Zabezpečení dat III – Náklady na bezpečnost ještě jednou

   Bezpečnost    March 14, 2016  |  0

Zabezpečení dat III – Náklady na bezpečnost ještě jednou

Úvodem

V předchozím díle jsem uváděl jednoduchý příklad, jak posuzovat náklady na zabezpečení u rodinného domu. Dnes se podíváme na reálný příklad z oblasti IT.

Jaké jsou náklady na bezpečnost?

Na začátku je třeba si ujasnit, jakým způsobem na tyto náklady nahlížet. V základu doporučuji toto rozlišení:

  • Náklady incidentů – pro posouzení nákladů na bezpečnost potřebujeme znát, kolik nás stojí odstranění následků incidentu. Náklady incidentu mají následující složky:
    • Náklady na obnovu – jedná se o cenu opravy porouchaného zařízení, nákup nového zařízení, cenu služeb servisního technika, …
    • Náklady omezení provozu – zjišťujeme, kolik stály mzdy pracovníků, kteří nemohli po dobu výpadku dělat svoji práci, ztráty z nerealizovaných obchodů
    • Nefinanční náklady – například poškození dobrého jména společnosti, produktu
  • Náklady opatření – jedná se o náklady, kterými se snažíme snížit počet incidentů nebo snížit jejich závažnost. Bude se jednat o tyto složky:
    • Technické náklady – nákup zařízení nebo software, náklady na jeho zprovoznění
    • Procesní náklady – jde o náklady spojené se změnou přístupu – jde o čas (a tedy o mzdy), který bude změna nějakého procesu stát
    • Náklady přenesení rizika – nejčastěji se jedná o pojištění, ale může to být například i outsourcing některých činností
    • Náklady údržby opatření – náklady na následnou údržbu zavedených opatření – aktualizace software, revize opatření, audity, …

Při plánování bezpečnostních opatření je důležité znát, jaké hodnoty (aktiva) jsou incidenty ohroženy a na jaké částky se tedy mohou vyšplhat náklady incidentů. Po posouzení rizik a návrhu opatření je třeba zhodnotit, kolik budou opatření stát a jestli je jejich zavedení efektivní vzhledem ke chráněným hodnotám.
 

Příklad z praxe

Celou problematiku budu ilustrovat na reálném příkladu obchodně konzultační firmy, která má přibližně 200 pracovníků. 140 z nich potřebuje ke svojí práci intranetový systém, v němž mají veškeré informace k zakázkám – jejich kompletní evidenci, ale také veškerou dokumentaci běžících zakázek. Tento systém pracovníci využívají v průměru 2 hodiny denně a informace v systému jsou pro provoz firmy strategicky důležité.
Ve firmě bylo v minulosti zavedeno do praxe opatření, v rámci něhož probíhalo pravidelné testovací obnovení intranetového systému. Na testovacím serveru měl IT technik připravenou kopii intranetového systému, na kterou každý měsíc obnovil kompletní data ze záloh produkční verze systému a prověřil, že po obnově všechno korektně funguje.
Díky tomu měl technik vždy jasný přehled o tom, že jsou data korektně zazálohována a že je možné z nich provést obnovu. Otestování obnovy je důležité z toho důvodu, že dochází ke kompletnímu otestování procesu obnovy a je to jediný způsob, jak stoprocentně ověřit správnost zálohy systému. Další výhodou bylo, že měl technik způsob obnovy perfektně nacvičený a dokázal proto proces zvládnout velmi efektivně.
V případě výpadku produkčního systému bylo díky tomu možné data obnovit do testovacího prostředí do 2 hodin a systém potom z testovacího prostředí provozovat po dobu nutnou k opravě primárního systému.
Náklady tohoto opatření byly následující:

  • Náklady na techniku a provoz testovacího prostředí
    • Cena serveru – 200.000,- Kč
    • Náklady na provoz serveru (elektřina, umístění v racku) – 1.000,- Kč měsíčně
    • Server byl provozován s nasazenou virtualizací v poměru 1:5
    • Náklady na testovací prostředí Intranetu tedy byly jedna pětina ceny a provozu testovacího prostředí, tzn. 40.000,- Kč investice a 200,- Kč měsíčně na provoz
  • Náklady na pravidelnou testovací obnovu Intranetu
    • Jednalo se měsíčně o 2 hodiny práce IT technika s hodinovou sazbou 800,- Kč / hod; měsíčně tedy 1.600,- Kč
  • Celkové náklady na 5 let provozu tohoto opatření jsou tedy 148.000,- Kč

 
Z důvodu úspory a změny dodavatelské firmy bylo v roce 2014 toto opatření zrušeno.
O rok později došlo k výpadku intranetového systému. Při pokusu o jeho obnovu do produkčního prostředí se zjistilo, že z důvodu dlouho se vlekoucí chyby databáze tohoto systému není možné systém obnovit. Databáze byla v takzvaně nekonzistentním stavu – tedy stavu, který sice umožňoval její zálohu, ale znemožňoval její správné obnovení. Vyřešení tohoto problému zabralo 2 týdny intenzivní práce. Náklady tohoto incidentu byly následující:

  • Náklady na obnovu
    • Práce IT technika v rozsahu 12 hodin denně po dobu 14 dnů: 134.400,- Kč
  • Náklady omezení provozu
    • Průměrné měsíční personální náklady na 1 pracovníka jsou 50.000 Kč
    • Počet pracovníků omezených v práci – 140
    • Doba omezení v práci – 2 hodiny denně po dobu 14 dnů
    • Celkové náklady omezení provozu tedy byly následující:
      Denní náklady na pracovníka: 50.000/21 = 2.381 Kč
      Denní ztráta 2 hodiny na pracovníka:                      2.381/4 = 595 Kč
      Ztráta za dobu výpadku systému na prac.:             595 x 14 = 8.330 Kč
      Ztráta za 140 pracovníků:                                          8.330 x 140 = 1.166.200 Kč
  • Nefinanční náklady
    • Došlo ke zhoršení dobrého jména firmy u zákazníků, zdržení rozpracovaných zakázek a odložení nových zakázek; přesná částka nebyla odhadnuta

 
Celkové známé náklady tohoto incidentu byly tedy 1.300.600 Kč. Ve srovnání s náklady na 5 let provozu opatření ve výši 148.000 Kč (11,4 % nákladů jednoho incidentu) jde o enormní částku.
Pokud by došlo k posouzení nefinančních nákladů, byl by rozdíl ještě markantnější.
 

Závěrem

Správně nastavený systém řízení bezpečnosti znamená v konečném důsledku úsporu peněz a pomáhá vám ochránit firmu před ztrátami cenných dat a informací.

Jankovcova 1522/53, 170 00 Praha 7 Holešovice

info@adineo.cz

+420 777 218 108

© Adineo s.r.o.
GDPR
VOP