Strategie informační bezpečnosti
Strategie informační bezpečnosti (Information Security Strategy, zkr. ISS) by měla vycházet z business strategie a regulatorních požadavků.
Při návrhu optimální strategie informační bezpečnosti byste měli vzít v úvahu vnější i vnitřní prostředí, ve kterém se core business společnosti odehrává, protože zde vznikají rizika, kterým musí společnost, pokud chce být na trhu dlouhodobě úspěšná, čelit. Cílem strategie informační bezpečnosti je pak zcela logicky minimalizace těchto rizik, a to na úroveň, která je pro vedení společnosti akceptovatelná, respektive která odpovídá jeho postoji k riziku tzv. risk appetite.
Strategii informační bezpečnosti by tedy měla předcházet analýza rizik, jejímž výsledkem by měl být seznam kritických aktiv, a dále pak hrozby, kterým je daná společnost vystavena a v neposlední řadě pak zranitelnosti, které daný systém obsahuje a příslušná opatření, jež jsou zavedena. Doporučuji provést rychlou kvalitativní analýzu rizik a u rizik, která vám vyjdou jako vysoká pak detailní kvantitativní analýzu rizik, protože jinak budete velice těžko sestavovat a obhajovat rozpočet.
V okamžiku, kdy znáte výši rizik, kterým je společnost vystavena, můžete provést jejich prioritizaci a zvolit vhodný způsob jejich zvládání. Je zřejmé, že zcela jistě identifikujete rizika, která bude nutno eliminovat a to nepůjde jinak, než zavedením účinných bezpečnostních opatření. Pro výběr vhodných opatření můžete použít mezinárodní standard ISO/IEC 27002, které obsahuje 133 konkrétních opatření. Tím, že jste provedli prioritizaci rizik, jste de facto i určili pořadí, v jakém by se měla jednotlivá rizika eliminovat.
V okamžiku, kdy odhadnete, jak dlouho vám zavedení příslušných opatření bude trvat, můžete snadno naplánovat krátkodobé, střednědobé a dlouhodobé projekty, jejichž cílem bude zavedení právě těchto opatření. Je zřejmé, že zavedení těchto opatření bude něco stát. U každého opatření byste proto měli spočítat přibližné TCO, protože jejich součet bude tvořit podstatnou část vašeho rozpočtu na informační bezpečnost na další roky. Případně se můžete i pokusit spočítat, jaká je návratnost investice do bezpečnosti tzv. ROSI, ovšem osobně to považuji spíš za ztrátu času.
Pokud jde o celkové náklady, tak nezapomínejte, že rozpočet na Informační bezpečnost lze rozdělit na 4 základní oblasti, a to náklady na personál, HW, SW a služby, které nakupujete jinde. Např. dle společnosti Gartner vyčleňují společnosti v průměru kolem 5% IT rozpočtu na bezpečnost, přičemž přibližně 40% činí náklady na personál, 30% software, 20% hardware a 10% outsourcing. Píši přibližně, protože posledních několik let je rozdělení nákladů mezi tyto 4 oblasti víceméně stejný a osciluje kolem několika málo procent.
Nyní již víte, čemu byste se měli v oblasti informační bezpečnosti v nejbližších měsících až letech věnovat a kolik vás to bude stát, takže by vám už nic nemělo bránit v tom sepsat strategii informační bezpečnosti a nechat si ji schválit.
ČERMÁK, Miroslav, 2013. Strategie informační bezpečnosti. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/strategie-informacni-bezpecnosti/. [citováno 07.12.2024].
Štítky: řízení informační bezpečnosti
K článku “Strategie informační bezpečnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.