Nakupujeme bezpečnostní řešení

Při výběru a nákupu bezpečnostních řešení řeší IT manažeři zapeklitý problém, jak maximálně ochránit firmu s vynaložením co možná nejmenších nutných nákladů. A pokud už se to někomu přece jen podaří, číhají na něj zástupy vlastních lenivých a neznalých uživatelů, kteří dokáží být nebezpečnější než skupinka protřelých hackerů.

Nejjednodušší metodou ověření zabezpečení firemního IT je si to vyzkoušet: "A nejlépe nezávislým subjektem, který má zkušenosti, není znalý vnitřních procesů firmy, a tím pádem provede test důkladně i pro oblasti, které většinou firma považuje za samozřejmé," radí Pavel Náplava, IT Security Specialista společnosti Sitronics Telecom Solutions.
Všechno ale podle Náplavy něco stojí a ne každý si může dovolit nechat provést důkladné testy: "Často to ani není nutné. Rozumným kompromisem je ověřit si alespoň základní zabezpečení pomocí volně dostupných nástrojů vlastními silami a teprve v případě pochybností nebo nedostatku vlastních kapacit provést vybrané testy prostřednictvím externího subjektu."
Je prý také dobré nezapomenout prozkoumat dodržování a znalost pravidel používání prostředků uživateli: "Nejlépe jako první krok a teprve následně se věnovat těm ostatním, protože na co je nám super ochrana, když s první chybou uživatele je degradována na nulovou ochranu. A to včetně administrátorů."
Aby bylo možné vůbec ověřovat stav IT bezpečnosti, doporučuje Vladimír Brož, Territory Manager pro ČR a SR společnosti McAfee, nejprve stanovit vnitřní bezpečnostní politiku IT a zvážit míru rizika plynoucí z možného bezpečnostního incidentu, ať již se jedná o vnější nebo vnitřní hrozby: "Každá společnost může mít míru rizika jinou. Pro obecné hodnocení existují celosvětově uznávané normy - BS7799, Basel II či ITIL. IT bezpečnost by měla být nastavena i v závislosti na obchodních procesech čili by se měly propojit procesy, lidské zdroje a technologie."
Každá společnost by podle Hanuše Adlera, ředitele společnosti Actinet, především měla mít jasno v tom, jaké hodnoty chrání a jak jejich ztráta nebo prozrazení ovlivní další rozvoj společnosti: "Na základě těchto informací a analýzy rizik se definuje bezpečnostní politika organizace, která chráněné hodnoty popíše a stanoví odpovídající požadavky na zabezpečení. Tyto požadavky jsou plněny přiměřeným a hlavně konzistentním nastavením administrativních postupů a bezpečnostních technologií." Teprve když existuje bezpečnostní politika a zdokumentovaná administrativní i technologická zabezpečení, je možné pomocí auditů a penetračních testů kontrolovat, jak dobře bezpečnostní opatření fungují.
Analýzu rizik, kterou nabízí většina výrobců nebo větších dodavatelů bezpečnostního softwaru a služeb, by měl podle Tomáše Hofera, obchodního ředitele pro Evropu v Grisoftu, vždy provádět interní nebo externí specialista. Je však třeba si uvědomit, že výsledné doporučení je v tomto případě "šité na míru" pro daný produkt nebo službu.
Pokud pro něj není firma již předem rozhodnuta, mělo by následovat klasické výběrové řízení na dodávku produktů nebo služeb, zpracované třeba na základě oné analýzy rizik.

