RSA, Security Division společnosti EMC, dnes zveřejnila dvě nové studie, které se zaměřují na významné bezpečnostní dopady využívání moderních technologií (např. „cloud computing“, virtualizace, sociální sítě nebo mobilní komunikace) a zkoumají obchodní rizika i přínosy, které pro organizace po celém světě tyto technologie představují.

První studii zpracovala divize IDG Research Services. Zjistila, že mezi rychlostí, s níž organizace implementují nové technologie pro spolupráci a komunikaci, a jejich připraveností k bezpečnému nasazení těchto technologií, existuje značný rozdíl. Druhá studie pochází od rady Security for Business Innovation Council společnosti RSA a vysvětluje, jak mohou firmy využít obchodní přínosy uvedených technologií, aniž by svou organizaci vystavily riziku.

„Stále více firem se řadí mezi tzv. nadměrně riskující podniky, které sdílejí informace s velkým počtem partnerů pomocí mnohem více kanálů, než tomu bylo dříve“ uvedl Art Coviello, výkonný viceprezident společnosti EMC a prezident RSA, Security Division společnosti EMC. „Rychlá implementace nejnovějších webových, sociálních a mobilních technologií v kombinaci s nárůstem využití externích dodavatelů rychle rozvolňuje zbytky tradičních obranných opatření, kterými jsme dosud chránili své organizace a informační aktiva. Bezpečnostní strategie se musí zásadně změnit, chtějí-li firmy i nadále dosahovat svých cílů, tedy snižovat náklady a plnit plány tržeb, a zabránit při tom vzniku nových a nebezpečných podnikatelských rizik.“

Průzkum mezi stovkou špičkových bezpečnostních manažerů firem s obratem nad miliardu dolarů, který si v roce 2009 u společnosti IDG Research Services objednala společnost RSA, prokázal, že některé firmy potenciál nových webových a mobilních technologií nadchl do takové míry, že je nasazují i bez adekvátního zabezpečení klíčových procesů a dat.

Mezi hlavní závěry patří:

• Přes 70 % respondentů průzkumu se domnívá, že zvyšovaní kvality připojení a výměny informací díky novým webovým a komunikačním technologiím má za následek, že jejich organizace nadměrně riskují.
• Ve většině organizací se během posledních 12–24 měsíců rozšířilo využívání virtualizace, mobilních komunikací a sociálních sítí a více než třetina pak zvýšila využití tzv. „cloud computing“.
• Přesto však mnohé z firem, které poskytly odpovědi, nemají vhodnou strategii pro posuzování rizik, která jsou s implementací těchto nových technologií spjata. V některých organizacích dojde ke konzultacím s firemním bezpečnostním oddělením až v případě, že nastanou problémy, a v dalších není bezpečnostní oddělení o využívání těchto nových technologií vůbec informováno.
• Méně než polovina respondentů vypracovala pravidla, jimiž se zaměstnanci mají řídit při používání webů sociálních sítí a souvisejících nástrojů.
• Přes 30 % firem, které poskytly odpovědi, již provozuje alespoň některé podnikové aplikace či firemní procesy pomocí „cloud computing“ a dalších 16 % migraci na takové řešení plánuje v průběhu příštích 12 měsíců. Dvě třetiny z nich zatím neimplementovaly bezpečnostní strategii cílenou na „cloud computing“.
• Více než 8 z 10 respondentů vyjádřilo obavy, že tlak na snižování nákladů a zvyšování tržeb přispěl ke zvýšení bezpečnostních rizik. Více než 7 z 10 za posledních 18 měsíců zažilo bezpečnostní incident.
• Většina respondentů se shodla, že je nutné změnit a zlepšit metody zabezpečení podniku tak, aby reflektovaly na nové technologie a způsob práce.

Výsledky studie shrnuje dokument vypracovaný divizí IDG Research Services s názvem „As Hyper-Extended Enterprises Grow, So Do Security Risks“, který je k dispozici ke stažení na www.rsa.com/innovation.  Dále si zde mohou organizace otestovat svou připravenost na bezpečnostní incidenty, jež mohou nastat v nadměrně riskujících podnicích, a porovnat své výsledky s respondenty průzkumu.

RSA dnes také zveřejnila výsledky čtvrté zprávy rady Security for Business Innovation Council pod názvem “Charting the Path: Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk.”.V této studii špičkoví bezpečnostní experti z celého světa popisují, jak se musejí změnit bezpečnostní strategie, a to zejména tam, kde dobře míněné akce vedoucí ke stimulaci rozvoje podnikání mohou ve skutečnosti vystavit organizaci až katastrofickému riziku.

„V tomto okamžiku, kdy se podmínky dramaticky mění, si bezpodmínečně musíme vybrat oddechový čas. Musíme situaci posoudit ze správného odstupu a analyzovat, zda má naše strategie všechny potřebné součásti,“ okomentovala studii členka rady dr. Claudia Natansonová, ředitelka pro informační bezpečnost společnosti Diageo. „Je vaše strategie připravena na složitou cestu, na kterou se možná brzy vydáte? Protože jen ti nejschopnější, nejobratnější a nejflexibilnější mají šanci dorazit do cíle.“

Předchozí studie RSA nazvaná, “Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy” zdůrazňovala, že v době omezených rozpočtů a prostředků je nezbytné nepolevovat v inovačním úsilí. Tato nová studie pak dokumentuje snahu bezpečnostních expertů zajistit současně podporu inovací i ochranu informací v prostředí se stále větším rizikem.

