Security by Design: Bezpečnost není záplata — je to základ
Nejčastější chyba ve světě kybernetické bezpečnosti? Firma postaví systém, nasadí aplikaci nebo zavede nový proces — a teprve pak se začne ptát, jak to zabezpečit. V tu chvíli je zpravidla příliš pozdě na to, aby bezpečnost byla skutečně účinná. A příliš drahé na to, aby byla provedena pořádně.
Security by Design není buzzword ani konzultantský konstrukt. Je to způsob myšlení — a konkrétní metodologie, která říká jednu jednoduchou věc: bezpečnost musí být součástí návrhu od první chvíle, ne přidána na konci jako záplata. Zní to jako samozřejmost. Přesto je to přesný opak toho, jak většina firem ke kybernetické bezpečnosti přistupuje.
Proč pozdní bezpečnost vychází draho
Když firma postaví aplikaci nebo infrastrukturu bez bezpečnostního návrhu a pak zjistí problém, má v zásadě dvě možnosti: buď systém kompletně přepracovat, nebo přilepit bezpečnostní opatření zvenčí. První varianta je drahá a časově náročná. Druhá je levnější, ale výrazně méně účinná.
Druhá varianta je v praxi mnohem běžnější. A proto máme tolik bezpečnostních incidentů u systémů, které "přece mají nasazeny bezpečnostní technologie."
Security by Design říká: ani jedna z těchto variant není nutná, pokud bezpečnost plánujete od začátku.
Pět kroků bezpečné architektury
Co vlastně chráníme, a proč na tom záleží
Než se začneme bavit o hrozbách nebo řešeních, musíme vědět, co je v sázce. Jaké jsou cíle systému? Jaká data zpracováváme — a jak jsou citlivá? Kdo jsou uživatelé a jaká mají oprávnění? Kde jsou propojení s jinými systémy a procesy? Co jsou kritická místa, bez nichž by firma nemohla fungovat?
Výsledkem prvního kroku není seznam technologií. Je to jasná odpověď na otázku: co přesně chráníme a proč na tom záleží. Bez tohoto porozumění nemá smysl navrhovat žádnou bezpečnostní architekturu — nevíte, co bráníte, a tedy nevíte, před čím.
Kdo, kudy a jak — analýza rizik
Teprve když víme, co chráníme, dává smysl ptát se na hrozby. Kdo by nás mohl napadnout a jaká je jeho motivace? Kudy by se útočník dostal — jaké jsou potenciální útočné cesty? Kde jsou zranitelná místa v systémech, procesech nebo u lidí? Jak pravděpodobné je, že k útoku dojde, a jak velký by byl jeho dopad na provoz nebo obchodní výsledky?
Výsledkem je mapa rizik s odhadnutou pravděpodobností a dopadem — takzvaná inherentní rizika, tedy ta, která existují dříve, než nasadíme jakékoli bezpečnostní opatření. Teprve s touto mapou v ruce víme, na co se soustředit.
Rizika a opatření — co s tím uděláme
Identifikujeme rizika proto, abychom věděli, co s nimi dělat. V tomto kroku mapujeme každé riziko na konkrétní bezpečnostní kontroly — technické, procesní nebo organizační.
Při tom se opíráme o zavedené bezpečnostní frameworky: ISO 27001, NIST CSF, CIS Controls, Essential Eight a další. Tyto standardy neexistují proto, aby firmy strávily roky s auditními checklisty — existují proto, že shrnují osvědčené postupy z tisíců reálných incidentů. Jsou to kolektivní zkušenosti bezpečnostní komunity, kodifikované do použitelné formy.
Klíčovou součástí tohoto kroku je identifikace mezer v opatřeních: míst, kde efektivní kontroly chybí nebo kde by nestačily. Bez tohoto pohledu se investice do bezpečnosti rozptýlí tam, kde to není nejdůležitější.
Co zbyde i po opatřeních — zbytkové riziko
Po nasazení bezpečnostních opatření riziko nezaniká. Pouze se snižuje. Tomu, co zbyde, říkáme zbytkové riziko, a právě to přijímá vedení firmy jako vědomé rozhodnutí.
Tuto část si většina firem přeskakuje, a pak jsou překvapené, když k incidentu dojde navzdory tomu, že "přece něco udělaly." Bezpečnostní opatření nezaručují nulové riziko. Zaručují, že riziko je přijímáno vědomě, s jasnou představou o jeho velikosti.
Dokumentace zbytkového rizika slouží dvěma účelům: firma přesně ví, co si vybírá a co ne. A v případě incidentu nebo auditu je zřejmé, že rizika byla identifikována, ohodnocena a vědomě přijata nebo zmírněna.
Mluvit jazykem byznysu — ne IT žargonu
Nejsofistikovanější bezpečnostní architektura nemá hodnotu, pokud ji vedení firmy nechápe nebo nepodporuje. Posledním, a neméně důležitým, krokem je tedy přeložit technická zjištění do jazyka, kterému rozumí majitelé a manažeři.
Konkrétně to znamená: vysvětlit rizika v obchodním kontextu. Ukázat pravděpodobnost incidentu a co by znamenal pro provoz, finance nebo pověst firmy. Nabídnout doporučení s různými možnostmi a jejich cenou. Jednoznačně definovat, kdo odpovídá za která rozhodnutí a za která rizika.
Rozhodnutí o bezpečnosti musí dělat vedení, bezpečnostní architektura jim k tomu dává podklady.
Co rozhodovatelé skutečně potřebují vědět
Každé rozhodnutí o kybernetické bezpečnosti by mělo stát na pěti otázkách: Jak pravděpodobné je, že k incidentu dojde? Jaký by byl jeho dopad? Jaké jsou možnosti, jak riziko řešit? Co zůstane i po přijatých opatřeních? A kdo za to odpovídá?
Pokud na tyto otázky nemáte odpovědi, rozhodujete se naslepo a to bez ohledu na to, jakou technologii máte nasazenou nebo jak drahý firewall máte v racku.
Bezpečnost není projekt — je to stav
Security by Design není projekt s datem dokončení. Bezpečnostní architektura musí žít a přizpůsobovat se: novým hrozbám, novým technologiím, novým regulatorním požadavkům a měnícím se obchodním procesům. To, co bylo dostatečné loni, nemusí být dostatečné dnes — ostatně série zero-day zranitelností, které se v posledních měsících objevily ve Windows, je toho dobrým příkladem.
Proto je součástí přístupu průběžné monitorování, pravidelné přezkoumávání a schopnost učit se z incidentů — vlastních i cizích.
Proč to firmy odkládají — a proč je to chyba
Nejčastější argument pro odložení bezpečnostního návrhu je čas a peníze. Bezpečnost se "dořeší" po spuštění. Problém je, že změna architektury po spuštění je řádově dražší než správný návrh na začátku. A pokud mezitím dojde k incidentu — výpadku, úniku dat nebo ransomware útoku, cena stoupne ještě výš, navíc o reputační škodu a ztrátu zákazníků.
Security by Design není luxus pro velké korporace. Je to způsob, jak budovat digitální prostředí odolné od základu a jak se vyhnout situaci, kdy bezpečnost řešíte v krizovém režimu, pod tlakem a bez přípravy.
Pokud chcete vědět, jak na tom vaše firma stojí z pohledu bezpečnostní architektury, nebo chcete navrhnout bezpečné prostředí od základu, ozvěte se nám.
Úvodní konzultace je zdarma. Odpovídáme do 24 hodin.