Ako zaviesť informačnú bezpečnosť vo firme

10.12.2015

Ako zaviesť informačnú bezpečnosť vo firme? Na začiatok stačia štyri jednoduché pravidlá


Hodnota informácií vo firemnom prostredí s rozvojom moderných informačných technológií významne rastie. Kým v minulosti boli najdôležitejšími hodnotami výrobcov fyzické priestory tovární, stroje a materiál, v dnešnej dobe rozhodujú o úspechu a neúspechu v podnikaní práve informácie. Ich bezpečnosť je niekedy dokonca kľúčová pre prežitie firmy. Dôležité je, aby to mali na pamäti aj manažéri spoločností a dali zabezpečeniu informácií vo svojej firme vysokú prioritu. Nejedná sa však o jednorazovú aktivitu. Bezpečnosť sa nedá vyriešiť kúpením antivírového softvéru. Informačná bezpečnosť v spoločnosti musí byť zakomponovaná do každodenného fungovania firmy. V praxi to nemusí byť až tak zložité, ak sa dodržia tieto štyri pravidlá:

1. Bezpečnosť ako povinný bod posudzovania
Pri všetkých kľúčových aktivitách firmy musí byť posudzované, aké informácie sa spracúvajú, aké sú ich toky, ako sú priradené zodpovednosti a úlohy v rámci spoločnosti.

2. Je to citlivá informácia, alebo nie?
Na začiatku procesu musí byť informácia, či kategória informácií klasifikovaná, pre koho je určená, kto s ňou môže byť oboznámený, kto ju môže meniť a ako sa s ňou bude narábať po ukončení jej používania (archivácia a pod.). Toto je väčšinou riešené nastavením prístupových práv v systémoch, ako aj ochranou priestorov a fyzických dokumentov.

3. Aj informácie musia byť fit (aby boli užitočné)
Ďalším krokom je riadenie integrity informácií – aby nedochádzalo k porušeniu kompletnosti informácií, vypadnutiu časti záznamu, ale dôležité je tiež aj udržiavanie aktuálnosti a správnosti informácie.

4. Informácia je užitočná, len ak sa k nej dá (bezpečne) dostať
Napokon, štvrtým pravidlom riadenia bezpečnosti informácií je zabezpečenie ich dostupnosti – teda úlohou informačného systému je zabezpečiť, aby informácie boli dostupné „just in time“ pre pracovníka, ktorý ich potrebuje.

Čo môže spraviť vedenie firmy
Udržiavanie informačnej bezpečnosti vychádza vždy zo záväzku na úrovni vedenia spoločnosti. Ten sa následne implementuje do procesov a systémov v rámci spoločnosti. Tá musí posúdiť, ktoré informácie pre ňu majú najvyššiu hodnotu, ako sú zabezpečené pred únikom, neoprávneným prístupom, zmenou, stratou, a ako je riadený a monitorovaný prístup k nim. Na základe toho vyhodnotí hroziace riziká a uplatní protiopatrenia na ich zníženie.
 
O čo sa vedia postarať technológie
V oblasti aplikácie bezpečnostných opatrení prichádzajú k slovu moderné infokomunikačné služby. S ich pomocou je možné zabezpečiť informačné systémy, nastaviť komunikačné pravidlá a ochranu internej siete pred neoprávneným prístupom alebo zneužitím, najmä z prostredia verejnej internetovej siete. Pre internú komunikáciu zamestnancov je potrebné používať zabezpečené virtuálne privátne siete (Ethernet VPN, IP VPN) telekomunikačných operátorov a nie nezabezpečené verejné internetové prípojky.

Čo vie urobiť telekomunikačný operátor
Riadiť prístupu do internetu môže podnik s využitím vlastných zariadení alebo s pomocou služieb, ktoré ponúka telekomunikačný operátor. Ide o takzvané služby manažovanej bezpečnosti. Takisto aj zabezpečenie prevádzkových podmienok pre beh informačných systémov môže podnik zveriť profesionálom z dátového centra, ktoré poskytuje vysokú mieru ochrany a zabezpečenia zariadení (ochrana majetku, špičková požiarna ochrana, zabezpečenie stabilných klimatických podmienok pre zariadenia, zálohovanie napájania elektrickou energiou vrátane krytia dlhodobých výpadkov prostredníctvom dieselgenerátorov). Tie sú v dátovom centre niekoľkonásobne zabezpečené. Zákazníci tiež môžu využívať služby zálohovania svojich dát prostredníctvom služieb operátora. Profesionálne dátové centrum môže byť dôležitou súčasťou v takzvaných plánoch prevádzkovej kontinuity firmy – teda v návodoch, ako udržať firmu v chode aj v prípade krízovej situácie (náhradná lokalita, uloženie informácií pre obnovu systémov).

Namiesto vlastného servera virtuálny (ale ešte lepší)
Aj na Slovensku čoraz rozšírenejším trendom je využívanie virtuálnych serverov, ktoré prevádzkujú iné subjekty. Tento model prináša firmám viaceré výhody – nemusia zabezpečovať prevádzku vlastných serverov. Systémy bežia vo virtuálnom prostredí na špecializovanom zariadení v dátovom centre. S vysokým výkonom a niekoľkonásobným zálohovaním všetkých kritických prvkov. Firma môže priebežne a flexibilne meniť a dopĺňať počty serverov vo virtuálnom prostredí a požadovaný procesorový výkon, a tak priebežne prispôsobovať svoje IT vlastným požiadavkám bez jednorazových investícií do nákupu hardware. Navyše sa netreba zaoberať umiestnením serverov a diskových polí, riešením výpadkov a obnovou po nich. Na druhej strane je potrebné mať na pamäti, že ide o umiestnenie informácií v externom prostredí, teda je potrebné, aby si firma pred použitím takejto služby vopred preverila, akú platformu bude používať, kde je umiestnená, ako je zabezpečená a pod akú jurisdikciu (ktorej krajiny) spadá.

Podľa čoho sa zorientovať – štandard ISO
Významnou pomôckou pri posudzovaní informačnej bezpečnosti vo firmách je štandard ISO 27001, ktorého posledná revízia bola vydaná nedávno – v roku 2013. Štandard poníma informačnú bezpečnosť široko, od bezpečnostných politík, fyzickej bezpečnosti prostredí, prideľovanie zodpovednosti, cez riešenie incidentov a kontinuity až po požiadavky na vývoj a životný cyklus informačných systémov. Certifikácia spoločnosti podľa štandardu ISO 27001 znamená, že príslušná spoločnosť zodpovedne riadi bezpečnosť spravovaných informácií, čo zvyšuje jej dôveryhodnosť a spôsobilosť poskytovať tovary a služby svojim zákazníkom.


Ivan Leščák, Manažér pre reguláciu a prepojenie, BENESTRA, s. r. o.
  Originál článku bol uverejnený v PC REVUE č. 12/2015

Späť