvažujete, jak zabezpečit váš dům. Víte kolik stál, odhadujete, jak jeho cena poroste a uvědomujete si, že největšími hrozbami jsou požár, vykradení a taky byste měli něco udělat s těmi řidiči, kteří nevybrali zatáčku a už dvakrát se vám probourali do obýváku.
Pravděpodobně použijete kombinaci požární signalizace, alarmů, včetně napojení na pult centralizované ochrany, možná nainstalujete kamerový systém, nezapomenete si sjednat pojištění a před plot umístíte betonové zátarasy. Když ani ty nepomohou, tak dům prodáte a koupíte si jiný na bezpečnějším místě, kde nejezdí auta a místo zátarasů se budete kochat výhledem do přírody. Teda pokud zrovna nebudete chystat pasti na kuny, aby se vám nenastěhovaly na půdu a hryzaly dráty. Všude je prostě něco.
S IT je to podobné. Je potřeba si uvědomit, co a proti čemu chráníte. Zálohujete? Nepochybně ano. Je vaše zálohování dostatečné proti malware, které se vám tam týden potuluje a máte ho i ve všech vašich zálohách? Zkoušeli jste vůbec obnovu?
Používáte antiviry? Kontrolujete a víte, zda probíhají aktualizace nebo s jakými hrozbami uživatelé zápasí? Komentář „Mi to pořád něco hlásilo, tak jsem to vypnul“ pak vůbec nebude vypadat stejně legračně, jako v tomto článku. Nebo z jiného soudku – kolik peněz jste dali za GDPR? Víte vůbec, co vám hrozí a jaká je výše případné škody? Nevyhodili jste půlmíč za ochranu před pokutou ve výši dvaceti litrů?
Asi bychom mohli pokračovat, ale to není cílem. Pokud se zamyslíte nad předchozím odstavcem, musíte dojít k přesvědčení, že otázka bezpečnosti informací, není záležitostí ajťáků, ale managementu. Ostatně i norma ISO 27000 pracuje se čtrnácti oblastmi, které je potřeba v rámci zabezpečení vašich informací brát do úvahy. A nejedná se určitě jen o zázračné krabičky, které všechno vyřeší. Z velké části se jedná o organizační a režimová opatření.
Ne, nebojte se, rozhodně vás nebudeme tlačit do nějaké certifikace. Domníváme se ale, že využít tohoto členění k provedení sebehodnocení stavu bezpečnosti informací určitě neuškodí. Proč vymýšlet vymyšlené? Považujeme za dobré si nalít čistého vína a říct si, jak na tom jste. Je jasné, že každá oblast bude vyžadovat jinou úroveň implementace a dosažení jiného stupně zralosti. Něčemu je prostě potřeba se věnovat více.
Rádi vám s tím pomůžeme. Jednak proto, že používáme osvědčenou metodiku, postavenou na ISO 27000, používanou předními společnostmi a taky proto, že si myslíme, že pohled zvenčí je tak nějak objektivnější.
Pokud jste dočetli až sem, děkujeme za váš čas. Nechtěli jsme vám přidělávat starosti. Snažíme se, pokud možno věcně a rodnou řečí, popisovat a vysvětlovat, o čem ta ochrana vlastně je. Určitě neumíme všechno, ale rádi vám pomůžeme vstoupit na cestu k informační bezpečnosti a být na ní vašimi původci.
Jak pracujeme:
- Spolu s vámi ustanovíme odpovědné osoby za jednotlivé oblasti, říkejme tomu třeba bezpečnostní výbor.
- Spolu s nimi si projdeme a zpracujeme jednoduchý dotazník, kde zjistíme, jak jsou opatření ve vaší společnosti implementována. Tento stav oznámkujeme jako ve škole, ale naopak.
- Výsledky si společně projdeme a řekneme si kde vás, vlastně teď už nás, tlačí bota a na jakou známku se chceme dostat.
- A začneme na sobě makat. Trvale. Je to tak trochu napořád. Když si zlepšíte fyzičku na 20 kliků a pak se na to vykašlete, tak za půl roku jich uděláte s bídou 10. Tady je to stejné. Nemakáš – nestíháš.
- Začneme pracovat s uživateli, školit, upozorňovat, testovat. Permanentně. Jsou největší hrozbou, krabičky vše nespasí a vy si na nich ve finále nic nevezmete. Tohle bude možná nejlépe investovaných patnáct minut jejich času týdně.
- Pokud se nám to bude oběma líbit a budeme si věřit, tak spolu můžeme jít dál, odborně se tomu říká outsourcing manažera informační bezpečnosti. Psali to na internetu.
Budeme rádi, pokud nám napíšete svůj názor, nebo přímo projevíte zájem o spolupráci na adresu itsecurity@4machines.cz.
To, že je informační bezpečnost, včetně ochrany osobních údajů známém jako GDPR, stále aktuální téma, dokazuje jasně současné vládní nařízení o povinném testování. Už víte, jak a na jak dlouho budete uchovávat čestná prohlášení, výsledky testů a seznamy pracovníků a kdy je můžete skartovat? Nezvyšuje se v souvislosti a rostoucí nespokojenosti obyvatel, a zaměstnanců, hrozba, že vaši firmu někdo udá?
I s tím vám zkusíme pomoc.
V dalších článcích se vás pokusíme seznámit s jednotlivými oblastmi, které mají na bezpečnosti informací dopad a kterými je potřeba se nějak zabývat.