Řízení rizik je základní koncept uplatňovaný (nejen) při řízení informační a kybernetické bezpečnosti. Zjednodušeno na dřeň, základem udržení bezpečnosti informací je rozpoznání těch, které mají nějakou hodnotu, vyhledávání slabých stránek jejich ochrany a sledování externích vlivů, které by tyto slabiny mohly využít v náš neprospěch a naše ceněné informace zničit, poškodit nebo k nim získat přístup a nakládat s nimi proti naší vůli.

Nechci se v tomto textu zabývat metodikou analýzy aktiv nebo řízení rizik jako takovou, o těch toho bylo napsáno více než dost v různých metodických systémech, a dobrý návod poskytuje třeba ISO 27000 nebo vyhláška o kybernetické bezpečnosti (vyhl. č. 82/2018 Sb.).

Mým cílem je stručně představit několik klíčových oblastí, které je nutné sladit, aby postupy uvedené v metodikách vůbec mohly dojít svého uplatnění.

Firemní kultura

Klíčovou oblastí ovlivňující bezpečnost informací je firemní kultura. Řízení rizik a obecně informační bezpečnost se musí stát její součástí. Hodnota informací a význam péče o ně musí být stejně srozumitelný pro posledního výkonného pracovníka, stejně jako pro předsedu představenstva. A oba dva musí na základě tohoto pochopení významu informací pro fungování firmy také jednat.

Bezpečnost funguje na principu jeden za všechny, všichni za jednoho. Tedy každý jeden pracovník může informační bezpečnost kompromitovat, a důsledky pochybení jednotlivce dopadnou na všechny. Zejména pro management je pak důležité uvědomit si, že příklady táhnou. Není tedy od věci jít zrovna v informační bezpečnosti a dodržování pravidel příkladem.

Sdílení informací

Pro zajištění bezpečnosti informací je také nezbytné pochopení, že informační bezpečnost je týmový sport. A stejně jako musí každý hráč na hřišti vědět, co má hrát, jaká je jeho role v týmu a jaký je společný cíl, musí každý ve firmě chápat, jaká je hodnota informací pro přežití a prosperitu firmy. Musí také vědět, jaké postupy, pravidla a nástroje má používat při práci s informacemi a jak informace ochránit. A co je nejdůležitější, musí vědět, kam se může s důvěrou obrátit, když si neví rady, nebo dokonce když něco pokazil.

Každý občas něco pokazí, a taková chyba se může stát buď zdroje poučení, nebo záminkou k trestu. V prvním případě bude odhalena rychle a přispěje k dalšímu zlepšování systému. V případě druhém bude zatloukána tak dlouho, až z malé chyby vznikne obří problém, který firma ani nemusí přežít.

Prioritizace

Je také dobré si uvědomit, že absolutně bezpečný systém správy informací neexistuje. Pro jeho zajištění by totiž bylo třeba mít k dispozici nekonečné množství zdrojů. Řízení rizik a obecně informační a kybernetická bezpečnost tak na místo absolutní bezpečnosti pracují s přijatelným rizikem. Cílem řízení rizik není jejich absolutní eliminace, ale snížení jejich pravděpodobnosti a dopadů pod přijatelnou mez.

Je tedy nutné vybírat si, kterým rizikům bude věnována pozornost. A stejně tak je třeba vybírat, která opatření z palety všech možných budou realizována. Jinými slovy je třeba prioritizovat. Je třeba ochránit především nejhodnotnější aktiva. Je třeba ošetřit především ta nejpalčivější rizika. Je třeba věnovat se především dosažitelným opatřením.

Prioritizace v oblasti řízení rizik musí hledat taková opatření, která s co nejmenším úsilím přinesou co největší efekt, a která jsou realizovatelná v potřebném časovém rámci. Čas je totiž dalším faktorem, který je třeba do úvah v oblasti řízení rizik zahrnout. Slabé opatření hned může být u akutního rizika lepší, než skvělé opatření později. Ale také naopak, pokud mám riziko odložené v čase, není třeba přijímat zbrkle první realizovatelné opatření, ale je čas budovat obranu postupně.

Odolnost

Jak už zaznělo v předchozí kapitole, bezpečný systém neexistuje. Aneb jak to pěkně formuloval Forest Gump: „Shit happens …“. Součástí systému řízení rizik a systému řízení bezpečnosti informací tedy musí být i postupy, procesy a nástroje, které umožní vypořádat se právě se situací, kdy dojde ke kompromitaci bezpečnosti. Je třeba rozvíjet odolnost (resilience) organizace.

