Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

ISMS - nejčastější chyby (2. část)

 

V dnešní druhé části našeho miniseriálu si povíme o nejčastějších chybách při zavádění systému řízení bezpečnosti informací - ISMS.

 

Bussines Impact Analysis

Činnost, která je opředena mnoha tajemstvími. O co vlastně jde? Má-li organizace hotovou základní analýzu rizik a dokument návrh protiopatření, musí být vytvořeny tzv. plány obnovy (viz. Předchozí díl). Nezbytnou součástí těchto plánů jsou tzv. plány obnovy záloh (recovery plann) a plány obnovy podnikání (Bussines Continuing Planning). V této fázi vzniká zásadní chyba, která může mít za následek dva fatální problémy. Prvním je, že vlastníci aktiv požadují obnovení činnosti svého aktiva okamžitě po výpadku. Druhým, že díky náročnosti (finanční a personální) takového požadavku se stává celý plán obnovy jen cárem papíru, který nebere nikdo vážně. Výsledek je lehce predikovatelný. Dojde-li k vážnému výpadku kritického aktiva, není toto obnoveno a organizaci tak může vzniknout závažný existenční problém.

Pojistkou je právě Bussines Impact Analýza, tedy analýza obchodních dopadů v případě nedostupnosti kritického aktiva. Tato situace nastává v mnoha organizacích, které se rozhodli implementovat ISMS a to jako následek nesprávně provedené analýzy rizik.

Máme-li tedy na základě analýz rizik vydefinovány kritické systémy, musí být provedeny rozhovory s vlastníky těchto aktiv. Hlavní otázkou je, jak dlouho může být aktivum nedostupné a jaké finanční ztráty jeho nedostupnost znamená pro organizaci. Tedy představme si aktivum XYZ, což je v našem případě základní Informační systém pro podporu obchodu, obsahuje veškeré informace o zákaznících, probíhajících zakázkách, včetně predikce zakázek budoucích. Je přímo navázán na systémy účtárny a na systém skladového hospodářství. Když se zeptáte majitele aktiva, jak dlouho může být systém nedostupný, dozvíme se, že maximálně hodinu. Co znamená jedna hodina? Znamená to tolik, že taková organizace nemůže mít standardní plán obnovy s připravenými zálohami. Takový požadavek vyžaduje mít on-line připojené záložní centrum, které je nejlépe připojeno optickým kabelem k primární databázi a ta je v reálném čase replikována. Je-li organizace takto vybavena, není problém do 60 minut obnovit činnost takového aktiva. A nyní obraťme list. Pokusme si spočítat, kolik bude organizaci stát, takové pracoviště buď udržovat vlastními silami nebo formou outsourcingu. Letmým výpočtem pronájmu optického vlákna, prostor, techniky a lidských kapacit zjistíme, že takový požadavek bude znamenat zvýšení nákladů o stovky tisíc korun měsíčně. Předložíme-li managementu organizace požadavek na zajištění bezpečnosti formou této fantastické sumy, bude nás čekat více, či méně taktní dotaz na naše psychické zdraví. Celá implementace ISMS je ukončena a výsledkem je zhoršení celkového stavu informační bezpečnosti v organizaci.

Je-li však rozhovor s majitelem aktiva proveden v souladu s požadavky organizace, lze přesně identifikovat a stanovit míru mezi požadavky majitele aktiva, požadavky organizace z hlediska dostupnosti a financí. Je tedy více než žádoucí vydefinovat následující informace:

 

Doba přerušení

Popis následků

Finanční vyjádření ztrát

1 hodina

Obchod může pokračovat

0

1 den

Obchod může pokračovat s drobnými výpadky

10.000,-

3 dny

Obchod může pokračovat, nelze uzavírat nové zakázky

70.000,-

Týden

Obchodování se zastaví

300.000,-

Tabulka č.1. finanční vyjádření ztrát způsobených nedostupností aktiva

 

Z této tabulky tedy jasně vyplývá, že požadavek na zprovoznění aktiva XYZ do 60 minut po výpadku je zcela neopodstatněné. Vedle této tabulky je vhodné vytvořit tabulku druhou, která bude vyjadřovat finanční náklady na obnovení aktiva XYZ v definovaných lhůtách:

 

Doba obnovení

Finanční vyjádření nákladů

1 hodina

100.000,-

1 den

50.000,-

3 dny

10.000,-

Týden

5.000,-

Tabulka č.2. finanční vyjádření nákladů na obnovení aktiva

 

Je zcela patrné, že porovnáme-li tyto dvě tabulky vedle sebe, dojdeme k následujícímu závěru: „aktivum XYZ je nejvhodnější obnovit během 48 hodin, kdy definované ztráty mohou dosáhnout 10.000,- a náklady mohou vystoupat k 50.000,-. Zcela patrné bude tento příklad z přiloženého grafu:

 

BIA

Graf č.1. finanční vyjádření ztrát a nákladů

 

Samozřejmě, naprosto jiný režim bude například pro finanční instituci veřejné banky s tisíci klientů nebo ve výrobní organizaci s nepřerušovaným provozem. Ale takové organizace si mohou dovolit i poměrně vysoké náklady na udržení kritických systémů v režimu 7/24/365. Další věcí, kterou je třeba vzít v úvahu je návaznost jednotlivých aktiv na aktiva další. V případě zásadní návaznosti mohou být ztráty z nedostupnosti aktiva násobeny nedostupností aktiva dalšího. Ale takové případy nastávají nepříliš často.

Tento díl měl ukázat na opomíjenou činnost v rámci zaváděni ISMS, činnost, která v důsledku může ušetřit organizaci nemalé personální a finanční náklady. Ve všech odborných publikacích, které se zabývají řízením informační bezpečnosti ve společnosti, najdete popsanou analýzu rizik. Vždy je zdůrazňováno, že se jedná o nejpodstatnější část celé implementace. Bohužel, málokde, není možno v literatuře najít, jak by taková analýza měla vypadat a na co by si měli dát pracovníci AR provádějící, dát pozor. V našem seriálu jsme tuto problematiku rozvedli do maximální možné hloubky a byly zde popsány všechny důležité činnosti. Zároveň byly také popsány nejčastější chyby, omyly a mýty. V příštím díle, už závěrečném, přineseme popis toho, jak se provádí certifikace systému řízení bezpečnosti a opět upozorníme na nejčastější chyby a problémy.

 

 

 Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění