Jak snížit náklady na vlastnictví IT… bezpečnost a compliance
Compliance i bezpečnost jsou oprávněnými buzzwords. Prostředí pro fungování firem se stává rapidně nebezpečnějším.
Bezpečnost se v posledních letech přetransformovala z technické disciplíny na strategickou disciplínu. Firmy díky tomu mohou lépe řídit celková rizika a odpovědnost. Je ale zapotřebí bezpečnost vnímat jako jeden ze základů, což znamená zapojovat ji od začátku a do všech oblastí.
Compliance zase v posledních letech nabrala na obrátkách s představením nových směrnic a zákonů vydaných EU. Ačkoliv to působí jako další byrokratické kroky, spousta těchto nařízení směřuje k vyšší úrovni bezpečnosti a soukromí.
Jak je tedy možné, že s navyšujícími se požadavky na bezpečnost a compliance, lze tyto koncepty použít pro optimalizaci nákladů na provoz nejen IT, ale i celé firmy? Pojďme se na to podívat.
Další důvody pro decision makery
Nejprve si ale ještě rozšíříme seznam důvodů pro to, aby se bezpečnost a compliance zařadily do aspektů strategického rozhodování vedení.
Jednou z největších nočních můr manažerů jsou náklady utrácené „pro nic za nic“. Aby se ani bezpečnost a compliance do této škatulky nedostaly, je nutné, aby decision makeři věnovali dost času tomu, aby plně pochopili, proč jsou pravidelné náklady na tyto účetní položky nutné.
Jak je vidět, jsou to čísla a analýza rizik, na kterých pak konkrétní technická opatření stojí. Aby ale IT nástroje mohly být použité správně, musí mít ten správný účel. A ten úzce souvisí se strategickým vedením firmy.
Jak se na bezpečnost běžně díváme (a proč to nestačí)
Výchozí stav, který se běžně ve firmách vyskytuje, zrcadlí pohled na povrch – bezpečnost a compliance jsou nutné zlo. Stojí hodně peněz, není z toho byznys a pořád visí ve vzduchu otázka, jestli je to skutečně v této míře ve firmě potřeba.
Nepřiznaná klíčová role pak vede k tomu, že audity se dělají jednou ročně – když dobře – protože i to je dost. Nákladová položka neustále sedí na výpise, což manažery znervózňuje, protože by ji velmi často rádi „optimalizovali“.
A veškerá zodpovědnost ideálně leží na bedrech jednoho technika, který je Broukem Pytlíkem – IT práce všeho druhu.
O bezpečnostních incidentech slyšíme každý den, ale i tak firmy žijí v pocitu, že jim se přece taková věc stát nemůže.
Jenže stát se to může stát každé firmě, bez ohledu, a pokud jsou bezpečnost a compliance pouze koulí u nohy, pak v případě problému přijde velký problém. Bezpečnost se totiž potřebuje chovat jako živý organismus. Potřebuje se vyvíjet, reagovat na změny prostředí a uzpůsobovat své jednání.
To ale naprosto neodpovídá pohledu, kdy je bezpečnost degradována na nutné zlo a její přizpůsobení a úprava se může změnit maximálně jednou za rok.
Nejčastější slepá místa v řízení bezpečnosti
To byl tedy náhled na bezpečnost. Pak je tu ale ještě přístup k bezpečnosti. Pohled to ale není o nic hezčí.
Firmy dost často řeší bezpečnost nákupem softwaru nebo nástrojů. Jenže to je pouze malý dílek obrovské skládačky zabezpečení fungování celého provozu. Vzhledem ke komplikovanému kyberbezpečnostnímu prostředí si jen málokdo může myslet, že správně nakoupené programy firmu ochrání.
Do bezpečnosti se musí započítávat mnohem víc. A jenom díky správně nastavenému přístupu k bezpečnosti a analýzám je možné odkrývat skutečná rizika a přiřazovat jim úroveň kritičnosti. Jinak jsou všechny hrozby na jedné hromadě a nikdo neví, která způsobí kolaps a která jen malé znepříjemnění fungování.
Firmy také nerady čelí konkrétním potenciálním dopadům vyčísleným v čase, financích a reputaci. Takový přístup je braný jako příliš negativní, pesimistický nebo dokonce přinášející smůlu. Ale pokud si firma dobře nespočítá dopady, pak neví, čemu čelí. A když neví, čemu čelí, nemůže to nikdy dobře zvládnout.
Celý výčet ještě zakončíme tradičním nastavením bezpečnosti ve firmách. Dost často je default setting ve stavu reaktivní bezpečnost. Něco uděláme, až když se něco stane. Jenže to už je pozdě.