Studie vychází z podrobných pohovorů s členy rady Security for Business Innovation Council, kteří patří mezi nejlepší světové bezpečnostní manažery, a analyzuje další směřování informační bezpečnosti. Nabízí konkrétní doporučení pro přípravu inovovaného modelu informační bezpečnosti, který bere v úvahu nejnovější příležitosti i související nebezpečí. Členové rady zdůvodňují, proč je dnešní prostředí tak rizikové, a radí, jak bezpečně zajistit růst i v podmínkách nadměrně riskujícího podniku. K těmto konkrétním doporučením patří:

1. Omezte rozsah chráněného prostředí: Pomocí metod řízení rizik stanovte, kde lze ve stávajícím bezpečnostním prostředí využívat prostředky efektivněji. Rada například doporučuje strategii, která eliminuje bezpečnostní prostředky chránící nadbytečná informační aktiva, uložená data a zařízení. Zmenšení chráněného prostředí pak umožní podnikům současně snížit náklady i riziko a uvolní prostředky pro důležitější projekty.
2. Zvyšte konkurenceschopnost: Pokud mají manažeři pocit, že nedostávají od interního bezpečnostního oddělení potřebnou podporu, mohou obejít firemní bezpečnostní oddělení a angažovat externí poskytovatele bezpečnostních služeb. Tím však zvýšit riziko, jemuž je podnik vystaven. Rada vysvětluje, že se bezpečnostní tým musí zaměřit na kvalitu a efektivitu vlastních služeb a být schopen jasně formulovat, v čem spočívá jeho hodnota při dané ceně.
3. Proaktivně implementujte technologie v kontrolovaných podmínkách: Oddělení informační bezpečnosti musí mít chápat, že není možné zablokovat používání nových webových a komunikačních technologií. Je naopak třeba umožnit jejich bezpečné využívání. Členové rady poskytují doporučení, jak přejít od reaktivní bezpečnosti k proaktivní a jak vytvořit plán implementace nových technologií ve firmě.
4. Přejděte od ochrany úložiště k ochraně dat: V současné době je stále více podnikových dat zpracováváno a ukládáno v různých úložištích, nad nimiž nemá firma plnou kontrolu. Data bývají například zpracovávána externími poskytovateli služeb nebo uložena v osobním nebo přenosném počítači zaměstnance. Rada doporučuje opatření, která za této situace umožní přejít od ochrany datového úložiště přímo k ochraně vlastních dat.
5. Implementujte sofistikované postupy monitorování zabezpečení: V dnešním prostředí plném hrozeb musí bezpečnostní týmy změnit přístup k monitorování abnormálních událostí a útoků. Rada nabízí doporučení, podle nichž lze přejít od metod, jako jsou antiviry využívající virové definice nebo seznamy zakázaných adres, k přesnějším metodám, tedy například k monitorování chování anebo seznamům povolených adres.
6. Podílejte se na vytváření oborových standardů: Členové rady vysvětlují, proč jsou bezpodmínečně nutné jednotné standardy pro bezpečnostní specialisty, externí poskytovatele a nové technologie.
7. Sdílejte informace o rizicích: Aby se podniky mohly lépe bránit zahraničním útočníkům a stále sofistikovanějším sítím podvodníků, doporučuje rada robustnější vzájemné sdílení strategických informací – a to nejen mezi podniky, ale také orgány činnými v trestním řízení a správními orgány.

Radu Security for Business Innovation Council tvoří 10 vysoce úspěšných vedoucích pracovníků z oblasti zabezpečení z globálně nejvýznamnějších společností, kteří jsou ochotni podělit se o své názory a zkušenosti a pomoci posunout zabezpečení informací vpřed.

Členy rady tvoří: Anish Bhimani, Managing Director, Risk and Security Management, JP Morgan Chase; Bill Boni, viceprezident společnosti pro Information Security and Protection, Motorola; Roland Cloutier, viceprezident, CSO, EMC Corporation; Dave Cullinane, viceprezident a CISO, eBay Marketplaces; Dr. Paul Dorey, bývalý viceprezident pro Digital Security a CISO, BP; Renee Guttmann, viceprezidentka pro Information Security a Privacy Officer, Time Warner; David Kent, viceprezident pro Security, Genzyme; Dr. Claudia Natanson, CISO, Diageo; Craig Shumard, CISO, Cigna Corporation a Andreas Wuchner, Head IT Risk Management, Security & Compliance, Novartis

Dnešní výzkumná zpráva je v pořadí čtvrtá a RSA plánuje zveřejnit v nadcházejících měsících další původní studie rady. V případě zájmu o zprávy rady Security for Business Innovation Council můžete navštívit web RSA Thought Leadership na adrese http://www.RSA.com/securityforinnovation/, kde naleznete všechny zprávy a můžete si je stáhnout.