K poskytování služeb, analýze návštěvnosti a personalizaci reklamy se využívají soubory cookie. Informace o použití webu mohou být sdíleny s dalšími partnery působícími v oblasti sociálních médií, inzerce a analýz. Používáním tohoto webu s tím souhlasíte. Další informace

Jak na outsourcing bezpečnosti ICT

Datum: 8. 4. 2016, zdroj: VSOL 1/2016, rubrika: Veřejná správa online

Vize propojeného světa v rámci „internetu věcí“ se pomalu začíná naplňovat. S tím také roste význam bezpečnosti informačních technologií, které jsou již nedílnou součástí téměř každého podniku či instituce. Ovšem kvalitní bezpečnostní technici představují nedostatkové zboží a samotná problematika bezpečnosti IT nabobtnala do takových rozměrů, že v podstatě není v silách jednoho člověka ji zvládnout.

Řešením je najmout si na zajištění bezpečnosti IT ve firmě specializovanou společnost. Na možnosti a úskalí při výběru společnosti poskytující outsourcing bezpečnosti IT se proto podíváme detailněji.

Na co by si měly firmy nebo úřady dát pozor při výběru poskytovatele outsourcingu bezpečnosti IT při sjednávání kontraktu a během následné spolupráce?
Při výběru poskytovatele outsourcingu je nezbytné ověřit jeho kvalitu a kredibilitu a požadovat stejnou nebo vyšší úroveň poskytovaných služeb, než jakou má zákazník. To lze prověřit vyžádáním certifikátu ISAE 3402 typ II nebo například předložením reference poskytovatele, případové studie, implementované normy do prostředí společnosti například ISO/IEC 27k a 20k, které jsou zárukou, že poskytovatel má zavedený certifikovaný systém řízení vztahů se zákazníky, nastavený systém hodnocení interního procesního řízení, zavedený systém vzdělávání a odborného růstu zaměstnanců. Důležitý je také správně nastavený systém rolí a odpovědností, interních kontrolních mechanismů, systém zvládání bezpečnostních incidentů, havarijního plánovaní a měření dostupnosti poskytovaných služeb zákazníkům. Vhodné je zajímat se i o průkaznost vyspělosti a vyzrálosti technického personálu. V neposlední řadě je dobré se informovat o vztahu poskytovatele služeb směrem k subdodavatelům, o to, jakou technickou podporu a typ partnerství s nimi udržují.
Jak by měly být rozděleny role poskytovatele těchto služeb a zákazníka při řešení bezpečnostních incidentů?
V případě rozdělení rolí při řešení bezpečnostních incidentů doporučuji zvolit individuální přístup k zákazníkovi – na základě získaných znalostí (buď z provedené vstupní analýzy, nebo z dobré znalosti prostředí zákazníka, včetně jeho operačních potřeb) představit zákazníkovi konceptuální návrh na rozdělení rolí a odpovědností za jednotlivé činnosti. V ideálním případě může typové nastavení rolí vypadat tak, že poskytovatel služeb bezpečnostní procesy a procedury navrhuje, implementuje, monitoruje, reaguje na incidenty a předkládá manažerské reporty ze své činnosti. Zákazník vykonává role kontrolní, schvalovací, zvažuje a přijímá návrhy na zlepšení služeb a implementuje organizační, popřípadě technická protiopatření ve vlastní společnosti. I při úplném outsourcování IT je nutné, aby si zákazník udržel dostatečné know-how nezbytné pro správné fungování a řízení outsourcované služby.
Uplatňuje se na českém trhu řízených bezpečnostních služeb hybridní model (směs on-premise a cloudových řešení)? Pokud ano, jaké přináší výhody a nevýhody?
Modely poskytovaných řízených bezpečnostních služeb na českém trhu jsou různé. Je to dáno současnou ekonomickou situací, hledáním úspor a s tím i často spojovanou restrukturalizací firem, hledáním nových forem podnikání, a tedy i rostoucími požadavky na přístupy k informacím a vlastním datům. Společnosti v dnešní době mnohem více zvažují a plánují, co je pro jejich podnikání v danou dobu přínosnější a ekonomicky výhodnější. Proto jsou na našem trhu preferovány spíše hybridní modely poskytování bezpečnostních služeb. V budoucnu lze očekávat, že s nárůstem přechodu IT společností do cloudů bude narůstat i podíl bezpečnostních služeb poskytovaných v cloudu.
A co vlastně potřebujeme pro zajištění bezpečnosti ve firmě nejenom z pohledu zákona o kybernetické bezpečnosti?
Nejprve je nutné zjistit, „jak na tom jsme“ – a to třeba bezpečnostním auditem. Určitou první metou mohou být takzvané penetrační testy, které prověří, „kde nechal tesař díru“. Penetrační testy ukážou, kterou část bezpečnostního systému je třeba posílit a doplnit. Dále je nezbytné nastavit monitoring firemní sítě a doplnit ho o systém pro sledování a vyhodnocování logů SIEM, které informují a evidují, co se v síti z pohledu bezpečnosti vlastně děje. Většina lidí si myslí, že pokud žádné podezřelé činnosti na svém počítači nevidí, nikdo na ně neútočí.
Několik detailů týkajících se kybernetických útoků ze studie společnosti McAfee (In the Crossfire: Critical Infrastructure in the Age of Cyberwar):
  1. Nejčastější kybernetické útoky: 80 % respondentů se setkalo s rozsáhlým útokem na dostupnost služby (DDoS, distributed denial of service). Čtvrtina respondentů uvádí, že k takovým útokům dochází denně či týdně, nebo jimi vyděrači alespoň vyhrožují. Ještě větší podíl odpovídajících (85 %) zaznamenal, že jejich síť byla infiltrována škodlivými kódy. Před rokem s žádným DDoS útokem ještě neměla zkušenosti téměř polovina firem provozujících kritickou infrastrukturu, nyní tento podíl klesl na 20 %.
  2. Všudypřítomní vyděrači: Čtvrtina respondentů se v souvislosti s kybernetickými útoky setkala s vydíráním. Podíl postižených firem vzrostl meziročně o 25 %. Existují však velké regionální rozdíly. V některých zemích, jako je Indie nebo Mexiko, je situace zvlášť závažná, vydírání zde připouští 60–80 % manažerů. Naopak mezi jednotlivými odvětvími kritické infrastruktury se situace v tomto ohledu neliší. Allan Paller, ředitel SANS Institute, pokládá vydírání za obrovskou, přitom obvykle málo zmiňovanou oblast kybernetické kriminality. Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoli z oficiálních míst to bývá jako příčina incidentů obvykle popíráno.
  3. Organizace selhávají při zavádění efektivního zabezpečení: Důmyslnější postupy zabezpečení jsou v menšině. Jen asi čtvrtina respondentů má implementovány nástroje pro sledování činnosti sítí a pouhých 26 % používá nástroje detekující anomální chování IT systémů.

Vysvětlivky

  • SIEM (Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:
    • SIM (Security Information Management) se zabývá dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů.
    • SEM (Security Event Management) se zabývá monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.

Petr Smolník, autor je šéfredaktorem vydavatelství Averia Ltd

TOPlist
TOPlist