Informační bezpečnost: Současný stav

16. června 2005 se v hotelu Diplomat v Praze uskutečnila konference o informační bezpečnosti. Na konferenci vystoupil Jay Heiser, vicepresident Gartner a Ant Allan, specialista na informační bezpečnost a držitel certifikátu CISSP. Akce se zúčastnili čeští i slovenští odborníci na bezpečnost z bankovního, energetického, telekomunikačního odvětví i zástupci předních českých IT firem.

Očekávaná bezpečnostní rizika a jejich řešení

Jay Heiser v prezentaci představil očekávaná bezpečností rizika pro příští rok a situaci na trhu používaných a vyvíjených technologiích. Vycházel ze skutečností, že informační bezpečnost získává v řízení podniku strategický význam. Je to způsobeno tím, že každá nová technologie s sebou přináší i rizika a nebezpečí zneužití. Firmy si význam bezpečnosti uvědomují a zavádějí pozici Chief Security Office, který se v mnoha případech zodpovídá CIO nebo jinému členu top managementu. Je přitom prokázáno, že firma se zavedeným řízením bezpečnosti vynakládá menší finance na bezpečnost než firma, která se řízení rizik systematicky nevěnuje.

Hype křivka bezpečnostních technologií (Klikněte na obrázek pro zvětšení)



V současné době činí největší problémy řízení přístupu do firemních sítí. Mezi další rizika Jay Heiser zahrnul zranitelnost softwaru, spyware i nekontrolovaný přenos informací pomocí paměťových médií. Podnik se brání implementací různých bezpečnostních technologií, a proto nechyběla ani hype křivka, ukazující postavení těchto technologií v očích dodavatelů, uživatelů a médií.

Hype křivka bezpečnostních hrozeb (Klikněte na obrázek pro zvětšení)



Řízení bezpečnosti a hlavní trendy

Ant Allan se specializuje na informační bezpečnost především z pohledu identifikace uživatelů a jejich přístupu k datům. Nejprve identifikoval příčiny řízeného přístupu a identity. Následně byla jeho prezentace zaměřena na dopady technologických změn na řízení bezpečnosti, strategie řízení bezpečnosti i samotné technologie. Pan Allan zdůraznil i některé trendy:

Na závěr uvedl doporučení pro řízení projektů informační bezpečnosti z hlediska identity uživatele (větší zapojení HR oddělení, podpora vrcholového vedení firmy, rozdělení projektu do fází, stanovení vhodných metrik pro vyhodnocení přínosů).

Jay Heiser a Ant Allan (Klikněte na obrázek pro zvětšení)



Co znázorňuje Hype křivka společnosti Gartner?

Hype křivka vzniká znázorněním šesti fází (definice Gartner):

  1. Technology Trigger: A breakthrough, public demonstration, product launch or other event generates significant press and industry interest.
  2. Peak of Inflated Expectations: During this phase of overenthusiasm and unrealistic projections, a flurry of well-publicized activity by technology leaders results in some successes, but more failures, as the technology is pushed to its limits. The only enterprises making money are conference organizers and magazine publishers.
  3. Trough of Disillusionment: Because the technology does not live up to its overinflated expectations, it rapidly becomes unfashionable. Media interest wanes, except for a few cautionary tales.
  4. Slope of Enlightenment: Focused experimentation and solid hard work by an increasingly diverse range of organizations lead to a true understanding of the technology's applicability, risks and benefits. Commercial, off-the-shelf methodologies and tools ease the development process.
  5. Plateau of Productivity: The real-world benefits of the technology are demonstrated and accepted. Tools and methodologies are increasingly stable as they enter their second and third generations. The final height of the plateau varies according to whether the technology is broadly applicable or benefits only a niche market. Approximately 30 percent of the technology's target audience has adopted or is adopting the technology as it enters the Plateau.
  6. Time to Plateau/Adoption Speed: The time required for the technology to reach the Plateau of Productivity.

17.06.2005 - Oldřich Příklenk