Hodnocení bezpečnostních rizik IT v podnicích

Autor: Antonín Hamřík, Lukáš Zmátlík
Publikace: Finanční management
Datum: 15.6.2010
Strana: 51

Informační technologie (IT) a IT systémy jsou v dnešní době klíčovou složkou každé větší organizace. Nedokáže se bez nich obejít chod žádného podniky. Přístup jednotlivých firem k IT se přitom liší.

Lze vysledovat určité tendence správy a řízení IT v souvislosti s velikostí a vyzrálostí podniku. U menších společností jsou často řízeny neformálně, například klíčovým zaměstnancem s většími zkušenostmi z oblasti IT. To často bývá podřízený finančnímu řediteli nebo se nachází i níže ve firemní hierarchii. U velkých společností jednoznačně převládá samostatně řízené IT oddělení, které spadá přímo pod generálního ředitele a tvoří významný nástroj řízení podniku.

Neformální řízení IT je určitě operativnější a levnější. Může však být vhodně použito pouze v omezené míře. Díky tomu, že jsou společnosti s takto začleněným IT většinou malé a vnitro-firemní komunikace zde nebývá problém, je takovéto řízení IT efektivní a účelné. Problémy mohou nastat s růstem společnosti, kdy je velmi obtížné určit správnou dobu, kdy je potřeba IT vyčlenit a začít řídit. Často se tak setkáváme se společnostmi, které vyrostly do té míry, že zavedly formální komunikaci i stupně řízení a mají natolik komplexní provoz a účetnictví vedené v informačních systémech, že jsou na IT silně závislé. Bohužel si ale často tuto závislost neuvědomí a řídí IT stále jako menší firma, tedy bez formálních kontrolních mechanizmů, bez analýzy rizik nebo bez zavedení potřebných ochranných opatření. Nápravy se většinou dočkáme až po prvním větším incidentu nebo problému. To však může být velice nákladný způsob, jak se naučit řídit IT.


Řízení rizik jako nástroj bezpečnosti IT

Velká část řízení podniku v oblasti informačních technologií se více než jiné oblasti věnuje řízení rizik a bezpečnosti IT jako takové.

Z pohledu řízení rizik je vhodné, aby IT bylo pochopeno jak v kontextu předmětu podnikání, tak i z pohledu samotného chodu firmu. Každý řídící pracovník zodpovědný za chod společnosti by si měl uvědomit, jak dalece je IT nezbytné pro provoz podniku. Měl by si položit si několik základních otázek, jako například:

  • Představuje IT pro podnik jen částečnou podporu, nebo je zcela nezbytné?
  • Vyhovuje IT v současné podobě potřebám společnosti? Jaký bude vývoj ve střednědobém horizontu?
  • Jaké informace jsou v počítačích uloženy a jak jsou zabezpečeny?
  • Jsou některé z podnikových informací pouze v elektronické podobě?
  • Co by se společností stalo, kdyby najednou počítače vyřadila nějaká havárie? Byla by možná obnova? Jaké by byly ztráty a jak nákladná by obnova byla?

Odpovědi na tyto a další podobné otázky umožní zjistit, nakolik je podnik závislý na informačních technologií a zároveň pomůže indikovat informační aktiva a jejich hodnotu pro společnost. V případě větší závislosti je nutné věnovat IT náležitou pozornost. Je vhodné přiřadit IT patřičné místo v hierarchii společnosti, připravit strategii rozvoje IT, zmapovat a zhodnotit informační aktiva, zhodnotit možná rizika a existující protiopatření a zavést odpovídající kontrolní mechanizmy.

Kontrolní prostředí je vždy tvořeno manuálními a automatickými kontrolami v IT procesech a informačních systémech. Zde si management může pomoci například některou z dobře známých metodologií nebo standardů, jako jsou například "The Control Objectives for Information and related Technology (COBIT)", které jsou vydávány Information Systems Audit and Control Association (ISACA)" v USA, nebo mezinárodními IT bezpečnostními normami skupiny ISO 27000, které poukazují na standardní kontrolní mechanizmy a základní rizika. Tyto a jiné standardy mohou managementu velice pomoci, zejména pak v začátcích implementace kontrolních mechanizmů. Je ale nutné přizpůsobit je aktuálním rizikům v dané oblasti a potřebám podniku.


