Stále větší počet společností však zjišťuje, že takovýto model je již značně neefektivní, respektive dále pro ně neudržitelný. Důvod je jednoduchý, zkrátka při tomto přístupu nejsou schopny finančně udržet potřebnou úroveň ochrany.

To, že zajištění bezpečnosti informací vlastními silami je extrémně náročné, determinuje několik věcí:

a) Rychle se vyvíjející bezpečnostní hrozby vyžadují pro své zvládání stále nové a sofistikovanější technologie s potřebou rychlejší obnovy než odpisové doby běžných IT technologií.

b) Měnící se rozsah infrastruktury, kterou je třeba chránit. Při klasickém nákupu technologií to vede k nutnosti pořizovat rezervní kapacity. To přináší riziko, že se buď nevyužijí, nebo budou nedostatečné. A co když se rozsah chráněné infrastruktury zmenší?

c) Správa rychle se měnících bezpečnostních technologií vyžaduje vysoce kvalifikované specialisty, kteří se navíc musejí neustále školit.

d) Schopnost identifikovat bezpečnostní incident a odpovídacím způsobem jej řešit opět vyžaduje specializované znalosti a trénink. A samozřejmě je třeba takovéto kapacity mít k dispozici nonstop, 24 hodin denně.

Na co všechno myslet při bezpečnosti informací

Při vysoce konkurenčním tržním prostředí se organizace musejí soustředit na jádro svého podnikání, tedy investovat do inovací, zlepšování výroby a marketingu. Obdobně jsou na tom i rozpočtové organizace. Pro bezpečnost informací jako typický podpůrný proces je pak velmi obtížné zajistit financování, a to zvláště pokud v nedávné době nedošlo k významnému bezpečnostnímu incidentu.

Všimněte si, jaké aspekty informační bezpečnosti zmiňuji – technologie, personál pro jejich údržbu a obsluhu. Jsou to ty hlavní aspekty bezpečnosti? Ne, jistěže nejsou. Klíčové je, aby společnost:

- Věděla, co potřebuje chránit, jak a na jaké úrovni,

- nastavila pravidla ochrany a s těmi řádně seznámila zaměstnance,

- aby stav bezpečnosti pravidelně vyhodnocovala a opatření korigovala.

Z výše zmíněných důvodů střední a často ani velké organizace nejsou schopny efektivně vlastními silami zajistit bezpečnost informací. Dodavatelé na tento stav reagují nabídkou bezpečnosti jako služby – Security as a Service (SECaaS). Pod tento pojem se však zařazuje několik různých přístupů.

Může to být běžný outsourcing, tedy poskytnutí zařízení a jeho správy pracovníky třetí strany, ale v prostorách zákazníka, nebo různé více či méně skryté formy finančního leasingu bezpečnostních technologií, maskované jako služba. Tyto přístupy však většinou nepřinášejí zákazníkovi významné benefity a finanční úspory. Kvalitativní změnu přináší až koncept sdílení technologií, cloudových služeb a Centra kybernetické bezpečnosti.

O co tedy jde a jak se liší koncept cloudového bezpečnostního řešení od služby MSSP (poskytování řízených bezpečnostních služeb)?

Cloudové řešení poskytuje zákazníkovi samotnou technologii. A to velmi flexibilním způsobem. Implementační doba služby je velmi krátká a rozsah čerpané služby lze pružně upravovat. Zákazník neřeší údržbu a podporu platformy, nicméně uživatelské role si zajišťuje zcela sám.

Typický příklad z nabídky T-Mobile je log management. Centrální platforma poskytuje dle dohodnutých parametrů sběr a archivaci auditních záznamů, alerting, reporting a prostředí pro práci operátora. Samotnou analýzu a vyhodnocování sesbíraných auditních záznamů však zajišťují pracovníci zákazníka.

Takovýto přístup je vhodný pro organizace, které chtějí bezpečnostní procesy realizovat vnitřně, ale nenést zátěž spojenou s pořizováním a údržbou bezpečnostních technologií. Může to být i vhodný krok k seznámení s outsourcingem.

Službami MSSP pak většinou rozumíme outsourcing částí nebo celých procesů. V našem diskutovaném případě kompletní vyhodnocování bezpečnostních záznamů s cílem identifikovat a řídit bezpečnostní incidenty. V tomto případě je tím hlavním nastavení komunikačního rozhraní a vztahů se zákazníkem, nikoliv technologie.

Přístup je vhodný, chce-li zákazník outsourcovat nejen technologie, ale i definované činnosti, tj. aktivity personálu. K tomu, aby takovýto režim spolupráce mezi zákazníkem a poskytovatelem fungoval, resp. dal se vůbec ustavit, musí být splněn jeden základní předpoklad. Zákaznická organizace musí být procesně vyspělá alespoň na úrovni 3 CMM modelu (Capability Maturity Model).

Prakticky tedy organizace musí mít zavedené a formalizované procesy. Musí být jasné, jak outsourcovaný proces zapadá mezi ostatní procesy organizace a jak na sebe navazují. Z našich praktických zkušeností plyne, že pokud tomu tak není, při implementaci služby se vůbec nepodaří sestavit komunikační matici a scénáře řešení jednotlivých situací.

Na straně zákazníka se totiž k nějaké konkrétní aktivitě buď nikdo nehlásí, nebo naopak formálně všechny zajišťuje jeden člověk, který ale prakticky není schopen je realizovat. Pak je pro organizaci lepší využívat jen cloudové technologie a činnosti zajišťovat interně.

Gartner ve své predikci vývoje cloudových bezpečnostních služeb z roku 2017 předpokládal roční růst skoro 21 %. T-Mobile vykázal ještě o deset procent větší než tento předpokládaný nárůst. Z mého pohledu to není nijak překvapující. Bezpečnost jako služba má zjevný přínos a čím dál víc zákazníků to tak vnímá.