Když pracujete s cizími daty, bezpečnost rozhoduje o důvěře

Firmy dnes neřeší jen digitalizaci procesů. Stejně důležité je mít jistotu, že systémy a prostředí, na kterých fungování firem stojí, zůstanou spolehlivé i ve chvílích zvýšené zátěže nebo nečekaných událostí. Právě tehdy se ukazuje, jak kvalitní je prostředí, na kterém je provoz firmy postaven.

Bezpečnost je proto nedílnou součástí. V řešeních GRiT pracujeme s daty zákazníků, na kterých stojí klíčové firemní procesy. S tím přichází i odpovědnost za jejich stabilitu a spolehlivé fungování. O tom, jak je bezpečnost ve firmě řízena a proč je součástí návrhu i provozu služeb, jsme mluvili s CIO společnosti GRiT Davidem Snášelem.

Co by se podle tebe změnilo, kdyby bezpečnost nebyla pevnou součástí našich řešení?

U řešení, která nesou klíčové firemní procesy, má bezpečnost přímý dopad na fungování zákazníka. Naše systémy pracují s daty, která dnes firmy využívají jako jeden z nejcennějších zdrojů – často se o nich mluví jako o ropě 21. století. Pokud jsou tato data součástí každodenních procesů firmy, jejich bezpečnost se přirozeně stává klíčovou podmínkou spolehlivého provozu.

To, co bylo před lety považováno za dostatečné zabezpečení, dnes už často nestačí. Spolu s vývojem technologií se totiž vyvíjejí i způsoby útoků.

Vedle přetěžujících útoků typu DDoS se objevují například ransomware útoky nebo nové modely, jako je ransomware-as-a-service nebo phishing-as-a-service. Ty umožňují provádět poměrně sofistikované útoky i lidem, kteří nemají hluboké technické znalosti.

Pokud by bezpečnost nebyla pevnou součástí návrhu našich řešení, velmi rychle bychom se mohli stát slabým článkem dodavatelského řetězce našich zákazníků. A to by znamenalo riziko nejen pro nás, ale především pro jejich byznys a jejich data.

Jak je bezpečnost v GRiTu řízena?

Bezpečnost je u nás dlouhodobě řízená oblast. Máme dedikované role, které se jí věnují, a zároveň každý rok vyčleňujeme rozpočet na řešení aktuálních hrozeb.

Důležitou roli hrají také standardy a certifikace. Certifikaci ISO 27001 máme už deset let. Původně byla zaměřena pouze na řešení elektronické výměny dat ORiON EDI, postupně jsme ji ale rozšířili na všechny služby společnosti.

To znamená, že všechny naše webové aplikace dnes pracují s bezpečnostními mechanismy odpovídajícími aktuálním hrozbám.

Součástí tohoto přístupu jsou také pravidelné audity a penetrační testy. Ty simulují reálné útoky a pomáhají odhalit případné slabiny v systémech. Každý takový test přináší nové poznatky a vede k dalším zlepšením.  

Jak konkrétně vstupuje bezpečnost do vývoje našich produktů?

Bezpečnost řešíme už ve fázi návrhu.  

Při vývoji nových funkcí pracujeme s principem secure by design. To znamená, že bezpečnost není přidávána dodatečně, ale je součástí samotné koncepce řešení.

Do vývoje jsou zapojeni bezpečnostní architekti a bezpečnostní manažeři, kteří se podílejí na návrhu nových modulů a funkcí. Díky tomu se bezpečnostní standardy promítají už do samotné architektury produktu.  

Co jsou věci, které zákazníci většinou nevidí?

Bezpečnost není jen o technologiích. Důležitou roli hraje například to, že se do bezpečnostních témat aktivně zapojuje i vrcholové vedení firmy. Vedení se účastní auditů, sleduje výsledky a podporuje bezpečnostní iniciativy uvnitř organizace. Vedle toho se snažíme rozvíjet také bezpečnostní povědomí zaměstnanců.  

Postupně se tak mění i přístup celé firmy – lidé začínají bezpečnost vnímat jako přirozenou součást své práce.  

Pokud bys měl vysvětlit hlavní smysl bezpečnosti v GRiTu jednou myšlenkou, jak bys to popsal?

Bezpečnost je především o budování odolnosti. Stoprocentní bezpečnost neexistuje. Smyslem je sledovat aktuální hrozby, reagovat na ně, zapojovat do bezpečnosti lidi ve firmě a postupně zvyšovat úroveň ochrany.

Díky tomu můžeme vytvářet produkty, které jsou bezpečné a zároveň zůstávají spolehlivou součástí dodavatelského řetězce našich zákazníků.