Řízení rizik z pohledu auditu


V naší auditorské praxi se setkáváme s mnoha metodami řízení rizik v IT prostředí. Naší výhodou je fakt, že navštívíme stovky společností, čímž získáváme cenný přehled nad tím, jak lze danou problematiku uchopit v různých podmínkách a odvětvích. Základním parametrem, který určuje přístup k řízení IT rizik je opět velikost společnosti. V tomto ohledu lze společnosti rozdělit do dvou základních kategorií. Na podniky malé s počtem zaměstnanců přibližně do 500, kdy se z pohledu IT oddělení jedná o jednoho až deset zaměstnanců, a na velké podniky nad 500 zaměstnanců, kdy IT oddělení může čítat desítky pracovníků i více.

Rozdílné přístupy k řízení rizik u těchto dvou kategorií můžeme ilustrovat na příkladu rizika živelných pohrom ve formě záplav, ohně apod., která patří mezi základní inherentní rizika každého prostředí informačních technologií a které přímo ohrožuje hardware a počítačovou infrastrukturu. U menších firem, které často řeší základní existenční problémy, vedení většinou akceptuje vyšší míru rizika a nižší náklady.

Základní Metody řízení těchto hrozeb a rizik jsou například:

  • vhodná lokace místnosti se servery
  • správně zvolená protipožární ochrana
  • neformálně zvážený plán kontinuity provozu

U velkých společností už je nutné celou problematiku vnímat komplexněji a formálně a daná rizika ošetřit kromě zavedení kontrolních a monitorovacích mechanizmů například i vypracováním plánu obnovy podnikání a IT (BCP-DRP).

Na případu živelných pohrom lze ilustrovat i vhodný přístup k řízení rizik, jejich vyčíslení a ohodnocení. Historicky nevhodně umístěné serverovny v zátopové oblasti by z pohledu menší společnosti, která na IT technologiích není kriticky závislá ve svých obchodních procesech, bylo velice nákladné toto riziko zmírnit výběrem vhodnější lokality a přemístěním infrastruktury do nových prostor. Efektivnější by bylo zamyslet se nad jiným způsobem, jak dané riziko ošetřit, například již zmiňovaným plánem obnovy IT kombinovaným s pojištěním proti živelné pohromě. V případě společnosti, jejíž obchodní procesy jsou na IT kriticky závislé, však toto řešení už nelze použít. Vhodným řešením kromě vystavění nové serverovny na jiném místě může být například vytváření pravidelných záloh severu do jiné oblasti nebo domluva s poskytovatelem služby záložní kapacity třetí stranou.

V praxi se však často setkáváme nejen s tím, že výše zmíněná rizika nejsou řešena, ale i se situacemi, kdy je přímo v serverovně u počítačů umístěna celá řada hořlavých materiálů, jako například papír a dřevo. Zvyšuje se tím jednak pravděpodobnost výskytu požárů, ale i jejich případný rozsah a dopad. Obdobným způsobem se i u zálohování dat často setkáváme s případy skladování zálohovacích pasek ve stejné místnosti se zálohovaným počítačem. Pak už stačí i menší oheň a cenné podnikové informace mohou být nenávratně ztraceny.


Nejčastější problémové oblasti při řízení rizik

Mezi dvě nejproblémovější oblasti řízení bezpečnostních rizik, o kterých všíchni intuitivně vědí, ale které jsou často řešeny velmi nekoncepčně nebo jen částečně, a to dokonce i ve velkých společnostech, patří:

  • Rozdělení neslučitelných pravomocí - Jednou z nejzávažnějších a zároveň nejvíce opomíjenou oblastí je rozdělení neslučitelných pravomocí a jemu odpovídající přidělení rolí v informačních systémech (segregation of duties, tedy například oddělení těchto činností - vložit do systému nového dodavatele, zadat a schválit přijatou fakturu, proplatit fakturu). Řada podniků si neuvědomí nutnost nastavení těchto zásad a často se také manažeři spoléhají na to, že standardní zabezpečení aplikace je dostatečné. Aplikace sice takovou kontrolu většinou umožňují, ovšem velmi často nejsou správně nastaveny. Celkový přístup k řízení rizika, koncentrace pravomocí a jejich neslučitelnosti jsou zároveň úzce spjaty s procesy přidělování uživatelských oprávnění do systémů a aplikací.

