Rozhodování o investicích do bezpečnosti informací je mimořádně obtížné. Na rozdíl od provozních technologií je výsledný efekt těchto investic velice komplikovaně měřitelný. Když se k tomu přidá logický požadavek, že o efektivitě investice bychom měli nejlépe vědět předem, ještě než ji provedeme, dostáváme se do oblasti sci-fi.
Náš klient výrobní podnik se složitým schématem výrobních procesů a k tomu odpovídající komplexností ICT, nás požádal o vyřešení problému s plánováním a hodnocením investic v bezpečnosti informací. Hned nám bylo jasné, že je pro něj ideální náš nový koncept vyhodnocování bezpečnosti. Našim cílem bylo zkombinovat best practice v bezpečnostních standardech, kterými se klient snažil řídit, s pragmatických přístupem, který se v přeregulovaném prostředí často vytrácí.
Využili jsme veškerá dostupná data, která klient měl k dispozici, přičemž o některých ani nepředpokládal, že mohou být využitelná pro měření bezpečnosti. Mnoho informací jsme využili z bezpečnostních dohledových systémů typu SIEM, výsledků analýz rizik, testů zranitelností ICT systémů a výsledků auditů a dalších.
Některé typy informací klient bohužel neměl k dispozici, protože taková data jednoduše nikdy nesbíral. Zde jsme si poradili tak, že jsme výsledný datový model doplnili o heuristické hodnoty odvozené z prostředí typově podobných organizací. Takže i když klient nikdy neprovedl analýzu zpracování osobních údajů, díky tomuto hybridnímu řešení jsme byli schopni správně identifikovat, jaká zpracování osobních údajů budou pro klienta klíčová a potenciálně vysoce riziková.
S přehledem o stavu bezpečnosti klienta, jeho trendu, hodnotách rizik a dalších klíčových parametrech jsme byli schopni zpracovat přehled o stavu i predikci dopadu plánovaných investic – které investice byly účinné a které do budoucna dávají nebo nedávají smysl a jaký přesně bude jejich dopad na bezpečnost.
Klientovi jsme poradili následující:
Zjistili jsme například, že plánovaná investice do bezpečnosti sítě bude v danou chvíli neefektivní, protože její přínos se neprojeví dříve než po pěti letech v návaznosti na jiné plánované projekty a s ohledem na vývoj trhu těchto řešení lze očekávat, že odložení investice o čtyři roky výrazně ušetří prostředky. Současně jsme zjistili, že výše plánované investice je v nepoměru k očekávanému snížení rizik a okamžitě dostupné prostředky lze alokovat s větším efektem do oblasti správy přístupových oprávnění.
Také jsme zjistili, že investice do opakovaných bezpečnostních testů se nijak neprojevily na vylepšené kvalitě zabezpečení ICT systémů. Byli jsme schopni doporučit změnu v alokaci prostředků tak, aby výsledek měl lepší efekt na stav bezpečnosti ICT systémů.
Doporučili jsme klientovi zabývat se bezpečností systému BOZP, který klient nevnímal jako kritický. My jsme díky využití heuristických dat shledali, že ten samý systém je u jiných organizací velmi problematický. Prověřili jsme toto zjištění s daty našeho klienta a ukázalo se, že skutečně obsahuje zásadní údaje, které byly ohroženy a díky tomu hrozila i významná finanční sankce od kontrolního orgánu.
Klienta jsme následně připojili do naší služby SMC, která veškeré výše uvedené analytické činnosti provádí kontinuálně. Poskytuje informace cenné pro bezpečnost i ICT provoz a umožňuje tak klientovi udržovat si neustále aktuální přehled o prioritách a potenciálních bezpečnostních problémech.
