Ochrana dat se musí stát klíčovou prioritou firem

Martin Noska | 22.05.2012 | Bezpečnost | Žádné komentáře

Jak by měly firmy reagovat na měnící se hrozby a jakým způsobem nastavit svojí bezpečnostní strategii? Na toto téma s námi při svojí návštěvě Prahy hovořil Thomas Hemker, který pracuje bezpečnostní stratég v německé pobočce společnosti Symantec.

Co je podle vás hlavní výzvou současnosti v oblasti podnikové bezpečnosti?
Největší výzvou dneška je ochrana dat samotných. Firmy se doposud zaměřovaly na ochranu jednotlivých zařízení a na zabezpečení vůči útokům zvenčí, což bylo důležité, ale nestačí to. V dnešní době cloudové infrastruktury je nutné mít hlavně kontrolu nad daty samotnými a nad tím kam míří, co se s nimi děje.

Jak by se měla změnit technologická výbava firem, například používaná bezpečnostní řešení, aby bylo možné této změně lépe čelit?
Změna by neměla začínat u technologie, ale u organizace samotné. Firma by měla zvážit, jak jsou jednotlivá data cenná a důležitá, zhodnotit jak jsou zranitelná a podle toho až rozhodnout jak je odpovídajícím způsobem chránit. Až zde přichází na řadu technologie pro šifrování, klasifikací či sledování toku dat. Efektivní ochrana je proto spojena s provázáním technologických a organizačních změn, které musí být vzájemně v souladu. Samozřejmě taková změna není úplně snadnou záležitostí, je obvykle potřeba definovat vlastníky dat, přidělit zodpovědnosti atd.

Symantec u tohoto typu služeb spoléhá obvykle na svoje partnery, působící v jednotlivých zemích, kteří lokální firmy dobře znají a mohou jim pomoci s organizačními změnami a s nastavením politik.

Často se říká, že základem bezpečnosti je školení zaměstnanců. Souhlasíte s tím nebo je to příliš zjednodušený pohled?
Je pravdou, že zaměstnanec je obvykle nejslabším článkem firemní bezpečnosti, typickým příkladem jsou třeba hesla, která si pracovníci vytváří a jež často nesplňují potřebná bezpečnostní kritéria. Zaměstnanec vytváří nepředvídatelné situace, s tím je potřeba počítat a brát to za normální typ chování, který je a bude spjat s lidským faktorem.

Thomas Hemker, security strategist, Symantec (Deutschland)

Thomas Hemker, security strategist, Symantec (Deutschland)

Určitě jde ale docílit toho, aby se rizika spojená se zaměstnanci co nejvíce redukovala. Zaměstnanec musí vidět, jaká jsou rizika spojená s informacemi, se kterými pracuje a mít za ně zodpovědnost. Je také potřeba, aby používaná bezpečnostní řešení ve firmě nebyla náročná na pochopení a na použití, ale měla by být samovysvětlující, bezešvá a přirozená.

Řada rizik poslední doby je spjata s používáním vlastních mobilních přístrojů zaměstnanců i pro firemní účely, jaké hlavní hrozby zde vidíte?
Trend určitě směřuje od mobilních přístrojů vlastněných firmou k vlastním zařízením pracovníků. Ty lze typicky hůře spravovat, šifrovat či nastavovat pro ně různé politiky. Mobilní přístroje uživatelů se tak stávají atraktivním terčem nejen pro kradení dat, ale i pro útok na firemní infrastrukturu. Nejvíce rizik je dnes spjato s platformou Android, jejíž architektura umožňuje útok i na infrastrukturu ležící za samotnými smartphony či tablety.

Na druhou stranu je výhodou této platformy, že umožňuje implementaci obecných bezpečnostních řešení jako je tomu na klasických desktopech. Podobné je tomu i u Windows Phone od Microsoftu. Oproti tomu iOS od Applu je koncipovaný tak, že každá aplikace funguje samostatně a izolovaně od ostatních, což vyžaduje i jiný typ zabezpečení.

Jak by měla podle vás vypadat správná a fungující strategie pro mobilní bezpečnost, jakým směrem radíte firmám se zaměřit?
Moderní bezpečnostní strategie musí být holistická a informačně-centrická. Dříve si firmy myslely, že jim stačí nasadit řešení pro správu mobilních přístrojů, která umožní na dálku smazat data v případě nutnosti, ale stále se zaměřovaly jen na jednotlivá zařízení. Jak už jsem zmínil na začátku, je potřeba se přeorientovat na data samotná a jejich identifikaci místo na konkrétní přístroje.

Tento přístup je blízký cloudové strategii, která také odhlíží od jednotlivých přístrojů a orientuje se primárně na to, jak bezpečně jsou data přenášena, jak jsou uložena a podobně. Je tedy nutné se zaměřit tedy na to, co chráním, a tím jsou primárně data. Firmy si tento posun již začínají uvědomovat a lze pozorovat, že tato změna přichází postupně do praxe.

Článek je součástí tématu Nevystavujte firemní data zbytečným rizikům.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


devět − = pět

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz