Outsourcing bezpečnostního řešení

Menší firmy (a často i jednotlivci) chrání své systémy pomocí firewallů, větší

firmy používají navíc systémy pro detekci útoků v reálném čase. Stále častěji se

objevují systémy chlubící se „vyšší inteligencí“, jejich ochrana je stále

komplexnější, zranitelnost stále menší. Málokdy se ale hovoří o odvrácené

stránce těchto „inteligentních“ systémů, kterou je složitost jejich

administrace. Zatímco před několika lety dokázal firewall nakonfigurovat nadšený

správce metodou pokus – omyl, v dnešní době vyžaduje správné nastavení až týdny

školení, což stojí čas a nemalé finanční prostředky. Když se pak takový správce

rozhodne firmu opustit, zbývají dvě možnosti – draze vyškolit jeho nástupce,

nebo mu zvýšit plat. Po půl roce se tato situace může opakovat a spirála

rostoucích výdajů je roztočena.

Není to ale jen problém výdajů. I velmi inteligentní systémy jsou k ničemu,

pokud nejsou správně nastaveny a jejich nastavení není pravidelně aktualizováno.

Firemní správce sice absolvoval školení a nastaví firewally přesně podle

příručky, nicméně nejlépší učitel je i v tomto případě praxe. Vlastní správce,

který má na starosti pět firemních firewallů, nikdy nedosáhne takové úrovně

znalostí jako specialista z bezpečnostní firmy, který se stará o desítky

firewallů několika zákazníků.



Outsourcing: ano či ne?

S přihlédnutím k výše uvedeným důvodům se tedy outsourcing bezpečnostního řešení

jeví jako dobrá volba. Výběr poskytovatele této služby ale není jednoduchou

záležitostí. Na co by si měl dát IT manažer při výběru pozor?

Především je to existence procesů na straně poskytovatele outsourcingu. Procesy

by měl zajistit, aby outsourcing poskytovala bezpečnostní firma jako celek,

nikoliv jeden konkrétní člověk v této firmě. V opačném případě se sice firmě

(zákazníkovi) o bezpečnostní řešení bude starat zkušený expert, ale co se bude

dít v případě jeho nemoci, dovolené či velkého vytížení jiným zákazníkem?

Procesy by měly také pokrývat veškeré změny, které jsou v bezpečnostním systému

prováděny. Ačkoliv se může zdát, že přenesením zodpovědnosti za bezpečnostní

řešení poskytovateli outsourcingu mizí veškeré starosti, není to pochopitelně

tak úplně pravda. Poskytovatel se sice stará o správnou konfiguraci a sleduje

možné bezpečnostní slabiny, ale nemůže sám rozhodovat o provádění změn, které

mohou mít vliv na funkčnost ostatních systémů ve firmě. Nemůže například

rozhodnout o změně konfigurace systému, která bude mít za následek výpadek

vzdáleného připojení managementu k firmě. Existence procesu může těmto

„nepříjemnostem“ předejít – každá změna je předem naplánovaná a ohodnocená z

hlediska dopadů na ostatní firemní systémy. IT manažer pak musí rozhodnout, zda

se změnou souhlasí či nikoliv.

Závěrem je užitečné zmínit, že outsourcing automaticky neznamená zbavení se

takzvaných in-house zdrojů a přenesení starosti o bezpečnostní řešení mimo

firmu. U významných poskytovatelů outsourcingu se jedná o škálovatelnou službu,

která umožní IT manažerovi rozhodnout se, které služby ponechá ve vlastní

„režii“ a které předá externí firmě. Není se tedy třeba obávat, že rozhodnutí

využít outsourcingu bezpečnostního řešení znamená okamžité zbavení se vlastních

specialistů na bezpečnost.

Outsourcing může začít u jednotlivých servisních služeb, jako je instalace

patchů, hot-fixů a upgradu na nové verze produktů na základě pokynů zákazníka.

Ve stejné kategorii se nacházejí změny konfigurací, též vyvolané pokyny

zákazníka. O něco výš stojí kontinuální sledování bezpečnostních slabin a

následné aktivní doporučování změn v systému, na zákazníkovi je již pouze jejich

schvalování. Plný outsourcing pak znamená, že poskytovatel outsourcingu má ve

své správě celý bezpečnostní systém (hardware, software, bezpečnostní politiku,

atd.), reaguje na požadavky zákazníka (řízení přístupových práv při

příchodech/odchodech zaměstnanců, vytváření a aktualizace bezpečnostních politik

při vzniku nových aplikací atd.) a garantuje, že v každém okamžiku je bezpečnost

na požadované úrovni. I v tomto případě má zákazník k dispozici dokumentaci

všech prováděných změn. Pokud se tato změna dotkne i jiných procesů (např.

omezení některých aplikací, přístupu na internet apod.), měl by být zákazník

informován o dopadech těchto změn a schválit jejich provedení.



Autor je ředitelem Security Expert (divize Corpus Solutions)