English version
Systémová pravidla bezpečnostní politiky organizace
Každý uživatel IT systému musí mít stanoveny jasné hranice, které už nesmí překročit. Takové vytyčené hranice, mezi kterými se uživatel může pohybovat, jsou stanoveny prostřednictvím pravidel a požadavků, která jsou určena pro celý provoz informačních systémů.
Restrikce vyplývající z povinností, které jsou definovány na základě bezpečnostní politiky organizace, můžou být dané již v pracovních smlouvách. Na tomto místě platí, že nesmí být nijak měněny a jejich důležitým úkolem je zakotvit v interních pravidlech společnosti tak, aby se staly jeho neměnnou součástí. Pro organizační struktury ve všeobecnosti platí, že se navzájem z mnoha různých důvodů odlišují, a na základě této skutečnosti je možno konstatovat, že pravidla by měla být vypracována samostatně pro jednotlivé druhy aktivit společnosti.
Již zmiňovaná souvislost bezpečnostních pravidel s pracovní smlouvou znamená, že každá pracovní smlouva by měla obsahovat určité náležitosti (či alespoň jejich formální popis), které mají být její neoddělitelnou součástí. Mezi základní pravidla je v této souvislosti možné zařadit alespoň:
- komunikace prostřednictvím emailu,
- pravidla související s přístupem na internet,
- pravidla uplatňovaná při využívaní výpočetní techniky,
- podporované programové vybavení,
- evidence hardwaru a softwaru,
- pravidla určená pro využití vlastních zařízení,
- mnohé citlivé údaje, jako například personální data anebo know-how,
- pravidla a školení určená pro používání certifikátu a elektrického podpisu zaměstnance.
Pro elektronickou komunikaci přitom platí, že pokud bereme do úvahy ochranu práv a svobod občana, ve všeobecnosti má e-mailová komunikace soukromý charakter. V praxi to znamená, že zaměstnavatel nemá právo jakékoliv kontroly e-mailové pošty svých zaměstnanců. Zaměstnavatel sice může kontrolu e-mailové komunikace požadovat, v takovém případě by ale měla být tato kontrola již zmíněná v jednotlivých pracovních smlouvách všech zaměstnanců, od kterých zaměstnavatel takovou kontrolu vyžaduje.
Co se týče pravidel souvisejících s přístupem na internet, tato pravidla mají být taktéž jasně určená v pracovních smlouvách zaměstnanců. V ideálním případě by taková pracovní smlouva měla obsahovat předem pojmenované chování, které je v souvislosti s přístupem na internet nepřístupné, nebo zakázané; zaměstnavatel má pak právo takto definované chování považovat za hrubé porušení pracovní kázně.
V případech, kdy je zaměstnanci přidělena výpočetní technika určená ke splnění pracovních úkolů, opětovně se požadují jasně stanovená pravidla, na základě kterých je zaměstnanci co nejpřesněji definováno, jakým způsobem může s touto technikou manipulovat.
V některých případech se může stát, že zaměstnanec začne považovat výpočetní techniku přidělenou mu zaměstnavatelem k plnění pracovních úkolů za své osobní vlastnictví. Takto nevhodné pochopení pravidel snadno vede ke vzniku různých zásadních bezpečnostních incidentů narušujících bezpečnostní politiku společnosti. Technické restrikce zamezující neoprávněným uživatelským zásahům se mohou ukázat jako málo účinné. Proto by i tato oblast měla být ideálně zachycena v pracovní smlouvě zaměstnance.
Jednoznačně definována by měla být rovněž pravidla pro využití programového vybavení různých zařízení, která by stanovila rámec podporovaného a jednotného softwaru. Tato skutečnost úzce souvisí s tím, jakým způsobem jsou definovány jednotlivé pracovní činnosti a jejich vybavení jednotným softwarem. Může tak být správně zajištěna zastupitelnost uživatele a zároveň usnadnění správy vnitřních záležitostí společnosti.
Na druhé straně je možné říci, že pravidla určená pro využití vlastních zařízení, obstaraných nebo vlastněných zaměstnanci, jsou velmi obtížně definovatelná. Vlastní zařízení, která zaměstnanci používají při výkonu svých pracovních povinností a činností, představují desítky nových požadavků potřebných na zajištění bezpečnostní politiky. Za takové vlastní zařízení, které zaměstnanci nejčastěji používají, můžeme právem považovat i „chytré“ mobilní telefony obsahující mnoho funkcí.
