Informacna bezpecnost je zodpovednostou celej organizacie

Informačná bezpečnosť je zodpovednosťou celej organizácie

1-2017, Ročník 2017, Systémy kvality a manažérstva

Pavel Horník
TÜV SÜD Slovakia, s. r. o.
vedúci audítor pre ISO/TS 16949:2009

Prínosy zavedenia a certifikácie podľa normy ISO/IEC 27001:
 • prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti,
 • zlepšuje porozumenie obchodných aspektov, dáva istotu, že investície do bezpečnosti informácií boli nasmerované efektívne,
 • nezávisle potvrdzuje, že organizačné riziká sú náležite identifikované prostredníctvom posudzovania obchodných rizík,
 • pravidelné hodnotenie procesov vám pomôže zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje výkon,
 • najviac zo všetkého prináša dôvernosť, motivuje vedenie a tiež tým môžete podporiť vnímanie bezpečnosti a ochrany zverených informácií a citlivých údajov vašimi zákazníkmi.

Téma informačnej bezpečnosti je v posledných rokoch často skloňovaná. Netýka sa len zabezpečenia informácií a informačných systémov, ale aj prístupu vedenia a potrebnej edukácie zamestnancov vo firmách. Z praxe je totiž známe, že za únik informácií z podniku až v 80 % prípadoch môže práve ľudský faktor; ďalších 20 % predstavujú útoky zvonku.

Je to pochopiteľné, nakoľko vo firmách exponenciálne narastá objem poskytnutých a spracovaných informácií a taktiež aplikácií na prácu s nimi. Je dôležité si uvedomiť aj to, že zamestnanci často pracujú s citlivými údajmi, ktoré môžu podliehať zákonom (ochrana osobných údajov, ochrana utajovaných skutočností, priemyselná bezpečnosť…) či obsahovať firemné know-how. Nejde pritom o zodpovednosť len radových zamestnancov, ale komplexne celej organizácie vrátane vedenia.

Modernizácia predstavuje stále širšiu škálu hrozieb z vonku

Trendy informačnej bezpečnosti hovoria o tom, že zavádzanie inovácií vo firmách môže spôsobovať ich väčšiu zraniteľnosť. Podľa Intel Security sa dokonca v roku 2017 môžeme stretnúť s kybernetickými hrozbami zameranými na:

  • hardvér – inovácie, rozvoj, nové oblasti nasadenia,
  • vydieračský malware,
  • internet vecí (Priemysel 4.0),
  • útoky prostredníctvom systémov pre zamestnancov,
  • Cloud (rozvoj využívania týchto služieb),
  • automobilový priemysel (technológie, dáta),
  • čierny trh s odcudzenými dátami,
  • útoky na integritu (najmä vo finančnom sektore).

Príkladom podcenenia informačnej bezpečnosti je čoraz častejší výskyt prípadov, keď firma doplatila na dôverčivosť zamestnancov a prostredníctvom malware niekto zašifroval firemné súbory. S odstupom času od takto napadnutej firmy za sprístupnenie zašifrovaných dokumentov požadoval útočník nemalú čiastku peňazí.

Ako sa vo firmách najčastejšie podceňuje informačná bezpečnosť?

  • Vo firme je zaužívaná predstava zamestnancov, že problém zmizne, pokiaľ je ignorovaný.
  • Uplatňujú sa krátkodobé reaktívne riešenia bez analýzy príčin, čo má za dôsledok opätovné objavenie sa problému v relatívne krátkom čase.
  • Podceňuje sa hodnota podnikových informácií a toho, akým aktívom je dobrá povesť organizácie.
  • Zamestnanci sa spoliehajú na technické riešenia (napr. firewall).
  • Nezvládnu sa prevádzkové aspekty bezpečnosti: zavádzanie nedostatočných riešení a nesledovanie výsledkov riešení.
  • Manažment podceňuje následky zabezpečenia informačnej bezpečnosti.
  • Bezpečnosť informácií, resp. správa infraštruktúry, sa zverí neškoleným pracovníkom.

Ako vyriešiť otázku bezpečnosti informácií? Myslite systémovo

Ľudia predstavujú najväčšiu hodnotu firmy, ale z pohľadu bezpečnosti informácií tak isto aj veľké riziko. Logicky tak v rozrastajúcich sa spoločnostiach vzniká dopyt po riešeniach, ktoré ho eliminujú. Nie je žiadnou novinkou, že jedným z efektívnych riešení, ako tomu zabrániť, je mať vo firme správne zavedený systém manažérstva.

Zavedenie štandardov je celosvetovým trendom v riadení informačnej bezpečnosti. Uznávanou normou pre túto oblasť je ISO/IEC 27001, ktorú firmy a verejný sektor využívajú čoraz častejšie. Práve zaužívanie pravidiel môže pomôcť organizácii spravovať a chrániť všetky cenné informačné aktíva. Či už sa jedná o útoky z vonku organizácie, alebo škody z úniku informácií zapríčinené ľudským faktorom.

„Podľa prieskumu magazínu Computer Weekly takmer 90 % spoločností, ktoré implementovali princípy ISO/IEC 27001 do svojich procesov, uviedlo, že formálna certifikácia zlepšila zachovanie kontinuity ich prevádzky, 85 % uviedlo, že sa minimalizovali škody z bezpečnostných udalostí a 53 % uviedlo, že zavedenie normy prispelo k vyššej návratnosti investícií.“

Normu ISO/IEC 27001 celosvetovo implementujú spoločnosti, pre ktoré je ochrana informácií rozhodujúca. Okrem interných prínosov tým zvyšujú aj dôveryhodnosť voči obchodným a technologickým partnerom.