Jak by měly firmy reagovat na měnící se hrozby a jakým způsobem nastavit svojí bezpečnostní strategii? Na toto téma s námi při svojí návštěvě Prahy hovořil Thomas Hemker, který pracuje bezpečnostní stratég v německé pobočce společnosti Symantec.
Co je podle vás hlavní výzvou současnosti v oblasti podnikové bezpečnosti?
Největší výzvou dneška je ochrana dat samotných. Firmy se doposud zaměřovaly na ochranu jednotlivých zařízení a na zabezpečení vůči útokům zvenčí, což bylo důležité, ale nestačí to. V dnešní době cloudové infrastruktury je nutné mít hlavně kontrolu nad daty samotnými a nad tím kam míří, co se s nimi děje.
Jak by se měla změnit technologická výbava firem, například používaná bezpečnostní řešení, aby bylo možné této změně lépe čelit?
Změna by neměla začínat u technologie, ale u organizace samotné. Firma by měla zvážit, jak jsou jednotlivá data cenná a důležitá, zhodnotit jak jsou zranitelná a podle toho až rozhodnout jak je odpovídajícím způsobem chránit. Až zde přichází na řadu technologie pro šifrování, klasifikací či sledování toku dat. Efektivní ochrana je proto spojena s provázáním technologických a organizačních změn, které musí být vzájemně v souladu. Samozřejmě taková změna není úplně snadnou záležitostí, je obvykle potřeba definovat vlastníky dat, přidělit zodpovědnosti atd.
Symantec u tohoto typu služeb spoléhá obvykle na svoje partnery, působící v jednotlivých zemích, kteří lokální firmy dobře znají a mohou jim pomoci s organizačními změnami a s nastavením politik.
Často se říká, že základem bezpečnosti je školení zaměstnanců. Souhlasíte s tím nebo je to příliš zjednodušený pohled?
Je pravdou, že zaměstnanec je obvykle nejslabším článkem firemní bezpečnosti, typickým příkladem jsou třeba hesla, která si pracovníci vytváří a jež často nesplňují potřebná bezpečnostní kritéria. Zaměstnanec vytváří nepředvídatelné situace, s tím je potřeba počítat a brát to za normální typ chování, který je a bude spjat s lidským faktorem.
Thomas Hemker, security strategist, Symantec (Deutschland)
Určitě jde ale docílit toho, aby se rizika spojená se zaměstnanci co nejvíce redukovala. Zaměstnanec musí vidět, jaká jsou rizika spojená s informacemi, se kterými pracuje a mít za ně zodpovědnost. Je také potřeba, aby používaná bezpečnostní řešení ve firmě nebyla náročná na pochopení a na použití, ale měla by být samovysvětlující, bezešvá a přirozená.
Řada rizik poslední doby je spjata s používáním vlastních mobilních přístrojů zaměstnanců i pro firemní účely, jaké hlavní hrozby zde vidíte?
Trend určitě směřuje od mobilních přístrojů vlastněných firmou k vlastním zařízením pracovníků. Ty lze typicky hůře spravovat, šifrovat či nastavovat pro ně různé politiky. Mobilní přístroje uživatelů se tak stávají atraktivním terčem nejen pro kradení dat, ale i pro útok na firemní infrastrukturu. Nejvíce rizik je dnes spjato s platformou Android, jejíž architektura umožňuje útok i na infrastrukturu ležící za samotnými smartphony či tablety.
Na druhou stranu je výhodou této platformy, že umožňuje implementaci obecných bezpečnostních řešení jako je tomu na klasických desktopech. Podobné je tomu i u Windows Phone od Microsoftu. Oproti tomu iOS od Applu je koncipovaný tak, že každá aplikace funguje samostatně a izolovaně od ostatních, což vyžaduje i jiný typ zabezpečení.
Jak by měla podle vás vypadat správná a fungující strategie pro mobilní bezpečnost, jakým směrem radíte firmám se zaměřit?
Moderní bezpečnostní strategie musí být holistická a informačně-centrická. Dříve si firmy myslely, že jim stačí nasadit řešení pro správu mobilních přístrojů, která umožní na dálku smazat data v případě nutnosti, ale stále se zaměřovaly jen na jednotlivá zařízení. Jak už jsem zmínil na začátku, je potřeba se přeorientovat na data samotná a jejich identifikaci místo na konkrétní přístroje.
Tento přístup je blízký cloudové strategii, která také odhlíží od jednotlivých přístrojů a orientuje se primárně na to, jak bezpečně jsou data přenášena, jak jsou uložena a podobně. Je tedy nutné se zaměřit tedy na to, co chráním, a tím jsou primárně data. Firmy si tento posun již začínají uvědomovat a lze pozorovat, že tato změna přichází postupně do praxe.
Článek je součástí tématu Nevystavujte firemní data zbytečným rizikům.
Loading ...
