Direktorji informatike, kako skrbite za varnost?

Skladnost poslovanja z zakonom tega še ne naredi varnega. Zavedanje vseh v družbi glede varnega izvajanja poslovnih aktivnosti v navezi z informacijsko tehnologijo je predpogoj za varnost sodobnega poslovanja.

Sodobni CIO se ubada z vrsto prioritet, večina njih se nanaša na področji digitalne preobrazbe in selitve IT-okolja v oblak(e). Poleg tega mora direktor informatike skrbeti, da to okolje podjetju zagotavlja nemoteno (če že ne neprekinjeno) poslovanje in omogoča rast. Že res, da prva prioriteta mora biti posel, a podjetja morajo zagotoviti njegovo varnost. Tega dejstva se zavedajo pretežno tiste družbe, ki se razumejo lastno intelektualno lastnino in posledice nedelovanja svoje osnovne dejavnosti, oziroma, poenostavljeno, poznajo strošek njenega nedelovanja.

»V slovenskih podjetjih je zavedanje glede informacijske varnosti doma predvsem v IT-oddelkih, redkeje se je zaveda vodstvo. Podjetja, ki sicer imajo ocenjena poslovna tveganja, se dotaknejo tudi področja informacijske varnosti, a še vedno vlada prepričanje, da morajo glede tega bolj zadostiti zakonodaji, kot pa realnim grožnjam. Organizacije, kjer so tveganja informacijske varnosti usklajena z operativnimi in poslovnimi tveganji, so v Sloveniji velika redkost,« meni Igor Hostnik iz podjetja Unistar Pro.

 

 

Varnost kot dodatek

Velika težava je predvsem ukoreninjen pristop, po katerem se varnost projektu doda šele na koncu. Rezultat je pogosto le opravljanje nujnih kontrol in krpanje očitnih lukenj, še huje, če se s projektom mudi, se vodstvo lahko celo odloči, da bo sprejelo tveganja, povezana z neustrezno informacijsko varnostjo. Kar je močno narobe, saj je tako podjetje povsem izpostavljeno morebitnim notranjim in zunanjim napadalcem. Večina podjetij že sicer ne zaposluje strokovnjakov s področja informacijske varnosti, tista, ki pa jih, jih ponavadi premalo za obseg dela.  Varnostne ekipe so tako pogosto preobremenjene, zato orodja za zagotavljanje varnosti vedno bolj prepuščajo IT-okolju pa tudi drugim oddelkom in zaposlenim, denimo razvijalcem »hišnih« poslovnih aplikacij. Tak pristop pa je, milo rečeno, nevaren.

»Podjetja so najbolj ranljiva na področju skladnosti oziroma postopkov izvajanja poslovnih procesov. Vlagajo pretežno osnovno varnostno opremo, kot so požarne pregrade in protivirusni programi, manj pa v rešitve upravljanja z identitetami, rešitve za preprečevanje odtekanja podatkov in rešitve izdvojitve določenih IT-storitev k zunanjem upravljavcu, ki lažje zagotavlja varnost storitev. Težava je tudi v tem, da  varnostne rešitve ne naslavljajo ključnih poslovnih tveganj temveč tiste, za katere oddelki informacijske tehnologije menijo, da so najpomembnejša,« dodaja Hostnik.

 

Z varnostjo je treba ravnati strateško

Informacijska varnost nikoli ne spi, preprosto ne deluje po pristopu »namesti in pozabi«, saj se področje (ne)varnosti stalno razvija in spreminja. Zato je treba k njej pristopiti strateško, jo razumeti, šele nato lahko podjetje upravlja varnostna tveganja. Najboljše prakse narekujejo kombinacijo organizacijskih, logično-tehničnih in tehničnih ukrepov. Če varnostni ukrepi med seboj niso povezani, se tveganje takoj poveča.

