Organizace začínají investovat do strategie IT bezpečnosti

První výzkum o IT bezpečnosti, kterou zadala společnost Dimension Data a provedla v průběhu roku 2009 agentura IDC, ukazuje, že organizace si začínají uvědomovat hodnoty proaktivního přístupu k bezpečnosti.

Děje se tak i přesto, že pouze 19 % firem zvýšilo meziročně své celkové výdaje na IT. Čtyřicet jedna procent společností své výdaje na IT naopak snížilo, zejména v důsledku současného hospodářského poklesu. Pro 59 % organizací ale průměrné výdaje na bezpečnost IT zůstaly v rámci celkového rozpočtu IT stejné a činily 10 % nebo více.

"Dotazované společnosti - celkem 407 firem z 18 zemích ze západní Evropy, Ameriky, středního východu, Afriky, Asie a Pacifiku - přesouvají své investice z jednotlivých řešení do komplexnějších celků, 59 % plánuje investice do bezpečnostních auditů IT, 57 % do prevence ztráty/úniku dat (DLP) a 52 % do oblasti poradenství," říká Zbyszek Lugsch, Solution Manager Dimension Data Czech Republic, a.s.

Společnosti si také uvědomili, že IT je jedním z klíčových prostředků pro zajištění jejich podnikání, a není-li jejich IT majetek zabezpečen, znamená to pro ně obrovské riziko. Následně se pak obrací k odborníkům na řízení a správu rizik pro komplexní řešení IT bezpečnosti.

"V oblasti IT bezpečnosti jsme právě na bodu zvratu," vysvětluje Lugsch. "Data by se měla stát hlavní cílem bezpečnostních aktivit, protože hned po zaměstnancích jsou dnes data nejdůležitějšími aktivy organizace. Ochrana dat, namísto jednoduchého zajištění sítě nebo systémů, vyžaduje změnu v myšlení, stejně jako technologiích."

Většina bezpečnostních řešení je typu perimeter-centric - tedy ochrana obvodu (firewally, VPN, atd.) a zdrojů (notebooky, servery). I když jsou tato řešení nedílnou součástí komplexní bezpečnostní strategie, chrání spíše infrastrukturu, která obsahuje a zpracovává informace, než informace samotné. Dalším rizikem v takto chráněném prostředí je, že když data opustí chráněnou oblast nebo hranice, často již nejsou nadále zabezpečeny.

Lugsch říká, že je čas, aby organizace přemýšleli o formě bezpečnosti kombinující pohledy řízení, rizika a shody (Governance, Risk, Compliance, GRC) – tedy založenou na prevenci úniku nebo ztráty dat (Data Loose/Leakage Prevention, DLP). I když jsou používány technologie pro zajištění firemních dat, není DLP ve skutečnosti problémem technickým, ale spíše obchodním.

Umožňuje organizacím definovat a prosazovat účinné bezpečnostní politiky pro tok informací, se schopností držet kontrolu nad důležitými informacemi, jako jsou technické výkresy, finanční metriky či zdrojové kódy. To zabraňuje náhodnému porušení bezpečnostní politiky a zároveň jsou podporováni uživatelé při používání všudypřítomných notebooků nebo přenosných zařízení.

DLP zohledňuje data v pohybu (mezi sítěmi, mezi uživateli, mezi počítači), provozní i archivní data, a to bez ohledu na to, zda jsou umístěna uvnitř sítě organizace, nebo mimo ni.

"DLP nenabízí jednoduché balíkové řešení," vysvětluje Eric Domage, Program Manager divize European security products and strategies ze společnosti IDC EMEA. "Prevence DLP musí být přizpůsobena specifickým potřebám podniků a na základě podrobného hodnocení rizik, která prověří všechny formy toku dat (data v použití, data v pohybu, a data v klidu), s cílem identifikovat a odstranit všechny možné oblasti ztráty dat a vytvořit nerozbitné řetězce bezpečnostních propojení."

Zbyszek Lugsch uzavírá : "Náš výzkum ukazuje, že například jeden den prostoje způsobený porušením zabezpečení bude mít větší dopad na výrobce, než na finanční instituce. Finanční odvětví by však utrpělo ještě větší ztrátu - poškození dobrého jména značky. Z hlediska nákupu bezpečnostních technologií je důležité, aby si organizace předem vyčíslili, jaké je jejich riziko v případě úniku dat nebo jiného porušení bezpečnosti. Povaha a pravděpodobnosti rizika pak určují, jak by mělo vypadat kontrolní prostředí."