Podívejte se na SaaS, Web 2.0 se sociálními sítěmi, množství nejrůznějších zařízení, která si zaměstnanci připojují ke svým pracovním počítačům a postavte proti tomu zpřísňující se legislativu, očekávání vašich zákazníků a jste zralí na odvoz k docentu Chocholouškovi.
Než ale v zoufalství začnete bušit hlavou do skříní v serverovně, zamyslete se nad tím, jak delegovat zodpovědnost těm částem podniku či úřadu tak, aby se o různé typy informací starali ti, kdo jsou jim dostatečně blízko. Z hlediska IT má totiž smysl nést zodpovědnost za výběr a nasazení technologií, která chrání data celopodnikově a nevyžadují zvláštní úpravy či speciální postupy vztažené například ke konkrétním úkonům. Budování bezpečnostního modelu založeného nikoliv na ochraně „perimetru“, ale dat samotných je sice náročné, leč do budoucna nevyhnutelné.
Zejména legislativa, jako je náš Zákon na ochranu osobních údajů či americké PCI DSS a „Soxley“, ale také proslavené úniky citlivých dat, jako byly případy v Boeingu či TJX Companies, vytvářejí stále větší tlak na hledání nového přístupu. Další oblastí, vedle zákaznických dat, v níž se podle průzkumů Forrester Research obává o únik až 85 % evropských a amerických IT profesionálů, je duševní vlastnictví podniků. To vše se přitom odehrává v době, kdy je řada IT rozpočtů zmrazena, omezena či seškrtána.
Tím největším nepřítelem je paradoxně technologický vývoj – zatímco před patnácti lety si o on-line konektivitě většina společností mohla nechat zdát a před pouhými deseti lety bylo vysokorychlostní připojení standardem pouze v akademickém světě, dnes jsou firmy připojeny linkami v řádu desítek až stovek megabitů – doba potřebná k přenesení citlivých informací se tak zkrátila o jeden až dva řády. Představa pronajímané IT infrastruktury či úložišť v „mraku“ situaci rozhodně neusnadňuje. Rychlý vývoj spotřebního IT (v poslední době často výrazně rychlejší než vývoj korporátního „železa“) navíc způsobuje, že zaměstnanci často chtějí využívat vlastní zařízení – další možný zdroj bezpečnostních rizik. Dodavatelé bezpečnostních řešení pečlivě sledují tento vývoj, aby nám s radostí a jiskrou v oku mohli nabídnout nepřebernou škálu řešení – programem pro šifrování disku v notebooku počínaje a řešením DLP (Data Loss Prevention) konče. Jenže nepřeberné množství úzce zaměřených bezpečnostních aplikací či všeobjímajících balíků poskládaných z kompletního produktového portfolia naši situaci jen komplikuje.
Čelíce těmto problémům se vedoucí IT či bezpečnosti rozhodnou jít s příslovečným kanónem na vrabce: všechno zašifrovat, nasadit centrální správu podnikových hesel, kontrolu přístupu k síti, vzdělávání zaměstnanců, zákaz připojování čehokoliv kamkoliv (bez přítomnosti jednoho či raději dvou zástupců IT). Jenže i takto tuhá opatření selžou jednoduše proto, že skutečné bezpečnostní hrozby spočívají v jednoduchých příčinách: informace v digitální podobě se prostě musejí hýbat z místa na místo, míra důvěrnosti informací často není navázána na určité pracovní procesy, technická řešení nejsou standardizována a těm, kdo by skutečně měli být zodpovědni, nebyly dány adekvátní pravomoce.
Pro úspěšné vytvoření efektivní bezpečnostní politiky je třeba znovu nastavit ty nejobecnější definice: co je třeba chránit, kdo to vlastní a jak ochranu vyřešit, tedy:
- 1. Definujte jasně, jaký podnikový obsah vyžaduje skutečně přísné zabezpečení. Nechráníte přeci jakási „podniková data“ a „duševní vlastnictví“ – to, co vám v žádném případě nesmí uniknout, jsou konkrétní informace: odhady výnosů, výkresy neohlášených výrobků a služeb či harmonogram na jejich uvedení na trh, systémová hesla, finanční modely a důvěrné osobní údaje vašich zákazníků či zaměstnanců. Zeptejte se jednotlivých oddělení, co jsou jejich „klíčová“ data, a dejte jim najevo, že jsou jejich vlastníci a měli by se podílet na jejich správě.
- 2. Delegujte zodpovědnost tam, kam skutečně patří – tedy do jednotlivých oddělení. Odpovědnost za citlivé informace a omezení jejich toku si musejí určit ti, kdo je využívají, nikoliv technici kdesi v zázemí. Jednotlivá oddělení by proto zároveň měla (spolu)rozhodovat o tom, jak budou informace zabezpečeny. Oddělení designu a vývoje by mělo vlastnit a spravovat CAD výkresy, finanční oddělení by mělo být zodpovědné za účetní informace a odhady výnosů. Jednotlivá oddělení by měla určit, kdo má a nemá mít přístup k citlivým údajům a jaký má být postup v případě jejich zneužití. Vaším úkolem pak je pomáhat jim s návrhem, výběrem, instalací a provozem technického řešení pro zabezpečení či přístup.
- 3. Navrhujte IT pracovní prostředí tak, aby nenutilo zaměstnance hledat únikové cesty. Přirozeným instinktem IT je fungovat jako mokrý hadr při hašení požáru – je to paralela k některým bezpečnostním balíkům, které po instalaci zpomalí počítač natolik, že s ním stejně nelze pracovat a je tedy naprosto bezpečný. Mnohem lepší je snažit se vytvořit prostředí, které motivuje k efektivitě, neklade překážky produktivitě a zajišťuje bezpečnost jaksi mimochodem. Vaše situace může pochopitelně vyžadovat odlišný přístup či invazivnější metody zabezpečení, upřímná diskuse o tom, jak jsou ve vašem podniku citlivé informace získávány a využívány, povede k řešením, která žádný univerzální bezpečnostní balíček nenabídne.
Konečným cílem takového snažení je zbavit se nálepky vševědoucího ochránce obsahu, cenzora či gurua přes zákonné normy a stát se poskytovatelem bezpečnostních nástrojů a politik, které jednotlivá oddělení využijí dle potřeby.