Nové požadavky jsou však mnohokrát protichůdné. Je jasné, že výše uvedený přístup s využitím vlastních zařízení zaměstnanců má mnoho nezastupitelných výhod. Mezi hlavní výhody můžeme považovat fakt, že dochází k zvýšení produktivity a atraktivnosti pracovních pozic. Nevýhodou používání vlastních zařízení bývá zvýšená šance vzniku bezpečnostních incidentů. Stane-li se, že např. notebooky zaměstnanců budou napadeny škodlivým softwarem, vznikne během komunikace s počítačovou sítí v kanceláři riziko pro celou společnost.
Mezi velmi citlivé údaje, kterým je potřeba věnovat zvýšenou pozornost, patří osobní data (např. zaměstnanců, nebo klientů) a know-how. Pro tyto údaje platí, že pro ně musí být v interních předpisech organizace jednoznačně definováno umístění datového a případně záložního úložiště. Na základě jasného definování úložiště výše uvedených dat jsou potom dána i jasná pravidla, která je nutné dodržovat při manipulaci s citlivými údaji. Pro tato pravidla je charakteristické, že musí být schválená a podepsaná vrcholovým vedením společnosti.
Aby měla společnost jistotu, že bude možné snížit bezpečnostní riziko na minimum, musí mít jasně definovaná pravidla a s tím související důkladné školení pro používání certifikátu a elektronického podpisu zaměstnance. Tato pravidla a školení jsou také nutnou podmínkou pro snížení uvedeného bezpečnostního rizika. Běžnému uživateli obvykle chybí technické znalosti. Proto v těchto případech často dochází k situaci, v níž uživatel podcení význam a právní důsledky spojené se zneužitím této technologie.
Technická pravidla pro zvýšení bezpečnostní politiky organizace
Co se týče datového úložiště a serverových aplikací platí, že tyto musí být založené na vysoce bezpečných a pokud možno heterogenních platformách. Na základě této skutečnosti je možné říct, že na znalosti systémových administrátorů jsou kladeny mnohem vyšší nároky. Musíme však vyzdvihnout i výhodu takto definované infrastruktury, na základě které dochází k výraznému snížení možnosti vzniku bezpečnostního incidentu.
Za často uváděné a nesmírně důležité pravidlo je možno považovat zálohu dat, v ideálním případě mimo místo, kde se vyskytuje hlavní server. Nejlepší je situace, kdy tato záloha dat je umístěná v jiném objektu. Při dodržení výše uvedeného jednoduchého pravidla máme jistotu, že nedojde ke ztrátě dat, k níž může jinak velice snadno dojít na základě nahodilého bezpečnostního incidentu velkého rozsahu, například při požáru nebo povodni.
Optimalizace informační bezpečnosti a trendy na ochranu bezpečnosti informačních technologií
Bezpečnostní politika společnosti definuje souhrn základních metodik, pravidel, zodpovědností a zásad, jejichž primárním úkolem je ochrana před úmyslným útokem zevnitř nebo zvnějšku s cílem poškodit organizaci a jejich zaměstnance. Další nedílnou částí je ochrana před neúmyslnou chybou. Platné a trvale udržované interní směrnice, které reflektují směr vývoje informačních technologií a předvídají jejich trendy v oblasti bezpečnostních incidentů, by měly mít za cíl pomoci zaměstnancům snáze rozpoznat možná rizika.
V případě podezření nebo vzniku bezpečnostního incidentu poskytuje správně nastavená bezpečnostní politika nástroj pro restriktivní opatření, zvyšuje jistotu kvalitní ochrany majetku společnosti proti poškození nebo zničení. Bezpečnostní politika organizace představuje jednu z konkurenčních výhod, která deklaruje kvalitu firmy.
V této souvislosti je však vhodné mít na paměti, že správně definovaný systém jakosti a bezpečnosti organizace rozhodně není jen souhrnem norem, definic, softwarových produktů a restrikcí. Rozhodující je systém, který stojí na správně vyškolených zaměstnancích a kvalitních pracovních smlouvách.
