Jak prodat bezpečnost finančnímu řediteli firmy

Všichni, nebo téměř všichni, se shodují na tom, že zabezpečení informačních

systémů je nezbytností. Je ovšem velký rozdíl mezi situací, kdy se o

zabezpečení jenom mluví, a tím, kdy se má něco podniknout nebo dokonce

investovat nemalé peníze. V takovém okamžiku přicházejí ke slovu termíny jako

definice obchodního případu nebo návratnost investic. Lze je ovšem skutečně

aplikovat i na oblast bezpečnosti?

„Vypněte to, a to hned!“ Tím, kdo vydal tento příkaz, byl šéf pro informační

bezpečnost (CISO, Chief Information Security Officer) jisté poměrně velké

firmy. A tím, co přikázal vypnout, byla celá její internetová infrastruktura,

která generuje denně více než 2 miliony dolarů tržeb s vysokou mírou zisku.

Po bezesné noci správci IT infrastruktury konečně zjistili, proč jsou postiženi

dlouhým útokem typu DoS. Jejich firewally přece měly bez problémů tento útok

odrazit, ale to se nestalo. „Zlí hoši“ po nich šli jako vosa po medu. To ráno

si najednou někdo uvědomil, že firemní firewally byly sice aktualizovány, ale

zapomnělo se na opětovnou aplikaci jakýchkoliv kritických bezpečnostních

pravidel.

Příčinou výše zmíněného útoku tedy byla zásadní a přitom prostá lidská chyba.

Přesto tato událost způsobila kompletní přehodnocení internetové bezpečnosti ve

firmě. Následovalo rozhodnutí o zvýšení bezpečnostních opatření a také

outsourcing větší části správy a monitorování zabezpečení.



Časy se mění

Za starých časů se celá bezpečnostní infrastruktura firmy skládala z několika

firewallů a určité antivirové ochrany. Avšak nová rizika tato jednoduchá

obranná opatření vysoce přerostla a náklady na bezpečnost se vyšplhaly na

takovou úroveň, že podléhají schválení CISO a někdy také CIO. Firmy ze žebříčku

Fortune 500 pak mají takové výdaje na bezpečnost, že jejich schválení vyžaduje

souhlas CEO nebo dokonce správní rady. A každá z těchto firem má svého

vlastního, ostražitého finančního ředitele, který požaduje popsání nové

infrastruktury v souvislostech jako obchodní případ s důvěryhodnou mírou

návratnosti investic.

Tudíž před vámi stojí tři problémy. Je třeba určit potřebnou úroveň zabezpečení

vaší firmy. Je potřeba postavit obchodní případ a prezentovat jej netechnickým

řídícím pracovníkům tak, aby jej pochopili a podpořili. A musíte prokázat, že

investice budou mít finanční návratnost. A to vše kvůli systému, u kterého

pokud dokonale funguje se nic nestane.

I když to nezní jako jednoduché zadání, pravdou je, že z pořízení bezpečnostní

infrastruktury lze obchodní případ udělat. A to tak důvěryhodně, že i ten

nejpřísnější finanční ředitel bude s investicí souhlasit.



Krok 1: Zjistěte stav

Prvním krokem musí být zjištění stávající a požadované míry zabezpečení. Nechte

bezpečnostní audit zrealizovat firmou, která má solidní pověst. Nezapomeňte

zahrnout vyhodnocení zranitelných míst a také penetrační testy všech svých

klíčových systémů. (Klíčové systémy jsou ty, jež se starají o toky peněz, data

o zákaznících, zaměstnancích a produktech.) Nedělejte to sami. Pravděpodobně

nemáte potřebnou kvalifikaci a i kdybyste ji měli, nedosáhnete kredibility

nutné k obhájení obchodního případu.

Pokud všechno uděláte správně, budete mít k dispozici vyhodnocení, které vám dá

velmi dobrou představu o stavu bezpečnosti IT ve vaší firmě a o nutných

opatřeních v této oblasti. Nebuďte defenzivní. Podělte se o výsledky s vaším

CEO a se šéfy obchodní jednotky. Usnadněte jim pochopení problému a nápravná

opatření.

Vyhodnocení vám řekne, kde jsou vaše slabá místa a každé z nich podrobně

rozebere. U každé aplikace byste měli vědět, jaká potenciální nebezpečí hrozí,

znát celkový ekonomický dopad každého případu narušení a pravděpodobnost, že k

němu dojde. Nejlepším zdrojem těchto informací platných celosvětově je zpráva

vydávaná každý rok společně Institutem pro počítačovou bezpečnost (Computer

Security Institute) a FBI. Má takovou míru důvěryhodnosti, že ji váš CFO bude

respektovat.

