O významu bezpečnosti informačních technologií

sdílet:

Vize propojeného světa v rámci internetu věcí se pomalu začíná naplňovat. S tím také roste význam bezpečnosti informačních technologií, které jsou již nedílnou součástí téměř každého podniku. Ovšem kvalitní bezpečnostní technici jsou nedostatkové zboží a samotná problematika bezpečnosti IT nabobtnala do takových rozměrů, že v podstatě není v silách jednoho člověka to zvládnout. Řešením je najmout si na zajištění bezpečnosti IT ve firmě specializovanou společnost. Na možnosti a úskalí při výběru společnosti poskytující outsourcing bezpečnosti IT se proto podíváme detailněji.

Na co by si měly zákaznické firmy dát pozor při výběru poskytovatele outsourcingu bezpečnosti IT při sjednávání kontraktu a během následné spolupráce?

Při výběru poskytovatele outsourcingu je nezbytné ověřit jeho kvalitu a kredibilitu a požadovat stejnou nebo vyšší úroveň poskytovaných služeb, než jakou má zákazník. To je možno prověřit vyžádáním certifikátu ISAE 3402 typ II nebo například předložením reference poskytovatele, případové studie, implementované normy do prostředí společnosti například ISO/IEC 27k a 20k, které jsou zárukou, že poskytovatel má zavedený certifikovaný systém řízení vztahů se zákazníky, nastavený systém hodnocení interního procesního řízení, zavedený systém vzdělávání a odborného růstu zaměstnanců. Důležitý je také správně nastavený systém rolí a odpovědností, interních kontrolních mechanismů, systém zvládání bezpečnostních incidentů, havarijního plánovaní a měření dostupnosti poskytovaných služeb zákazníkům. Vhodné je zajímat se i o průkaznost vyspělosti a vyzrálosti technického personálu. V neposlední řadě je dobré se informovat o vztahu poskytovatele služeb směrem k subdodavatelům, jakou technickou podporu a typ partnerství s nimi udržují.

Jak by měly být rozděleny role poskytovatele těchto služeb a zákaznické firmy při řešení bezpečnostních incidentů?

V případě rozdělení rolí při řešení bezpečnostních incidentů doporučuji zvolit individuální přístup k zákazníkovi. Na základě získaných znalostí (buď z provedené vstupní analýzy nebo z dobré znalosti prostředí zákazníka, včetně jeho operačních potřeb) představit zákazníkovi konceptuální návrh na rozdělení rolí a odpovědností za jednotlivé činnosti. V ideálním případě může typové nastavení rolí vypadat tak, že poskytovatel služeb bezpečnostní procesy a procedury navrhuje, implementuje, monitoruje, reaguje na incidenty a předkládá manažerské reporty ze své činnosti. Zákazník vykonává role kontrolní, schvalovací, zvažuje a přijímá návrhy na zlepšení služeb a implementuje organizační, popřípadě technická protiopatření ve vlastní společnosti. I při úplném outsoursování IT je nutné, aby si zákazník udržel dostatečné know-how nezbytné pro správné fungování a řízení outsourcované služby.

Uplatňuje se na českém trhu řízených bezpečnostních služeb hybridní model (směs on-premise a cloudových řešení)? Pokud ano, jaké zde přináší výhody a nevýhody?

Modely poskytovaných řízených bezpečnostních služeb na českém trhu jsou různé. Jednak je to dané současnou ekonomickou situací, hledáním úspor, a s tím i často spojovanou restrukturalizací firem, hledáním nových forem podnikání a tím i rostoucími požadavky na přístupy k informacím a vlastním datům. Společnosti v dnešní době mnohem více ekonomicky zvažují a plánují, co je pro jejich podnikání v danou dobu přínosnější a ekonomicky výhodnější. Proto jsou na našem trhu spíše preferované hybridní modely poskytování bezpečnostních služeb. V budoucnu lze očekávat, že s nárůstem přechodu IT společností do cloudů bude narůstat i podíl bezpečnostních služeb poskytovaných v cloudu.

A co vlastně potřebujeme pro zajištění bezpečnosti ve firmě nejenom z pohledu zákona o kybernetické bezpečnosti?

Je nutno nejprve zjistit, „jak na tom jsme“ – a to třeba bezpečnostním auditem. Určitou první metou mohou být takzvané penetrační testy, které prověří, „kde nechal tesař díru“. Penetrační testy ukážou, kterou z částí vašeho bezpečnostního systému je třeba posílit a doplnit. Dále je třeba nastavit monitoring firemní sítě a doplnit ho o systém pro sledování a vyhodnocování logů SIEM (viz box), které informují a evidují, co se u vás v síti z pohledu bezpečnosti vlastně děje.

Většina lidí si myslí, že pokud žádné podezřelé činnosti na svém počítači nevidí, nikdo na vás neútočí. 

Vybral jsem pro vás pár detailů o kybernetických útocích z jedné zajímavé studie:

•             Nejčastější kybernetické útoky: 80 % respondentů se setkalo s rozsáhlým útokem na dostupnost služby (DDoS, distributed denial of service). Čtvrtina respondentů uvádí, že k takovým útokům dochází denně či týdně nebo jimi vyděrači alespoň vyhrožují. Ještě větší podíl odpovídajících, 85 %, zaznamenal, že jejich síť byla infiltrována škodlivými kódy. Před rokem s žádným DDoS útokem ještě neměla zkušenosti téměř polovina firem provozujících kritickou infrastrukturu, nyní tento podíl klesl na 20 %.

•             Všudypřítomní vyděrači: Čtvrtina respondentů se v souvislosti s kybernetickými útoky setkala s vydíráním. Podíl postižených firem vzrostl meziročně o 25 %. Existují zde velké regionální rozdíly. V některých zemích, jako je Indie nebo Mexiko, je situace zvlášť závažná, vydírání zde připouští 60 až 80 % manažerů. Naopak mezi jednotlivými odvětvími kritické infrastruktury se situace v tomto ohledu neliší. Allan Paller, ředitel SANS Institute, pokládá vydírání za obrovskou a přitom obvykle málo zmiňovanou oblast kybernetické kriminality. Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoliv z oficiálních míst to bývá jako příčina incidentů obvykle popíráno.

•             Organizace selhávají při zavádění efektivního zabezpečení: Důmyslnější postupy zabezpečení jsou v menšině. Jen asi čtvrtina respondentů má implementovány nástroje pro sledování činnosti sítí a jen 26 % používá nástroje detekující anomální chování IT systémů.

Zdroj:  Studie společnosti McAfee In the Crossfire: Critical Infrastructure in the Age of Cyberwar (V křížové palbě: Kritická infrastruktura v období kybernetické války).

Základní údaje

  • SIEM (Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:
  • SIM (Security Information Management) se zabývá dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů.
  • SEM (Security Event Management) se zabývá monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.

Pojmy SIM, SEM a SIEM bývají často zaměňovány, přestože jsou významově i přínosem rozdílné.

Termín Security Information and Event Management roku 2005 vytvořili Mark Nicolett a Amrit Williams ze společnosti Gartner v souvislosti s popisem produktu schopného shromažďovat, analyzovat a prezentovat informace ze sítě a bezpečnostních zařízení, pomáhat spravovat identity a přístupy, ohrožená místa, shody s bezpečnostními politikami atd.

Zdroj: https://cs.wikipedia.org/wiki/SIEM

Foto: archiv autora

Autoři: 

ředitel a šéfredaktor společnosti Averia. Zaměřuje se především na problematiku ICT a informační bezpečnosti 

Obrázek uživatele ruzicka

ruzicka