Bezpečnost IT si postupem času získala důležitost srovnatelnou se spolehlivostí, zaručenou dostupností a cenou, což jsou hlavní kritéria při investicích do IT v České republice a většině Evropy.
Největší obavou podniků i veřejných institucí zůstává poškození dat a únik informací o zákaznících, v těsném závěsu se škodlivým softwarem. K dalším vážným hrozbám patří neúmyslné úniky dat, -jejich ztráta zaměstnanci nebo interní sabotáž. Jinými slovy si většina organizací ve střední a východní Evropě nyní uvědomuje, že rizika číhají uvnitř firmy stejně jako vně, což je indikátorem jejich rostoucího povědomí o bezpečnostní problematice.
Postupujeme-li na škále vnímaných rizik dále, vidíme, že organizace začínají postupně jako zdroj možných hrozeb vnímat také mobilitu. Relativně nízké hodnocení této oblasti ale zároveň ukazuje, že místní organizace zatím plně nepochopily možné důsledky „mobilizace svých pracovních sil“ prostřednictvím různých zařízení pro přístup ke zdrojům podnikových dat. Nicméně je zcela evidentní, že tento faktor bude v dalších letech jenom růst na důležitosti. Pro srovnání – když IDC nedávno prováděla výzkum v organizacích ve Spojených státech obsahující otázku, co je vedlo ke zvýšení výdajů na bezpečnost IT v předcházejících 12 měsících, nejčastější odpovědí byla právě mobilita.
Zhruba 70 procent výdajů na bezpečnostní software je vynakládáno na řešení zabezpečení obsahu a řízení rizik (SCTM) – klasický firewall, ochrana proti virům, spywaru a spamu a řešení pro prevenci průniku, která chrání koncové body, sítě, posílání zpráv a aktivity na internetu. Nicméně každoroční výzkum mezi koncovými uživateli prováděný v České republice a v Evropě ukazuje, že mezi hlavní obavy většiny organizací z hlediska bezpečnosti IT patří viry a spam, následované zveřejněním a únikem klientských dat. Z výsledků výzkumu vyplývají dvě zprávy: jedná dobrá a jedna špatná. Pozitivní stránkou je, že se společnosti a organizace v Evropě posunují nad rámec zaměření na vnější bezpečnost a více si uvědomují hrozbu ztráty nebo zneužití dat, jež pochází zevnitř organizace. Tou negativní pak to, že zatímco velký podíl výdajů na bezpečnost IT stále směřuje do základních SCTM technologií, mnoho organizací v průzkumu odpovědělo, že intenzivnější využívání internetu a s tím související nárůst počtu možných vektorů útoků zůstává závažným problémem. To znamená, že řada organizací vynakládá prostředky na technologie pro boj s viry, avšak nezískává pocit většího bezpečí. Tato situace poukazuje na potřebu důkladnějšího plánování bezpečnostních strategií a rozpočtů a dokazuje, že více peněz vynaložených na specifickou oblast ne vždy přináší pozitivní výsledky.
To podtrhuje klíčovou úvahu v pokračujícím úsilí o zajištění informační bezpečnosti: složitost výpočetního prostředí, zvyšování objemů dat a růst množství typů zařízení a komunikačních kanálů jsou pro organizace stejným nebezpečím jako nové viry, které se objevují. Kolik bezpečnostních řešení je potřeba pro správu všech výpočetních zařízení a zdrojů dat v organizaci? Kolik bezpečnostních administrátorů vyžaduje správa těchto řešení? Tyto úvahy v současné době vyvolávají změny na trhu bezpečnosti IT. Přístup spočívající v nekoordinovaném přidávání dílčích řešení pro koncová zařízení bez dlouhodobé bezpečnostní strategie již není udržitelný. V České republice se stále častěji prosazují řešení pro sjednocené řízení rizik (UTM) jakožto komplexní a integrovaný přístup, který snižuje zátěž IT oddělení. Půjdeme-‑li ještě o krok dál, stále větší pozornost si získává bezpečnost jako služba – ta totiž může posloužit jako prostředek pro nasazení pokročilých řešení bez investičních nákladů a náročnosti interní implementace.
Z vývoje situace jednoznačně vyplývá, že klíčovou součástí každé strategie IT bezpečnosti musí být i školení zaměstnanců – jejich špatné návyky totiž mohou oslabit jakkoli propracovaný bezpečnostní systém. Na druhou stranu svědomitá a proškolená pracovní síla může sama o sobě zajistit poloviční vítězství. Nezáleží na tom, jak dokonalá je vaše bezpečnostní infrastruktura, protože je odolná pouze jako nejslabší článek mezi vašimi pracovníky. Bezpečnostní politice, procesům a jejich dodržování zaměstnanci je v organizacích obecně věnována malá pozornost. To se však musí změnit.
Autor je ředitelem výzkumu v oblasti software společnosti IDC CEMA
Článek vyšel ve speciálu CIO TOP100 ICT společností v ČR. Jeho plnou verzi v PDF si můžete stáhnout zde.
PŘEDPLATNÉ
ČLÁNKY DO MAILU