Autorem odborného článku k hlavnímu tématu je Lukáš Kříž, externí redaktor.

V čase hospodářské krize patřily výdaje na podnikové zabezpečení IT často k prvním obětovaným.

Situace se s komplikacemi v globální ekonomice může opakovat. Podniky vydají prostředky na implementaci nezbytných změn v oblasti zabezpečení své komplexní infrastruktury IT, ale žádné přínosy nezaznamenají. Proč tedy tyto investice, které viditelně nic nepřinášejí, neobětovat?

Bezpečnost má v organizaci roli preventivního medikamentu. Nevíte, zdali opravdu funguje a jak přesně, ale poznáte, když selže. V takové situaci není jednoduché „prodat“ bezpečnostní investici finančnímu řediteli, který může, ale nemusí hrozící rizika chápat. Tvrdí to Ed Sperling, spolupracovník portálu Forbes.com.

V případě nepochopení ze strany CFO lze možné škody vyčíslit poměrně snadno. Výzkumníci společnosti Ponemon Institute vloni zjistili, že průměrná hodnota jednoho kompromitovaného záznamu činila 214 dolarů. Kompromitováním je míněno zcizení nebo neoprávněný přístup. Oněch 214 dolarů má podobu nákladu, který musí organizace vynaložit na odstranění problému.

RSA, bezpečnostní divize společnosti EMC, v roce 2009 zrealizovala výzkum, v němž prozkoumala chování organizací v oblasti bezpečnosti v době ekonomického poklesu. Mezi respondenty byly velké banky, průmyslové podniky a farmaceutické společnosti. Bezpečnostní experti těchto organizací považovali za první krok vedoucí k prosazení investice do zabezpečení stanovení priorit v oblasti rizik. Znamenalo to, že se snažili vyčíslit finanční přínos jejich omezení. V některých případech má hrozba osudový charakter, v jiných organizaci nijak zásadně neomezuje. V druhé uvedené situaci představují náklady na zabezpečení vyšší výdaj než hodnota potenciální škody.

V praxi ale podobné více či méně abstraktní analýzy pravděpodobně neprobíhají. Vedoucí manažeři informačních oddělení jsou prostě postaveni před úkol snížit náklady o X procent. Pokud dojde na oblast zabezpečení, spočívá nejjednodušší postup v rychlé procesní analýze. Ty podnikové procesy, které lze opakovat a rychle obnovovat povětšinou nevyžadují vyšší míru ochrany. Vedle nich existují takové, jejichž přerušení nebo výpadek má dlouhodobý a kritický charakter. Kolem těchto procesů musí bezpečnostní experti vybudovat kruh metrik a ochranných opatření. Jinými slovy: informatici je zabezpečí podstatně důkladněji.

Je rovněž jednodušší získat prostředky na projekty, které ošetří rozličná rizika najednou a bez dalšího navyšování investic na jednotlivé oblasti rizik. Tyto projekty lze finančním ředitelům interpretovat výrazně jednodušeji. 

Celá problematika zabezpečení ovšem není statická. Rizika se mění a vyvíjejí relativně rychle. Zatímco dnes se bezpečnostní experti zaměří na jednu oblast, zítra se objeví úplně nová. Predikovat budoucí vývoj je velmi obtížné, ale investovat do řešení, která zanedlouho budou zcela nepotřebná, představuje z pohledu nákladů velmi rizikový krok.

Jedna velká banka ze studie RSA vyvinula komplexní systém pro omezení podvodných jednání. Jeho provoz stál 2 miliony dolarů ročně. Pro CIO i CFO banky záhy vyvstala otázka efektivity. Systém podvody omezuje, nikoli odstraňuje. Zachytí dostatečné množství zpronevěr, aby se vyplatil? Nelze podvody odhalovat s pomocí jednodušších a levnějších opatření? Odpovědí na tyto otázky by mohl být outsourcing nebo cloud computing. V obou případech pravděpodobně dojde k redukci nákladů, v obou případech však rizika úniků dat z principu vzrůstají. Navíc, musí bezpečnostní experti pro obě možné volby navrhnout dostatečně pružný model provozu. Nikdo nechce platit za neúčelná ochranná opatření, jejichž smysl již pominul.

Paradigma podnikové bezpečnosti se výrazně změnilo. Dochází v něm ke střetu účelnosti a nákladů. Z technického pohledu jde o míru automatizace obrany. Z hlediska podniku již oddělení IT bezpečnosti není první instancí v rozhodování o výdajích na ochranná opatření. Hlavní pravomoc v tomto ohledu získali manažeři rizik. Právě oni určují, co a jak má být zabezpečeno. Bezpečnostním expertům připadla exekutivní, potažmo technická role. O bezpečnosti musí být rozhodování v kontextu risk managementu. Zatímco pro farmaceutické firmy má největší hodnotu výzkum, finanční instituce mají priority v klientských agendách. V tomto ohledu nelze stanovit jednotná a univerzální pravidla pro všechny firmy. Jde rovněž o oblast, která může komplikovat nasazení outsourcingu nebo cloud computingu v oblasti zabezpečení.

K nákladovým úskalím podnikového zabezpečení IT patří i jeho personální náročnost. Vedoucí manažeři informatik by měli dbát na minimalizaci zásahů při správě systémů. Technicky má tato situace řešení v centrálních ovládacích rozhraních. Činnost bezpečnostních expertů, včetně práce související techniky,  navíc bývá v rámci podniku rozúčtovávána. Některé ochranné systémy lze přiřadit konkrétním oddělením, jiné musí sponzorovat celý podnik. Často se musí poměr >>přínosy vs. náklady<< stanovovat na úrovni jednotlivých pracovišť.

• Přidat Nový Hledat
• Komentáře

Přidat komentář

Your Contact Details:

Jméno:

Email:  zasílat reakcenezasílat reakce

Comment:

Název:

Message:

Security

Please input the anti-spam code that you can read in the image.

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."