Poslední součástí vyhodnocení je projekt nákladů na zabezpečení během příštích

pěti let, postavený na stávajících technologiích a procesech.



Krok 2: Mějte plán

Nyní je třeba vytvořit bezpečnostní plán sloužící k nápravě mezer v zabezpečení

zjištěných při bezpečnostním auditu. Nevynechejte žádnou oblast. Firewally,

antivirovou ochranu, systém detekce vniknutí, interní segmentaci sítě,

aplikace, jejich nasazování, pronájem, outsourcing, školení, monitorování a

provoz to vše by mělo být ve vašem plánu obsaženo.

Vytvořte pětiletý model celkových nákladů na vlastnictví (TCO). A stále mějte

na zřeteli obtížnost a náklady na realizaci jednotlivých částí opatření.

Existují nesčetné příklady kvalitních lidí, kteří dostali výpověď, protože

zařízení sloužící k detekci vniknutí ležela ve skladu ještě půl roku poté, co

byla zakoupena a zaplacena. Prostě nebyli k dispozici odborníci, kteří by je

nainstalovali.

TCO budou mnohem vyšší, než byste čekali. Bezpečnost je drahá. Ale pokud

nezahrnete všechny prvky a nevytvoříte pětiletou kalkulaci TCO, finanční

ředitel vás donutí udělat všechno znovu, čímž samozřejmě ztrácíte body. A pokud

výši nákladů podceníte a podaří se vám toto číslo prosadit ve schvalovacím

procesu, už byste raději měli začít s vybrušováním svého životopisu.



Krok 3: Obchodní případ

Vybudujte také obchodní případ založený na kalkulaci návratnosti investic do

bezpečnosti. Jistě, lze to udělat podívejme se jak.

Celé tajemství spočívá v tom, že musíte být schopni vedení firmy vysvětlit, o

co se pokoušíte, a to takovým způsobem, aby to bylo všem srozumitelné. Oni jsou

placeni za to, že moudře rozhodují o alokaci zdrojů (peněz). Dejte jim

srozumitelný výčet skutečností, a dostanete z nich tu správnou odpověď.

Začněte z velkého nadhledu. Obrázky a graf v těchto případech obvykle zabírají

nejlépe. Za osvědčený lze považovat graf ve tvaru písmene S a analogii hradu a

příkopu.

Vysvětlete, že se snažíte vybudovat příkop kolem hradu. Dokud není příkop kolem

celého hradu, utratili jste sice spoustu peněz, ale bezpečnost se vůbec

nezlepšila. Tato analogie reprezentuje levou část S křivky. Pokud nemáte

zprovozněnu minimální úroveň zabezpečení, utrácíte peníze, ale stále jste

zranitelní.

Jakmile se podaří příkop kolem hradu dokončit, rozhodnete se, jak široký a jak

hluboký by měl být. Toto je střední část grafu, kterou pracovně nazvěme třeba

zónou obezřetnosti. Liší se od odvětví k odvětví. Výrobce krejčovské křídy

potřebuje menší zabezpečení než zpracovatelé transakcí provedených kreditními

kartami.

Když postavíte příkop kilometr široký a pouze metr hluboký, peníze jste

vyhodili z okna. To představuje pravá horní část S křivky. Stále utrácíte

spoustu peněz, ale bezpečnost se již nijak významně nezvyšuje. Finanční

ředitelé se CIO, který vyhazuje peníze, rádi zbaví. A že se to na vašem

životopisu nebude nijak zvlášť vyjímat, je jasné.

Poté se ponořte do problematiky poněkud hlouběji. Sdělte, co chcete s penězi

udělat a proč. Zde je vhodné nasadit matici rizik a řešení. Využívá data z

bezpečnostního auditu a uvádí jednotlivé rizikové oblasti, ekonomický dopad

bezpečnostního incidentu v každé z nich, pravděpodobnost jeho výskytu a

výsledné náklady každého takového incidentu pro celý podnik. K těmto prvkům

přiřaďte jednotlivé části svého bezpečnostního plánu a odškrtávejte jednotlivé

oblasti, kde tento plán řeší daná rizika.

Je dobré uvést nejdříve všechny kroky nutné k dokončení imaginárního příkopu.

Poté následují opatření nutná k tomu, aby se firemní bezpečnost dostala do

„zóny obezřetnosti“. A dále kroky, jejichž realizací by se společnost dostala o

kousek dále za tuto zónu, ale ne příliš daleko.

Teď, když jste uvedli všechny navrhované kroky a jejich náklady ve vztahu k

modelu finančních rizik, je třeba stanovit návratnost investic u každého z

nich. Návratnosti lze docílit čtyřmi základními způsoby: snížením stávajících

nákladů, snížením budoucích nákladů, snížením finančních rizik nebo zvýšením

tržeb. Finanční ředitel bude radostí bez sebe!



