Jak nakupovat bezpečnost
Přijetí zákona o kybernetické bezpečnosti i rostoucí počet kybernetických útoků ve světě způsobily zvýšený zájem o tuto problematiku u širší části veřejnosti, než tomu po léta bylo. Lze tudíž předpokládat rostoucí poptávku po vytvoření bezpečného řešení ve firmách či veřejných institucích, ať už vynucenou legislativou nebo prostě jen pochopitelnými obavami. Jak ale bezpečnost správně nakupovat?
Hned na začátku je třeba podotknout, že přístup k nákupu bezpečnostních řešení se dramaticky liší v případech, kdy na straně zákazníka stojí velká korporace, středně velká firma či malá společnost. Z tohoto důvodu se tedy pokusíme najít body, které jsou pro všechny zákazníky společné, nebo alespoň podobné.
Stanovme si priority
Dobrá zpráva pro potenciální uživatele bezpečnostních řešení spočívá v tom, že jejich dodavatel, chcete-li „prodavač“, ve valné většině případů nedisponuje vlastnostmi prodavače ojetých automobilů. Stavovská čest majoritě z nich velí zákazníkovi porozumět a navrhnout to nejlepší řešení.
Co je tedy třeba si uvědomit, jsme-li na straně zákazníka, odběratele bezpečnostního řešení? Pojďme si to shrnout do několika základních bodů. Tím prvním krokem je logicky analýza. Je třeba analyzovat možnosti, které jako zákazník mám, neboť nikdo nedisponuje neomezeným rozpočtem a investice do bezpečnostních řešení bývají často „popelkou“ v kontextu celkového provozního rozpočtu.
Dále je vhodné si určit stav, kterého chci z pohledu bezpečnosti v určitém čase dosáhnout. Tedy stanovit si širší rámec bezpečnosti. Bezpečnost se většinou „nedodává, ale staví“ a tento proces logicky vyžaduje stanovení priorit (jakou část realizovat hned a jakou později), přičemž je třeba mít na zřeteli i možnosti rozvoje, udržitelnosti a podpory nově vytvořeného bezpečného prostředí.
Pozor na falešný pocit bezpečí
S tím souvisí i další nutná podmínka pro úspěch bezpečnostního řešení: nastavit (anebo se o to alespoň pokusit) soulad mezi bezpečnostními nástroji technologickými a procesními, protože bez něj se jakékoli bezpečnostní prostředí ocitá dříve či později v chaosu. Ten může vyústit ve falešný „pocit bezpečí“, následně bezpečnostní incident a v konečném důsledku i plýtvání (často omezenými) prostředky, které jsou na bezpečnostní řešení k dispozici.
A zapomenout samozřejmě nesmíme na možná nejdůležitější předpoklad úspěšného nasazení bezpečnosti, a totiž přímá komunikace mezi oběma stranami (dodavatel/odběratel), aby bylo později realizované řešení pro zákazníka optimální. V rámci této komunikace by měly zaznívat úvahy o tom, zda (a jakou) část bezpečnosti je možné nebo výhodnější outsourcovat a jaký etalon je pro měření vhodnosti a účinnosti bezpečnostního prostředí zvolit.
Nikdy nekončící proces
Správný dodavatel bezpečnosti by totiž měl být nakupujícímu k dispozici jako konzultant. Je pochopitelně v jeho zájmu, aby bylo nasazení úspěšné, do budoucna rozšiřitelné a snadno použitelné. Bezpečnostní řešení jsou především podporou pro běžnou činnost podniku, neměla by jít proti každodenním činnostem.
Stejně jako pro prodávajícího celý projekt nasazením bezpečnosti nekončí, tak nekončí ani pro zákazníka. Právě naopak. Do popředí zájmu se po implementaci dostávají možnosti aktualizací, upgrade, vhodné reakce na nejnovější trendy v bezpečnostní oblasti a samozřejmě další analýzy na téma, jakým směrem se do budoucna vydat a jaké oblasti nejlépe pokrýt.
Petr Drahovzal
GORDIC spol. s r. o.