KOLIK ZA BEZPEČÍ?
Při rozhodování o investicích do bezpečnosti musí firma podle Náplavy vědět, kolik ji bude stát, když bude bezpečnost slabá a kompromitovatelná: "Tedy kolik stojí nejen přímý únik dat, ale také kompromitace jména firmy a ztráta důvěry. Obecně bych souhlasil s číslem, které vychází z různých výzkumů trhu a říká, že se pohybuje mezi 5 % až 20 % z IT rozpočtu."
Náplava také varuje před podceňováním výše investic: "Věty typu 'u nás se nic nestalo, tak proč bych to řešil' nebo 'kolik peněz mi to vydělá' jsou již klasikou. To je špatný přístup, protože IT není oddělení, které rozhoduje o tom, co se stane a především kolik bude stát výpadek, únik dat. Ochrana nevydělává přímo, ale je to investice do budoucna, která se rovná právě tomu, kolik stojí výpadek. Pak je jen na schopnostech, možnostech a pozici manažerů IT, kteří musejí tvrdě vybojovat prosazení investice."
Dle nejrůznějších průzkumů jsou podle Lukeše aktuální průměrné výdaje za IT v rozmezí 5-8 % IT rozpočtu: "Podíváme-li se na ideální výši, pohybujeme se někde kolem 10 %."
"Pokud informace, které mohu ztratit, jsou pro mne klíčové a jejich ztráta může ohrozit můj byznys nebo moje dobré jméno na trhu, tak investice do IT bezpečnosti by měla být v poměru k těmto rizikům. Tím je myšleno, že bezpodmínečně nemusím odstranit všechna rizika plynoucí z těchto hrozeb, ale míra investic by měla zajistit mé klidné spaní. Pokud je pro mne rizikem i to, že některý ze zaměstnanců vynese důležité informace z firmy, musím nastolit taková opatření, aby nedošlo k úniku dat i tímto způsobem," shrnuje otázku míry investic do IT bezpečnosti Brož.

JAK VOLIT DODAVATELE
Dodavatel by měl podle Brože dát zákazníkovi možnost, postavit svou IT bezpečnost postupně a škálovatelně: "Tedy od základního antivirového řešení až po komplexní management rizik, a tím zajistit ochranu investic do budoucna, protože pokud nebudu moci rozvíjet jednotlivé úrovně zabezpečení, vyhodil jsem finance z okna nebo budu muset platit za integraci produktů, pokud je vůbec možná, mezi jednotlivými řešeními. Zcela zbytečně."
"Dodavatel by také měl být schopen poradit, co je pro zákazníka nejlepší, a srozumitelně vysvětlit, jak se jím vybrané řešení liší od možných alternativ, neměl by zákazníka nutit do nějakého prefabrikovaného řešení," radí Adler.
Zákazník se podle Hofera často dívá pouze na informace, které mu doručí zdroje blízké dodavateli nebo výrobci bezpečnostního řešení: "Je velmi vhodné dotázat se uživatelů přímo v místech, kde již podobné řešení funguje, na jejich spokojenost nebo případné námitky. Nebývá to ve většině případů vůbec žádný problém."

JAK VOLIT ŘEŠENÍ
"Důležité je si na začátku říct, co od řešení očekávám a co potřebuji zabezpečit. Dále se neomezovat jen na levná řešení, ale pokud možno se zabývat všemi. Vše něco stojí a velmi často zakoupením levného řešení budeme postrádat nějakou funkčnost nebo zjistíme, že je řešení absolutně nevhodné po stránce výkonnostní. To, co běží v síti 20 počítačů, nemusí běžet v síti stovek počítačů a také velmi často stejným způsobem neběží. Když k tomu přidáme tvrzení obchodníků, že to, co není v produktu dnes, ale bude tam v další verzi a je to již ve vývoji, tak i tady bych byl opatrný," radí Náplava a pokračuje: "Pozor také na to, že vlastností bezpečnostních produktů je změna chování systému. To, co funguje při jednoduchém testu, nemusí fungovat v běžném provozu. Proto by měly být testy komplexní a dlouhodobější. Ne jen rychlé předvedení obchodníkem."
"Zákazník by měl dát pozor na to, jak dlouho je konkrétní řešení na trhu, zda proklamovaná funkcionalita je skutečně naplněna, zda tam nejsou další zbytečné náklady na implementaci, integraci a administraci, dále zda výrobce produktu má vizi do budoucna a je schopen tuto vizi naplnit či ji postupně naplňuje," radí Brož.
Největší nebezpečí se podle Adlera skrývá v tom, že trh nabízí v každé oblasti bezpečnosti bezpočet možných řešení: "Ze strany dodavatelů se také může stát, že se budou snažit zákazníka přesvědčit, že nutně potřebuje právě jejich technologie, přestože ve skutečnosti by pro jeho potřeby stačilo něco o polovinu levnějšího." Proto je podle Adlera důležité investovat především do schopného bezpečnostního správce, který je schopen nabídky možných dodavatelů z odborného hlediska správně porovnat a vyhodnotit, jak vhodné jsou pro jeho zaměstnavatele.