Datová bezpečnost je záležitostí, která se již dávno netýká jenom korporací a velkých firem. V současné době je to faktor týkající se téměř každého podnikatele, který zároveň při své činnosti využívá informační technologie. Čím dál tím častěji dochází ve firmách ke krádežím a zneužití citlivých firemních informací. V oblasti kybernetické bezpečnosti dochází nejčastěji k problémům v níže vyjmenovaných oblastech:
- Zastaralý hardware a software
- Neexistující ochrana specializovanými nástroji
- Neloajální zaměstnanci
- Vlastní zařízení zaměstnanců (např. notebook, telefon)
- Nevhodným způsobem nastavené procesy ve společnosti
V mnohých společnostech se i přes rychlý vývoj informačních technologií běžně stává, že firmy používají zastaralý hardware a software. Vedení v takových společností si často neuvědomuje, že společnost vystavují bezpečnostnímu riziku v tom okamžiku, kdy dojde k zastavení dodávání bezpečnostní aktualizace od výrobce příslušného hardwaru a softwaru. V momentě, kdy dojde k zániku technické podpory, tento operační systém se stane velmi snadno napadnutelným narušitelem zvenčí. Zastaralý hardware pak mohou ve zvýšené míře ohrožovat i různé poruchy a z tohoto hlediska by měla být samozřejmostí průběžná výměna.
Mezi jednu z nejdůležitějších položek majetku společnosti beze sporu patří její duševní vlastnictví. Když dojde k jeho ztrátě, pro společnost to může mít až likvidační důsledek. Společnosti mu i přes tuto skutečnost mnohokrát věnují minimální pozornost. Je přitom zřejmé, že ochranu citlivých firemních dat je možné řešit s pomocí specializovaného programového vybavení. Jedním z hlavních úkolů bezpečnostního programu bývá sledování využívání firemních USB disků či notebooků. Takto sledovaná data je pak možné šifrovat. I přes nesmírnou důležitost bezpečnostního softwaru dochází ve firmách k neustálému odkládání jeho zavedení, často až do chvíle, kdy dojde ke skutečné ztrátě důležitých dat.
Jak již bylo uvedeno a blíže popsáno, v mnoha společnostech se stává samozřejmostí použití vlastních počítačů a mobilních telefonů zaměstnanců. Využívaní vlastní techniky představuje pro firmu velkou výhodu, která spočívá ve snížené nutnosti společnosti starat se o svůj hardware. Je však v souvislosti s tímto trendem nutné myslet také na zvýšená rizika, která toto řešení přináší. Řešení situace spočívá ve vzájemné dohodě zaměstnance a zaměstnavatele o nastavení a dodržování bezpečnostních pravidel ve společnosti.
Dopad špatně nastavených procesů ve společnosti na její řádný chod je zřejmý. Problémům je možné se efektivně vyhnout pouze v tom případě, když je důležitost kvalitní firemní politiky a jejich interních předpisů myšlena opravdu vážně. Administrátor má být vybaven dostatečnými pravomocemi a má mít vybudovanou autoritu pro uplatňování a dodržovaní všech bezpečnostních postupů, už jenom z toho důvodu, že ve společnostech často dochází k podceňování otázky bezpečnosti ze strany jejího vedení.
Bezpečnost informačních technologií je často brána jako něco méně důležitého, jako nějaký doplněk práce odpovědných zaměstnanců. Ve skutečnosti by přitom mělo jít o zcela opačný postup, kdy prioritní místo by u správce informačních technologií měla mít bezpečnost firemních dat a velkou pozornost by měli příslušní zaměstnanci také věnovat zabezpečení počítačů ve firemní síti i na všech datových úložištích.
Všechny tyto výše uvedené aspekty musí být ošetřeny ve vnitřních předpisech, a to nejen z pohledu jejich definování, ale také stanovení odpovědnosti za jednotlivé oblasti Zaměstnanci musí mít možnost se s daným předpisem seznámit.
Sebelépe napsaná směrnice uložená někde v šuplíku nebude aplikovatelná. Ochranu informací ve společnosti tak lze shrnout do třech oblastí, na které je potřeba při tvorbě interních předpisů pamatovat – je to právní kontext a smluvní ochrana, na druhém stupni vnitřní směrnice a pracovní smlouvy a v neposlední řadě i ochrana technologie ve vlastnictví společnosti – ať už procesně (šifrování, správné nakládání s elektronickým podpisem), nebo preventivně (instalace programů, které např. zamezí neoprávněnému úniku dat). Tyto oblasti již byly podrobněji popsány výše.
Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner DKS LEGAL.
