Bezpečnost informací

Ztráta nebo poškození firemních dat, vyzrazení obchodního tajemství, únik informací o zákaznících, infiltrace systémů. Finanční dopady pohybující se ve statisících korun za každý z bezpečnostních incidentů. Poškození reputace. Vaše noční můra?

Obrovské možnosti, které s sebou přináší dnešní doba, se mohou opravdu snadno stát noční můrou. Nové technologie znamenají obrovský potenciál a obchodní příležitosti, které zde ani nemusíme vyjmenovávat. Zároveň však společnosti pohybující se v rychle se vyvíjejících ekonomikách čelí rostoucímu riziku, jež v první řadě ohrožuje jejich vlastní zájmy. Informační bezpečnost je cestou k předcházení výše zmíněným katastrofickým scénářům a právem se stává rozhodujícím činitelem při zvyšování výkonnosti podniku.

SOULAD S LEGISLATIVNÍM RÁMCEM

Jedním z klíčových kroků k informační bezpečnosti je posun ve vnímání dopadu zákonných předpisů. Soulad s legislativním rámcem by neměl být považován za rušivý element nebo brzdu, ale za prvek umožňující v podnicích prosadit vyšší míru zabezpečení před riziky. Právě dodržování předpisů bylo v nedávném průzkumu Ernst & Young nazvaném "Dosažení úspěchu v globalizovaném světě - Používáte bezpečný způsob?" vyhodnoceno jako faktor, který se největší měrou podílel na rozvoji a zvýšení informační bezpečnosti.

Obchodní svět je strukturován předpisy, jako je americký Sarbanes-Oxleyův zákon nebo evropské Basel II či osmá direktiva Evropské unie. Mezi těmito mantinely se pohybují specialisté na informační bezpečnost, kteří za pomoci informačních technologií, finančního a interního auditu a vedení společností posilují či teprve vytvářejí vnitřní kontrolní prostředí. Podle zmiňovaného průzkumu je právě neschopnost dostát legislativním požadavkům jedním z největších rizik, se kterými se společnosti musejí vypořádat.

Průzkum stavu informační bezpečnosti v ČR 2005 (PSIB 05), provedený ve spoluprácí Ernst & Young, časopisu DSM - Data Security Management a Národního bezpečnostního úřadu, ukázal, že společnosti v ČR nevnímaly legislativní tlak na prosazování informační bezpečnosti jako významný faktor. Výsledky provedeného auditu či doporučení auditora byly chápány jako důležitější faktory a za nejsilnější okolnost vůbec byla považována hrozba útoku či propojování informačních systémů. Otevřenou otázkou zůstává, zda letošní průzkum PSIB ukáže měřitelný posun ve vnímání okolností ovlivňujících informační bezpečnost a zda výsledky budou v souladu s mezinárodními trendy.

ŘÍZENÍ RIZIK VE VZTAZÍCH SE TŘETÍ STRANOU

Společnost se stává ještě zranitelnější v okamžiku, kdy některou ze svých aktivit týkajících se údajů o zákaznících nebo zaměstnancích outsourcuje třetí osobě. Jen zlomek společností si totiž ověřuje zabezpečení svých outsourcingových partnerů a dodavatelů.

Ovšem i v této oblasti dochází ke změně v přístupu společností: nyní se dívají na to, kdo je jejich partner nebo dodavatel a jak má zabezpečené informace. Pokud by to nedělaly, mohlo by to pro ně mít dalekosáhlé následky. Po teroristickém útoku blízko Bombaje je totiž pozdě ptát se, jestli váš outsourcingový partner měl havarijní plány.

Také dodavatelé si uvědomují tento trend a přizpůsobují se mu: v průzkumu uvedli, že v budoucnu plánují věnovat více času na dodržování certifikačních požadavků a požadavků obsažených v již uzavřených dodavatelských smlouvách. Můžeme tedy očekávat, že význam auditů podle SAS 70 a ISO 27001 nadále poroste. Pro dodavatele je to prostředek, jak ukázat, že jejich vnitřní kontrolní systém a způsob zacházení s informacemi je bezpečný, tedy že potenciální obchodní partner se nemusí obávat, že se jeho data dostanou do nepovolaných rukou či že dojde k neodhalenému pochybení při jejich zpracovávání.

Již zmiňovaný PSIB 05 ukázal, že v ČR se většina společností nezajímá, jaká je úroveň informační bezpečnosti u outsourcingového partnera, nebo úroveň zabezpečení považuje za srovnatelnou se stavem ve své společnosti. Jen velmi malé procento outsourcingových společností si nechává posoudit úroveň informační bezpečnosti nezávislou třetí stranou. Nový průzkum ukáže, nakolik se i v této oblasti české společnosti začaly přiklánět k celosvětovým trendům.

JAK SI STOJÍME: BENCHMARKING

V zájmu společností je ukázat, že si význam informační bezpečnosti plně uvědomují, zavádějí příslušná opatření a neustále je prověřují a zlepšují. S tímto přístupem firem roste na významu i benchmarking. Společnosti se tak nepoměřují jen vůči stanoveným standardům, ale i s nejlepší praxí a vedoucími společnostmi v této oblasti.

Benchmarking na základě standardu ISO 17799 představuje jednoznačný a spolehlivý nástroj ověření informační bezpečnosti. Poskytuje přesný obrázek stavu společnosti z hlediska plnění bezpečnostních opatření, umožňuje sledovat postup a nabízí grafické zaznamenání výsledků benchmarku, jež je srozumitelnou formou prezentuje managementu a zaměstnancům společnosti.
Výhled do budoucnosti informační bezpečnosti tedy poodkrývá jasně profilované priority: dodržování zákonných předpisů, ochranu osobních a soukromých dat, certifikaci a benchmarking, vše pod zastřešujícím tématem řízení rizik. Informační bezpečnost nikdy nebyla tak diskutovaným tématem jako nyní, kdy si stále více společností uvědomuje její význam. Je totiž podmínkou pro dosažení širších obchodních cílů.

Autor je manažerem oddělení řízení technologických a bezpečnostních rizik Společnosti Ernst & Young.