Bezpečnost firmy - školení IT pracovníků nestačí
Rozhovor s Helenou Broučkovou, generální ředitelkou společnosti 4safety
11.3.2013 - DoporučujemeHelena Broučková přišla na pozici generální ředitelky společnosti 4safety, a.s. v roce 2009 ze sázkové kanceláře Victoria-Tip, a.s., kde pracovala na pozici ředitelky útvaru vývoje nové aplikace pro internetové sázení, který přes mnohá rizika skončil díky jejím manažerským dovednostem úspěšně a představoval značnou konkurenční výhodu.
Název vaší společnosti napovídá, že se zabýváte bezpečností. V jakém smyslu a jakou to má souvislost s HR?
Základem náplně práce oddělení HR je výběr nových zaměstnanců. Nicméně jeho stejně důležitou činností je starost o ně, a pokud chce HR přilákat a následně udržet skutečně kvalitní pracovníky, musí jim nabídnout také možnost profesního růstu a možnost vzdělávání. V dnešní době není pro zaměstnance (zejména pracovníky v IT) jedinou motivační složkou výše příjmu, jako tomu bylo dříve. Proto je pro HR důležité vědět, že existují firmy jako je ta naše.
Proč by firmy měly investovat do školení svých IT odborníků?
Investice do vzdělávání svých IT odborníků podle našich zkušeností přináší rychlé zvýšení jejich kvalifikace. Pod vedením zkušených lektorů dosáhnou požadovaných znalostí v krátkém časovém horizontu, kdežto při samostudiu je tento proces zdlouhavý s nejistým výsledkem. Při samostudiu je investice zaměstnavatele výrazně vyšší, neboť zaměstnanec není nápomocen svému pracovnímu týmu. Vzhledem k rychlému vývoji technologií v IT je žádoucí mít ve svých řadách kvalifikované pracovníky.
Jaký postup doporučujete pro výběr školení, aby zaměstnancům a firmě přinesla více než diplom na zdi?
Při výběru školení je důležité zaměřit se na jeho typ. U školení z kategorie vyšší odbornosti je velmi důležitá forma, přičemž za kvalitní školení jsou považovány školení hands-on, z toho je zřejmé další kritérium, čímž je počet účastníků. Pro očekávaný přínos je počet 6 účastníků skutečným maximem. Neméně důležitá je také ochota a schopnost společnosti přizpůsobit školení potřebám zákazníků. V případě, že HR bude posílat IT odborníky na školení do společnosti, která školí přesně podle materiálů a není ochotna školení přizpůsobit vašim potřebám přinese kromě diplomu na zdi, také otráveného pracovníka.
Nabízíte také tzv. penetrační testy. Jak tyto testy probíhají a k čemu přesně slouží?
Zjednodušeně lze říci, že penetrační testy jsou simulací útoků hackera s cílem odhalit slabá místa zabezpečení infrastruktury objednatele. Penetrační testy probíhají dle předem dohodnutého scénáře, který se odvíjí od toho, kterou část infrastruktury objednatel chce otestovat. Jednou z nejdůležitějších věcí při penetračních testech je smlouva mezi vybranou společností a objednatelem, která je hlavním rozdílem mezi penetračními testy a útokem skutečného hackera.
Jaké jsou vaše zkušenosti s reakcemi zákazníků na výsledky těchto testů? Bývají například často překvapeni, že úroveň bezpečnosti jejich dat není tak dobrá, jak si mysleli?
Reakce zákazníků jsou velmi rozmanité. Někteří zákazníci žijí v iluzi, že koupí nějakého drahého bezpečnostního produktu učinili maximum pro zajištění bezpečnosti svých dat a jsou pak velmi překvapeni, že se podaří kompromitovat podstatnou část infrastruktury. Koupí sice drahé řešení, ale nemají kvalifikovaného pracovníka, který se o toto řešení stará a monitoruje jej. Na druhé straně jsou zákazníci, kteří vědí, že bezpečnost není produkt ani služba, ale nikdy nekončící proces. Tito zákazníci mají zpravidla zabezpečení na velmi slušné úrovni, erudované pracovníky a proto nejsou překvapeni, když nalezneme i některé závažné nedostatky. O některých nedostatcích sami vědí, ale z různých důvodů je nemohou v dnou chvíli odstranit.
Jak často by se penetrační testy měly provádět?
Zde samozřejmě záleží na velikosti a typu organizace. Organizace s citlivými daty by měly dělat penetrační testy jednou až dvakrát za rok. Ostatním firmy nabízí na vyzkoušení tzv. „demo penetrační testy“, čímž si vyzkouší, co tato služba obnáší.
