Zabezpečení dat II – Náklady na bezpečnost
Úvodem
Než se začnu v dalších dílech věnovat tomu, jak bezpečnost informací řídit a dále praktickým návodům, chci nejdřív napsat něco k tématu, kolik nás vlastně bezpečnost informací stojí.
Často se setkávám s tvrzením, že řízení bezpečnosti je možné jen ve velkých firmách, které na to mají dostatečný rozpočet. Osobně jsem toho názoru, že náklady na bezpečnost ve firmách mají odpovídat hodnotám, které mají chránit. Úkolem člověka, který bezpečnostní politiku řídí, je pak zajistit efektivní vynaložení těchto nákladů.
V dnešním článku vám chci hlavně poskytnout informace k tomu, abyste dokázali náklady na bezpečnost rámcově posoudit.
Trocha terminologie
Aby byli další informace srozumitelné, musím začít krátkým slovníčkem (který budeme v dalších dílech rozšiřovat):
Aktivum
Aktivum je z pohledu bezpečnosti informací cokoli, co má pro firmu hodnotu nebo je jakkoli důležité pro její fungování. Pro snadnější porozumění uvedu příklady aktiv a základní důvody, proč je třeba je chránit:
- Hmotná aktiva (fyzický majetek) – jedná se o finance, budovy, vozidla, počítače, …
- Nehmotná aktiva (data, informace) – typicky se jedná o data v různých informačních systémech, dokumenty, e-mailovou korespondenci, osobní údaje, ale také know-how, atp. – data, jejichž ztráta nebo zveřejnění může firmu ohrozit (například pokud vaše firma přijde o data ze skladového systému, nemůže vyřizovat objednávky a tedy generovat zisk; pokud vaše konkurence získá e-mailovou korespondenci, může znát vaše ceny, dodavatele, odběratele, …)
- Služby – typicky dodávky energie, připojení k Internetu, pronájmy techniky, vozidel, prostor – jde o všechny služby, jejichž výpadek může ovlivnit fungování vaší firmy
- Lidské zdroje – pracovníci jsou důležití nejen z hlediska kapacity, ale také jsou důležití nositelé know-how a z těchto důvodů může jejich výpadek firmu ohrozit
Incident
Incident znamená, že došlo k nějaké neočekávané nebo nepříjemné události (nebo oboje). Ve spojení s informačními technologiemi to známe všichni – přestane fungovat počítač, server, připojení. Většinou jde o události, které nás nějakým způsobem omezí v práci. Z hlediska bezpečnosti informací sledujeme bezpečnostní incidenty, to znamená incidenty, které nějakým způsobem ohrožují některé z našich aktiv.
Riziko
Pojem riziko vyjadřuje možnost, že dojde k incidentu. Riziko se skládá z pravděpodobnosti, že k incidentu dojde, a dopadu následků incidentu (aneb jak velký to bude průšvih).
Opatření
Opatření je z hlediska bezpečnosti informací nějaká akce, kterou děláme proto, abychom snížili riziko. Opatření zaměřujeme na snížení pravděpodobnosti rizika nebo jeho dopadu.
Příklad
Pro ilustraci termínů si vezmu na pomoc příklad, že máte rodinný dům. Potom zmíněné položky budou definovány takto:
Aktivum Rodinný dům
Riziko Vyhoření
Incident Požár
Opatření Pojištění majetku proti požáru
Náklady
Abychom mohli posuzovat náklady na bezpečnost, je třeba si ujasnit, z jakých úhlů na náklady koukat. Jako základní doporučuji toto rozlišení:
- Náklady incidentů – pro posouzení nákladů na bezpečnost potřebujeme znát, kolik nás stojí odstranění následků incidentu. Náklady incidentu mají následující složky:
- Náklady na obnovu (např. oprava porouchaného zařízení, nákup nového zařízení, mzda nebo cena služeb servisního technika, …)
- Náklady omezení provozu (např. mzdy pracovníků, kteří nemohli po dobu výpadku dělat svoji práci, ztráta z nepřijatých objednávek (např. při výpadku e-shopu)
- Nefinanční náklady – například poškození dobrého jména společnosti, produktu
- Náklady opatření – jedná se o náklady, kterými se snažíme snížit počet incidentů nebo snížit jejich dopad. Typicky se bude jednat o tyto složky:
- Technické náklady (např. náklady na nákup zařízení nebo software a také náklady na jeho zprovoznění)
- Procesní náklady (náklady spojené se změnou přístupu – typicky jde o čas (a tedy mzdy), který bude změna procesu stát)
- Náklady přenesení rizika (nejčastěji jde o pojištění, ale může to být i outsourcing některých činností)
- Náklady údržby opatření (náklady na následnou údržbu zavedených opatření – aktualizace software, revize opatření, atp.)
Příklad
Budu zatím pro jednoduchou ilustraci pokračovat v příkladu s rodinným domem a rozpracuji případ, že ho chceme chránit před rizikem vyhoření. Cena domu je 3 miliony Kč.
Aktivum Rodinný dům v hodnotě 3 miliony Kč
Riziko Vyhoření
Dopad rizika Ztráta 3 miliony Kč (zničení domu)
Vedlejší náklady 200 tisíc Kč (zajištění náhradního bydlení, nákup nových osobních věcí a vybavení, …)
Pravděpodobnost rizika 0,5% (odhad že dojde k události v průběhu 1 roku)
Náklady incidentu jsou v uvažovaném případě snadno určitelné – jedná se o 3.200.000 Kč.
Jaká můžeme zavést opatření na snížení pravděpodobnosti a dopadu tohoto rizika?
- Pojištění nemovitosti na 3.200.000 Kč
- přenášíme riziko na jiný subjekt (pojišťovnu)
- snižujeme dopad rizika
- náklady 3.000 Kč ročně
- Pravidelná revize pojistné smlouvy
- snažíme se o snížení nákladů na pojištění a revizí výjimek smlouvy
- jedná se o náklady na údržbu opatření
- náklady 2 hodiny ročně, finančně řekněme 1.000 Kč
- Pravidelná kontrola rodinného domu požárním technikem
- snažíme se najít místa / situace, která mohou vyhoření způsobit a odstranit je
- tímto opatřením snižujeme pravděpodobnost rizika
- náklady 2.000 Kč ročně
- Pravidelná kontrola elektroinstalace
- snažíme se v elektroinstalaci najít místa, která mohou vyhoření způsobit a odstranit je
- tímto opatřením snižujeme pravděpodobnost rizika
- náklady 2.000 Kč ročně
Celkové náklady opatření v tomto případě jsou 8.000 Kč ročně.
Co díky opatřením získáme?
- Snížení dopadu incidentu díky pojistné smlouvě na 0,- Kč.
- Díky pravidelné revizi pojistné smlouvy získáváme klid, že je naše nemovitost pojištěná optimálně a nebude při plnění pojišťovny docházet ke zbytečným srážkám.
- Díky kontrolám elektrikářem a požárním technikem jsme dosáhli odhadované snížení pravděpodobnosti rizika na 0,1%.
To znamená, že s náklady 8.000 Kč ročně dokážeme velmi efektivně chránit hodnotu ve 3.200.000 Kč a z tohoto pohledu je třeba se obecně dívat na náklady, které máme spojené s řízením bezpečnosti.
V dalším díle se budu věnovat nákladům na bezpečnost na konkrétních případech z praxe v oblasti IT.