Reálné dopady na firmu
Co pak souhrn postoje a přístupu firmu stojí? Není to málo.
Firma bude dojíždět na neplánované výpadky, které mohou pramenit z různých zdrojů. Je ale jedno, odkud vítr vane, protože neplánovaný výpadek bude vždy znamenat výpadek v provozu firmy. A tato rovnice dost často končí ztrátou tržeb a navýšenými náklady na řešení incidentu.
Tato reakce není levnou záležitostí. U neplánovaných výpadků totiž nejprve nastává fáze odhalení. Ta je následovaná fází řešení, obnovy a návratu k fungování. A ideálně pak ještě následně fáze nasazení opatření, aby se to už neopakovalo. Co slovo v tomto odstavci, to nemalé náklady navíc.
A pak to máme újmu, která se úplně nedá vyčíslit. To je právě její problém, protože bez finanční hodnoty ji manažeři mohou dost často ignorovat. Nedodržení závazků vůči zákazníkům totiž vede ke ztrátě jejich důvěry. A pokud firma funguje v regulovaném prostředí, pak jí může na záda začít dýchat regulátor.
Sečteno a podtrženo, chaos vždy stojí víc než řízený provoz. Pokud tedy ve firmě nastavíte jasné bezpečnostní a compliance procesy, vrátí se vám to v incidentech, které se vám pak nikdy nestanou.
Změna perspektivy: bezpečnost jako provozní disciplína
Už je váš pohled nahlodán? Pak můžeme jeho transformaci dokončit. Pro správné zakomponování bezpečnosti a compliance do fungování firmy je nutné, aby odpovědnost za tyto oblasti neslo vedení. Jen tak dojde k plně centrálnímu řízení hlavních aspektů provozu a bude tak možné je naplno koordinovat. Pouze ale za předpokladu úzké spolupráce s techniky.
Těm je nutné umožnit pravidelnou práci na zabezpečení, auditech, záplatování a monitoringu. A s tím samozřejmě souvisí vhodné nástroje, které jejich práci vhodně zautomatizují.
Prostě a jednoduše, zajistěte IT odborníkům takovou pozici u rozhodovacího stolu, aby mohli naplno a s plnou podporou vykonávat svoji práci. Nejde totiž jen o bezpečnost IT oddělení, ale o bezpečný provoz celé firmy.
Riziko vs. prevence: ekonomický pohled
Z ekonomického pohledu se vždy budeme dívat na balanc mezi rizikem a prevencí. Některé firmy jsou více averzní riziku než jiné. To samé platí o vedení těchto firem. Jakmile tedy na základě analýzy potřeb zjistíte, do jaké kategorie spadá vaše firma, je na čase této škále riziko-prevence přiřadit vhodné nástroje, procesy a opatření.
K určení té míry, do které je firma ochotná nést riziko, je vhodné si riziko i prevenci představit jako finanční položky.
Riziko – jednorázová platba s nejistým datem splatnosti
Prevence – pravidelná předvídatelná platba
Dost často se firmy podívají pouze na to, kolik stojí náklady na bezpečnost a compliance. Jenže je tam ještě druhá otázka, která je stejně tak důležitá: kolik stojí její absence?
Role vedení firmy
Pojďme si tedy shrnout, jakou roli hraje vedení firmy při zajišťování IT bezpečnosti a compliance.
- Zapojit IT oddělení do strategického rozhodování
- Připravit profil rizikové averze na základě potřeb
- Zapojovat se do pravidelného přehledu bezpečnosti a compliance
- Zapracovat business continuity a disaster recovery
Otázky, které by si měl decision maker položit
Vraťme se k bodu dva – profil rizikové averze.
Decision makeři musí chápat, jak to bude vypadat, když vypadne klíčový firemní systém. Také musí spočítat, po jakou dobu může dojít k výpadku provozu, aniž by to významně ohrozilo budoucí fungování firmy.
Pak je také potřebné zpracovat přehled zaměstnanců, kteří mají přístup k jednotlivým aspektům zabezpečení. Je nutné vědět, kdo nese zodpovědnost, aby bylo možné celý proces efektivně řídit.
U profilu rizik je také potřebné objasnit, proč dané riziko firma přijímá. Díky tomu bude jasné, k jakým druhům incidentů bude přistupovat reaktivně.
Shrnutí
V dnešním stavu není možné, aby byla firma „neprůstřelná“ vůči všem hrozbám. Je potřeba být připravení takovým způsobem, aby incident firmu nezruinoval.