Odolnost organizace závisí především na dvou zásadních schopnostech:

• Schopnost pokračovat v klíčových procesech i za nepříznivých okolností.
• Schopnost zotavit se z narušení běžného řádu.

Pro každou z těchto schopností pak existuje metodický rámec, který musí být pevně zakomponován do systému řízení informační bezpečnosti. Jedná se o Business Continuity Planning/Management a Disaster Recovery Planning/Management.

Oba plány by měly být nejen vytvořeny, ale je také důležité jejich testování, nácvik a aktualizace. Je také dobré zvážit, kde mít dokumentaci krizových postupů uloženou, nejedna firma až příliš pozdě zjistila, že její Document Management System není nejlepší místo pro uložení postupů obnovy základní informační infrastruktury.

Rychlost

Jak už bylo zmíněno výše, jedním z faktorů významných v rámci řízení rizik je čas. Klíčovým pravidlem pro dobré řízení rizik je proto také rychlost. Pokud je organizace vystavena dopadům aktivace konkrétního rizika, může rychlá reakce minimalizovat tyto dopady minimalizovat.  Na druhé straně včasná identifikace rizik významně pomáhá k jejich prevenci nebo mitigaci následků.

Podstatné je ale uvědomit si, že schopnost včasné reakce na incidenty, stejně jako schopnost zotavení se z nich, závisí především na plánování a přípravě na řízení incidentů. Rychlost provedení základní přípravy a vybudování systému řízení informační bezpečnosti a rizik jako rámce pro další aktivity, spolu s rychlostí identifikace nedostatků tohoto systému a jejich odstraňování, je tak nakonec tím hlavním faktorem dlouhodobého úspěchu.

Nebezpečí

V minulosti byl kybernetický svět typicky dělen na zlý, nebezpečný svět „za branou“, a bezpečný a bezproblémový svět „uvnitř“. Doby, kdy se o bezpečnosti rozhodovalo na perimetru jsou už ale nenávratně minulostí. Žijeme v době nulové bezpečnosti (zero trust environment), kdy žádnou součást informačního systému, žádné informační aktivum není možné považovat á priori za bezpečné.

Došli jsme postupně k poznání, že insideři, ať už ze zlé vůle nebo neúmyslně (například oběti phishingu), jsou příčinou většiny bezpečnostních problémů.

• Stejně tak nebezpečí vnějšího světa jsou stále více proměnlivá a četnější. Přesto kybernetická bezpečnost ne vždy věnuje dostatečnou pozornost hrozbám přicházejícím z vnějšího prostředí. Pro každou organizaci je tak nezbytné neustále:
• Zlepšovat informace o schopnostech útočníků
• Zohledňovat rizika způsobená třetími stranami (dodavatelský řetězec je rovněž významný rizikový faktor).
• Identifikovat a sledovat a vnitřní hrozby.

Hygiena

Poslední ze sedmi hlavních oblastí, kterým je třeba věnovat pozornost v rámic řízení rizik a řízení kybernetické bezpečnosti, je základní kybernetická hygiena, tedy návyky uživatelů i správců při běžných činnostech, týkajících se zabezpečení infrastruktury, prevence útoků a snížení rizik. Zavádění základních postupů kybernetické hygieny je obecně dobrým výchozím bodem pro řízení rizik v oblasti kybernetiky.

Připravenost

Všechny uvedené aspekty řízení rizik a řízení kybernetické, potažmo obecně informační bezpečnosti, vedou k jedinému cíli, a tím je dosažení stavu připravenosti. Neznamená to nutně zavedení všech dostupných technologií, metodik, postupů, procesů a podobně. Znamená to především takové nastavení organizačního mindsetu, který si uvědomuje

• význam informací pro organizaci a její dlouhodobé přežití a prosperitu,
• rizika přicházející z vnějšího i z vnitřního prostředí
• základní návyky a postupy, vedoucí k minimalizaci rizik nebo jejich dopadů
• postupy v případě aktivace krizového scénáře.

Takový stupeň porozumění problematice informační bezpečnosti napříč celou organizací by měl být cílem každého bezpečnostního manažera.

Pokud si chcete poslechnout mou přednášku na toto téma v rámci IT Security Conference, najdete ji zde: https://www.dropbox.com/s/7axuu13gmzgehhn/2020-05-28_exponet_rizeni-rizik.mp4?dl=0