Jde o peníze

Investice do informační bezpečnosti mohou dosáhnout návratnosti omezením

předpokládaných ročních ztrát (Annual Loss Expectancy, ALE) v důsledku narušení

bezpečnosti. ALE je kalkulací skutečných nákladů bezpečnostního incidentu

vynásobených pravděpodobností jeho výskytu v příštím roce. Je to obdoba

výpočtů, které dělají pojišťovny a na jejichž základě stanovují výši pojistného.

Předpokládejme, že máte (stejně jako firma z úvodního příkladu) webové stránky,

které generují tržby v objemu 2 miliony dolarů denně. Bezpečnostní audit

ukázal, že stránky jsou zranitelné v případě DoS útoku, v jehož důsledku by

došlo k třídennímu výpadku, přičemž pravděpodobnost úspěšného úroku v průběhu

roku je 60 %. ALE je 2 miliony/den krát 3 dny krát 60 % = 3,6 milionu dolarů.

Bezpečnostní vylepšení stojí 500 tisíc dolarů a sníží pravděpodobnost úspěšného

útoku na 15 % a dobu výpadku na jeden den. Zlepšené ALE činí 2 miliony/den krát

1 den krát 15 % = 330 000 dolarů. Čímž dostáváme návratnost v prvním roce ve

výši 3,3 milionu dolarů (3,6 milionu 300 tisíc) při vynaložení investice ve

výši 500 000 dolarů.

Nyní máte před sebou všechny nutné části úspěšného obchodního případu. Dalším

krokem bude pověřit příslušného pracovníka vypracováním standardních firemních

tabulek návratnosti investic a shrnout bezpečnostní audit, bezpečnostní plán

včetně TCO v příštích pěti letech, matici rizik a řešení a kalkulace ROI do

standardního firemního formátu. Mějte na paměti, že chcete svůj obchodní případ

prezentovat úplně stejně jako jakékoliv jiné firemní investice.

V tomto okamžiku asi stojí za to vytvořit stručnou prezentaci v PowerPointu,

která shrne klíčové body. Zůstaňte v nadhledu. Jakmile se dostanete do

technických a odborných detailů, publikum začne poulit oči a ztrácíte

důvěryhodnost ve své roli obchodníka. Předveďte prezentaci jednotlivě každému

vedoucímu pracovníkovi ještě před tím, než se bude věc projednávat.

Nevynechejte finančního ředitele. Naslouchejte a do svého dokumentu zapracujte

jejich připomínky. Nyní jste připraveni prezentovat záležitost na schůzi vedení.

Pokud se budete držet námi uvedeného postupu, vaším dalším problémem už by mělo

být pouze to, jak efektivně utratit všechny získané peníze.



Tipy na návratné investice do bezpečnosti

Vhodné investice do bezpečnostní infrastruktury závisejí především na aktuálním

stavu této oblasti u každé konkrétní organizace (jak ostatně zmiňujeme i v

hlavním textu). Přesto zde přinášíme několik tipů na vylepšení bezpečnosti (a

související možnosti návratnosti investic), které v současnosti ve firmách

patří k často realizovaným:

Lepší správa hesel může omezit související problémy, které zaberou IT

zaměstnancům hodiny a hodiny času a zhoršují jejich produktivitu.

Vylepšení správy bezpečnostních oprav je ohromnou příležitostí ke zvýšení

produktivity pracovníků týmu IT.

Nové technologie mohou integrovat firewall a systémy detekce vniknutí do

jediného balíku, čímž se odpovídajícím způsobem sníží náklady na údržbu.

Řadu přínosů nabízí i outsourcing monitorování bezpečnostních systémů. Systémy

detekce vniknutí produkují tuny informací a potřebují nepřetržitý dohled. Možná

byste se této práce raději zbavili ve prospěch někoho, kdo se tím živí.

Náležitá bezpečnost umožňuje firmám bezpečným způsobem převést takové činnosti,

jako jsou lidské zdroje či administrativa týkající se služebních cest, na web,

čímž lze dosáhnout úspor v administrativní oblasti.

Vhodně zvolená úroveň zabezpečení dovoluje využít bezdrátových sítí, čímž se

dosáhne úspor oproti nákladným klasickým pevným sítím.

Lepší bezpečnost může snížit celkovou výši pojistného, které firma platí.

Je dokonce možné dosáhnout postupného nárůstu tržeb realizací nových projektů,

které by jinak byly zamítnuty kvůli bezpečnostním obavám například převedením

části dodavatelského řetězce na internet.