»Organizacijski varnostni ukrepi obsegajo opredelitev varnostnih zahtev za dobavitelje, upravljanje s sredstvi, načrtovanje neprekinjenega poslovanja itd., med logično-tehnične ukrepe pa sodi zagotavljanje fizičnega varovanja, zagotavljanja varnosti aplikativne podpore v celotnem življenjskem ciklu, upravljanje z varnostnimi incidenti. Vsi našteti ukrepi brez tehničnih rešitev, kot so uporaba orodij za zaščito celovitosti komunikacijskih omrežij, orodij za preverjanje identitete uporabnikov in podobnih, ne bodo delovali. Nasprotno, naredijo lahko več poslovne škode, saj dajejo lažni občutek varnosti, podobno, kot če bi doma imeli na vratih ključavnice, jih ne zaklepali, dostop do ključev pa bi imel kdorkoli,« je slikovit Hostnik.

 

5 najboljših praks

Prvo pravilo pravi, da ne moreš varovati nečesa, kar ne poznaš. Vidljivost je temelj varnosti, zato morajo podjetja najprej opraviti temeljit pregled in analizo IT-okolja, od lastnih aplikacij, implementacije programske opreme, podatkovnih skladišč, zunanjih IT-storitev itd. Podjetje mora preveriti, katere varnostne rešitve uporablja in kako delujejo, ter jih po potrebi dopolniti ali nadgraditi. Ko je enkrat »IT-inventura« opravljena, je čas za obravnavo varnostnih tveganj – katera so prisotna in kako lahko vplivajo na poslovanje podjetja. Šele nato lahko začne svoje poslovanje  ustrezno varovati. Poleg tega se velja zavedati, da informacijska varnost ne sme biti statična (čeprav je večina varnostnih rešitev »točkovnih«), saj so varnostna tveganja precej elastična in se pogosto spreminjajo.

Kje začeti? Bržkone pri za poslovanje najbolj ključnem delu. Varnost mora biti integrirana v poslovanje. Zgolj posamezne rešitve in dodatki ne bodo dovolj. Če podjetje samo razvija programsko kodo, morajo biti varnostni mehanizmi in ukrepi prisotni že od samega začetka. Pri varovanju digitalnega premoženja velja poiskati orodja, ki omogočajo avtomatizacijo in orkestracijo varnostnih nalog, saj večina oddelkov IT nima časa opravljati vseh pregledov ročno.

Varnostni strokovnjaki podjetjem svetujejo, da v poslovanje uvedejo t. i. varnostne metrike. Ideja je jasna – podjetje ne more izboljšati nečesa, kar ne meri (ali ne more izmeriti). Kazalnika s področja varnosti sta stopnja zaznavanja varnostnih incidentov (IRD) ter stopnja odprave varnostnih incidentov (IRR).

»Vedno znova je treba izpostaviti ozaveščanje in izobraževanje zaposlenih in ostalih deležnikov, udeleženih v poslovnih procesih. Ljudje so največje informacijsko varnostno tveganje, zato se je treba osredotočiti na dvig njihovega zavedanja in obnašanja v zvezi z varovanjem informacij,« povzetek varnostnega mozaika sklene Hostnik.

 

Avtor članka je Miran Varga, objavljen v IKT Informator, oktober 2017

 Z verigo sreče do novih uspehov

Družba Unistar PRO letos praznuje 25. obletnico. Direktor Miran Boštic ve, da upravlja z znanjem in sposobnostmi več kot sto strokovnjakov, zato bo podjetje usmeril na zahtevnejša zahodna in severna tržišča.

Preberi celoten intervju.

 

Piškotki za analitiko
Ti se uporabljajo za beleženje analitike obsikanosti spletne strani in nam zagotavljajo podatke na podlagi katerih lahko zagotovimo boljšo uporabniško izkušnjo.
Piškotki za družabna omrežja
Piškotki potrebni za vtičnike za deljenje vsebin iz strani na socialna omrežja.
Piškotki za komunikacijo na strani
Piškotki omogočajo pirkaz, kontaktiranje in komunikacijo preko komunikacijskega vtičnika na strani.
Piškotki za oglaševanje
So namenjeni targetiranemu oglaševanju glede na pretekle uporabnikove aktvinosti na drugih straneh.
Kaj so piškotki?
Z obiskom in uporabo spletnega mesta soglašate z uporabo in beleženjem piškotkov.V redu Več o piškotkih