Firmy sa dnes nezaoberajú len digitalizáciou procesov. Rovnako dôležité je mať istotu, že systémy a prostredie, na ktorých funguje firma, zostanú spoľahlivé aj v momentoch zvýšeného zaťaženia alebo neočakávaných udalostí. Práve vtedy sa ukáže, aká kvalitná je platforma, na ktorej je prevádzka firmy postavená.
Bezpečnosť je preto neoddeliteľnou súčasťou. V riešeniach GRiT pracujeme s údajmi zákazníkov, na ktorých stoja kľúčové firemné procesy. S tým prichádza aj zodpovednosť za ich stabilitu a spoľahlivé fungovanie. O tom, ako sa v spoločnosti riadi bezpečnosť a prečo je súčasťou návrhu aj prevádzky služieb, sme hovorili s CIO spoločnosti GRiT Davidom Snášelem.
Čo by sa podľa teba zmenilo, keby bezpečnosť nebola pevnou súčasťou našich riešení?
Pri riešeniach, ktoré nesú kľúčové firemné procesy, má bezpečnosť priamy vplyv na fungovanie zákazníka. Naše systémy pracujú s dátami, ktoré dnes firmy využívajú ako jeden z najcennejších zdrojov – často sa o nich hovorí ako o rope 21. storočia. Ak sú tieto dáta súčasťou každodenných procesov firmy, ich bezpečnosť sa prirodzene stáva kľúčovou podmienkou spoľahlivej prevádzky.
To, čo sa pred rokmi považovalo za dostatočné zabezpečenie, dnes už často nestačí. Spolu s vývojom technológií sa totiž vyvíjajú aj spôsoby útokov.
Okrem preťažujúcich útokov typu DDoS sa objavujú napríklad útoky ransomware alebo nové modely, ako je ransomware-as-a-service alebo phishing-as-a-service. Tie umožňujú vykonávať pomerne sofistikované útoky aj ľuďom, ktorí nemajú hlboké technické znalosti.
Ak by bezpečnosť nebola pevnou súčasťou návrhu našich riešení, veľmi rýchlo by sme sa mohli stať slabým článkom dodávateľského reťazca našich zákazníkov. A to by znamenalo riziko nielen pre nás, ale predovšetkým pre ich podnikanie a ich dáta.
Ako sa v GRiTu riadi bezpečnosť?
Bezpečnosť je u nás dlhodobo riadenou oblasťou. Máme špecializované pozície, ktoré sa jej venujú, a zároveň každý rok vyčleňujeme rozpočet na riešenie aktuálnych hrozieb.
Dôležitú úlohu zohrávajú aj normy a certifikácie. Certifikáciu ISO 27001 máme už desať rokov. Pôvodne bola zameraná iba na riešenie elektronickej výmeny dát ORiON EDI, postupne sme ju však rozšírili na všetky služby spoločnosti.
To znamená, že všetky naše webové aplikácie dnes pracujú s bezpečnostnými mechanizmami zodpovedajúcimi aktuálnym hrozbám.
Súčasťou tohto prístupu sú aj pravidelné audity a penetračné testy. Tie simulujú reálne útoky a pomáhajú odhaliť prípadné slabiny v systémoch. Každý takýto test prináša nové poznatky a vedie k ďalším zlepšeniam.
Ako konkrétne vstupuje bezpečnosť do vývoja našich produktov?
Bezpečnosť riešime už vo fáze návrhu.
Pri vývoji nových funkcií pracujeme s princípom „secure by design“. To znamená, že bezpečnosť nie je pridávaná dodatočne, ale je súčasťou samotnej koncepcie riešenia.
Do vývoja sú zapojení bezpečnostní architekti a bezpečnostní manažéri, ktorí sa podieľajú na návrhu nových modulov a funkcií. Vďaka tomu sa bezpečnostné štandardy premietajú už do samotnej architektúry produktu.
Aké sú veci, ktoré zákazníci zvyčajne nevidia?
Bezpečnosť nie je len o technológiách. Dôležitú úlohu hrá napríklad to, že do bezpečnostných tém sa aktívne zapája aj vrcholové vedenie firmy. Vedenie sa zúčastňuje auditov, sleduje výsledky a podporuje bezpečnostné iniciatívy vnútri organizácie. Okrem toho sa snažíme rozvíjať aj bezpečnostné povedomie zamestnancov.
Postupne sa tak mení aj prístup celej firmy – ľudia začínajú vnímať bezpečnosť ako prirodzenú súčasť svojej práce.
Ak by si mal vysvetliť hlavný zmysel bezpečnosti v GRiTu jednou myšlienkou, ako by si to opísal?
Bezpečnosť je predovšetkým o budovaní odolnosti. Stopercentná bezpečnosť neexistuje. Cieľom je sledovať aktuálne hrozby, reagovať na ne, zapájať do bezpečnosti ľudí vo firme a postupne zvyšovať úroveň ochrany.
Vďaka tomu môžeme vytvárať produkty, ktoré sú bezpečné a zároveň zostávajú spoľahlivou súčasťou dodávateľského reťazca našich zákazníkov.
Riešite schvaľovanie faktúr?
30 minút, žiadny záväzok. Ukážeme vám, ako iNVOiCE FLOW zapadne do vášho ERP.
