Riziko, nikoli bezpečnost

Je třeba přesunout důraz z IT bezpečnosti a zaměřit se na celostní správu obchodních rizik. Ptáte se proč? Jelikož dnes IT bezpečnost asociujeme s věcmi, které se staly jen malým dílkem obrovské a stále rostoucí skládačky rizik spjatých s informačními technologiemi.

Myslíte, že jde jen o bezvýznamné slovíčkaření? Uvažte tedy, že jsme vždy byli vedeni k tomu, abychom IT bezpečnost spojovali s určitými činnostmi – kupříkladu ochranou perimetru datového centra – a skupinami produktů sloužícími ke konkrétnímu účelu – šifrovací nástroje, firewally, antiviry apod. Uvědomte si však, že nic z toho ve skutečnosti neřeší žádný ze strategických problémů ochrany jednotlivců a firem před hrozbami.

Malý příklad: Zeptejte se svých zákazníků, co by měli dělat pro zajištění vlastní bezpečnosti na internetu. Většina vám pravděpodobně odpoví (pokud to vůbec vědí), že je třeba nainstalovat firewall a antivirový software, který se musí průběžně aktualizovat. Jen málokdo z nich – pokud vůbec někdo – by za bezpečnostní zařízení považoval bezdrátový router, ačkoli právě ten může být vstupní branou pro různé kriminální živly a pro bezpečnost představuje větší riziko než třeba týden neaktualizovaný antivirus.

Ve studii vědců Rajiva Shaha a Christiana Sandviga vyšlo najevo, že asi jen polovina uživatelů bezdrátových routerů změnila defaultní nastavení těchto zařízení (zapnula šifrování a vyměnila standardní a lehce prolomitelné administrátorské heslo). Omezením našeho zaměření jen na IT bezpečnost místo komplexní správy rizik v podstatě volíme taktický přístup místo strategického. A taktická odpověď na nezabezpečené bezdrátové routery je poskytnout zákazníkům instrukce k nastavení šifrování – což většina výrobců těchto přístrojů vskutku dělá. Jde však v oblasti správy rizik o nejlepší postup? Nikoli, říkají Shah a Sandvig. I přes dostupnost informací o změně nastavení většina zákazníků nechává vše na „default“. Vhodnější by byl strategický přístup, jenž by obnášel to, že šifrování standardně zapne již samotný výrobce. Vidíme tedy, že z hlediska správy rizik by v oblasti bezpečnostního vybavení pro konzumní segment bylo lepší, kdyby odpovědnost převzali samotní výrobci a nenechávali ji na samotných zákaznících. A jak je tomu v oblasti podnikového IT?

NEPRŮSTŘELNÁ VESTA ORGANIZACÍ

Nyní se podívejme na společnosti. Představte si IT bezpečnost v této oblasti jako neprůstřelnou vestu, jejímž účelem je ochrana firemní IT infrastruktury před kulkami vyslanými nekalými živly. Rané hrozby napadení viry a hacknutí stránek nadšenci z hackerské komunity naučily správce bezpečnosti v podnicích uvažovat způsobem, který již dnes není dostačující. Z hlediska správy rizik je totiž největší riziko v samotných datech, nebo lépe řečeno v alternativě jejich zcizení. Společnosti tedy dnes hekticky začínají šifrovat veškerá svá data a snaží se tak zabránit jejich krádeži a zneužití.

Tato druhá vlna zabezpečování IT však vedla k problému v samotném vnímání aktuální situace. Vznikl obecný názor, že první vlna IT bezpečnosti selhala. Že všechny finance investované do ochrany perimetru neposloužily svému účelu a nedokázaly zprostředkovat, co měly, že je nyní potřeba dalších mohutných investic… To je něco, co nezřídka vídáme také v rámci méně úspěšných IT projektů (při názoru, že plán selhal a je třeba dalších peněz, lidem z obchodního oddělení vstávají vlasy hrůzou na hlavě) a co zhoršuje vztah IT a obchodního oddělení. Jde však ve výše zmíněném případě skutečně o selhání ze strany IT?

Ne, pokud problém vyzdvihneme na úroveň správy rizik. Jde o selhání organizací jako je TJX, které na rizika nepohlížejí z obecné všeobjímající perspektivy. Již v rámci první vlny IT bezpečnosti – kdy se vše točilo okolo ochrany perimetru – totiž jistě nejeden CIO prosazoval šifrování dat. Takové požadavky však byly ve většině případů tehdy smeteny ze stolu, neboť šlo o nákladný a komplexní proces.

Z hlediska IT bezpečnosti bylo pro vedení jen logické (ač krátkozraké) nezajímat se o nic víc, než je ochrana perimetru – ta tehdy totiž opravdu fungovala. Nikdo mimo IT nezvažoval celou paletu možných rizik, málokoho napadlo, že by například pověst banky mohla ztrátou důležitých dat utrpět a ústav by tak přišel o tisíce zákazníků…

Chyba tedy není v IT oddělení, nýbrž u firem, které odmítají kvantifikovat veškerá možná rizika. Lidská interpretace rizik je totiž mnohdy špatná a iracionální, neboť málokdo zvažuje komplexní obchodní rizika a možné dopady selhání IT bezpečnosti. Již není možné ponechat správu bezpečnostních rizik pouze na CIO nebo na firemním IT rozpočtu. Zde pomůže pouze synchronizovaný přístup celé organizace, jen tak je v dnešní době vzrůstající kybernetické kriminality možné udržet v bezpečí nejen data, ale i celé podnikové IT.