    Danou problematiku tím lze rozdělit na oblast samotné definice zodpovědností a rolí a jejich přidělování jednotlivým zaměstnancům. Často se setkáváme se situacemi, kdy je tento proces veden pouze neformálně a je zcela závislý na znalostech a zkušenostech správce IT systému. Druhá oblast se týká samotného nastavení přístupových práv například k jednotlivým transakcím systému. Za efektivní zde lze považovat metodu autorizačních profilů a typových rolí, které, v případě, že jsou správně nastaveny, usnadňují celý proces přidělování uživatelských oprávnění. Nezbytným krokem v celém procesu řízení obdobného rizika je taktéž periodická kontrola nad uživatelskými účty a jejich pravomocemi.

  • Outsourcing - Zajímavou disciplínou řízení rizik, která v posledních letech nabývá na významu, je oblast outsourcingu IT aktivit. Mohlo by se zdát, že se tímto krokem daří managementu rizika přenést na třetí stranu, mimo oblast primární zodpovědnosti, opak je ale většinou pravdou. Je proto nutné danou oblast pečlivě ošetřit a rizika řídit zejména v situacích, kdy je přístup k servisní organizaci ztížen a proces přesunut mimo primární dosah společnosti. Hrozby a rizika tím nezanikají a nezaniká ani zodpovědnost managementu. Jedním ze základních kroků je pečlivé sestavení smlouvy o poskytování služeb (SLA - service level agreement), což většina klientů učiní. V některých případech však nemusí být SLA postačující zárukou k pokrytí a řízení všech rizik. Následně je vždy nezbytné identifikovat případné hrozby a rizika pro outsourcovaný proces a zajistit jejich ošetření. To řada manažerů nedělá s odkazem na případné náhrady poskytnuté servisní organizací. Pokud ale spolu s dalšími klienty servisního střediska podnik při případném požáru nenávratně ztratí veškerá účetní data a originály dokladů, nemusí být finanční kompenzace dostačující.

    Management by měl vždy zvážit úroveň kontroly outsoursovaných procesů a služeb a řídit riziko například přímo pomocí nezávislé prověrky a hodnocení kontrolního prostředí v IT. Existuje také nepřímé řešení v podobě požadavku na servisní organizaci na vystavení obecně uznávané auditorské zprávy nad outsoursovanými procesy. Taková nezávislá prověrka kontrolního prostředí může prokázat úroveň řízení rizik a stav kontrol v servisní organizaci. Často používané jsou například zprávy podle mezinárodních standardů ISAE 3000, nebo SAS 70 report dle amerického zákona Sarbanes - Oxley.


Závěr


Hodlá-li management zkvalitnit bezpečnost a vnitřní kontrolní mechanizmy IT společnosti, musí vzít v úvahu všechna klíčová rizika. Je nezbytné zavést konkrétní opatření a kontrolní mechanizmy nad fyzickou i logickou bezpečností, nad implementací systémových změn a nad provozem IT. Doporučujeme také, aby důsledně uplatňoval princip řízení rizik IT a neopomněl zahrnout zejména oblast služeb poskytovaných třetími stranami a správné nastavení neslučitelných pravomocí.

Management by měl vždy zvážit úroveň kontroly outsoursovaných procesů a služeb a řídit riziko například přímo pomocí nezávislé prověrky a hodnocení kontrolního prostředí v IT. Existuje také nepřímé řešení v podobě požadavku na vystavení obecně uznávané auditorské zprávy nad outsoursovanými procesy.