Vaší třetí doménou je bezpečné telefonování. Znamená to, že běžné telefonování je nebezpečné?
Ano, běžné telefonování je zcela nešifrované a stačí jej odposlouchávat. GSM (dnes nejčastější forma telefonování) je sice šifrované, ale je zde jedna podstatná vada. GSM využívá šifru A5/1 z roku 1987. Tato šifra je již překonaná a GSM lze odposlouchávat v podstatě online a to bez drahého technického vybavení jako je sdělovacími prostředky prezentovaná Agáta. Na odposlech GSM stačí jeden technik znalý problematiky a technické vybavení za cca 250.000 Kč, což činí toto dostupné téměř pro kohokoli.
Jak funguje telefonování bez možnosti odposlechů?
Na trhu je mnoho nabízených služeb šifrovaného telefonování. Většina však šifruje pouze jméno a heslo a samotný datový tok není šifrovaný a lze tedy snadno odposlouchávat. Námi nabízené bezpečné telefonování funguje tak, že šifrujeme vše včetně samotného hovoru. Pro šifrování používáme standardní v současné době protokoly a algoritmy jako jsou TLS a AES - 256. Naše řešení je navíc zcela nezávislé a tak na rozdíl od GSM můžeme šifrovací algoritmy změnit přes víkend. Šifrovaná komunikace je to nejdůležitější, ale podstatné je i to, že servery, které jsou využity jsou mimo ČR, což snižuje možnost krádeže, která by znamenala krátkodobý výpadek, neboť nikomu nesdělujeme kde jsou umístěny. Všechny servery mají samozřejmě šifrované disky, aby bylo možno bezpečně zanechávat hlasové zprávy.
Komu především byste bezpečné telefonování doporučila?
Toto je velmi těžká otázka. Asi jediná správná odpověď je, že bych tuto službu doporučila všem, kteří nechtějí, aby je kdokoli odposlouchával. Nejvíce mě to překvapuje u advokátních kanceláří, kterým klienti svěřují velmi citlivá data a jejich vyzrazení může zvrátit celý spor. Stejně to vnímám i u top managementu a dalších exponovaných osob.
Jak vysokou prioritou je podle vás bezpečnost dat v tuzemských firmách?
Toto je velmi složitá problematika. Některé společnosti si uvědomují cenu svých dat a cenu toho, že data skutečně zůstanou utajena před konkurencí či jiným zneužitím. V těchto organizacích se k problematice bezpečnosti přistupuje skutečně zodpovědně. Bohužel je to spíše menšina. Existují i organizace, které se řídí heslem "my nemáme co tajit". Tyto organizace se pak nejvíce diví, když přijdou o nějaká data nebo přijde úspěšný útok hackera.
Co by se mělo změnit a jaké řešení navrhujete?
Věcí ke změně je hodně, ale velmi špatně se hledá společný průnik pro všechny organizace. Stále platí předsudky typu "zvládneme to sami". To je asi hlavní důvod, proč si stále málo organizací v porovnání se zahraničím nechává prověřit svou infrastrukturu penetračními testy. Dalším nekalým jevem je skutečnost, že i v případě, že si organizace vybírá drahé řešení v řádů miliónů korun nechává výběr na svých lidech, kteří sice znají problematiku, ale nemají globální přehled o situaci na trhu a negarantují tak nezávislost. Pro účely tendrů je velmi dobré využít státe garantovaný institut soudního znalce, který je garantem odbornosti a nezávislosti.
Doplňující otázky:
Oblíbený autor, kniha: Jackie Collins
Oblíbená hudba: pop
Oblíbená činnost: poslech hudby
Kam byste se chtěla podívat: Peru
Na co se těšíte: Na Vánoce
Čeho se bojíte: žáby
Váš největší pracovní úspěch:
Vaše motto: Jak mizerný by byl život, kdybychom se občas nepochválili.
Oblíbený nápoj: káva
Oblíbený film: Loď duchů
Oblíbené místo: Punta Norte (Cozumel)
Oblíbený server: novinky.cz
Kým nebo čím byste chtěla být v příštím životě: muž
Tento rozhovor byl připraven ve spolupráci s firmou:
Další informace Vám rádi poskytneme prostřednictvím EduCity, prosíme kontaktujte p. Bartičku info@educity.cz nebo na tel. (+420) 731 169 890
Vytisknout rozhovor