Jedan od govornika na Liderovoj konferenciji o korporativnoj sigurnosti iduće srijede u Zagrebu bit će Ramsés Gallego.
Potpredsjednik je Upravnog odbora međunarodne udruge za reviziju, kontrolu i sigurnost informacijskog sustava ISACA, član Guidance and Practices Committee ISCAE-ja te certifikacijskog odbora CISM-a i CEGIT-a. Zadužen je za strategiju sigurnosti u Quest Softwareu i Dellu, u kojima osmišljava sigurnosnu disciplinu i nadgleda uvođenje usluga. Uz titulu MBA i diplomu iz prava ima više od petnaest godina iskustva u sigurnosti, posebice u upravljanju rizikom. Na konferenciji će govoriti o promjenama, koje su danas konstanta. U pola sata pokušat će objasniti što se događa s IT svijetom. Nešto od toga objasnio je u razgovoru za Lider.
• Koliko su tvrtke svjesne važnosti IT sigurnosti i rizika koji nose loša sigurnosna rješenja?- Tehnologija je danas sveprisutna u poslovanju. Ima dodirne točke sa svakim dijelom tvrtke i svaki se podatak na neki način može naći na podatkovnom serveru. Zbog toga je sigurnost najvažnija. Ona je više od tehnologije, postupka ili rješenja - sigurnost je način ponašanja i instrument uspjeha. Važno je razumjeti da ta tema znači govoriti mogućnostima smanjenja izloženosti riziku smanjenjem opasnosti od sigurnosnog proboja. Većina tvrtki svjesna je rizika. Živimo u okolini koja se cijelo vrijeme mijenja, u kojoj se miješaju različiti rizici te u vrijeme stalnih sofisticiranih prijetnji. Zbog toga tvrtke moraju gledati širu sliku i smisliti strategiju kako bi smanjile rizik. Danas nema stopostotne sigurnosti, ali mora biti stopostotne posvećenosti zaštiti sigurnosti. Nema drugog načina na koji tvrtka može biti sigurna.
• Većina poslova danas se obavlja na serverima. Koliko je taj način poslovanje rizičan?- Nijedna IT infrastruktura u velikim tvrtkama nije jednaka, zato je teško dati općenitu ocjenu. Mogu reći da je, što je tvrtka poznatija i veća, češća meta hakera. Slijedeći to, postaviti pravo pitanje pravoj osobi u pravo vrijeme pokazat će nam što je na stolu i kako se to štiti. Strašno je da tvrtke ne shvaćaju jednadžbu rizika. Da bi postojao rizik, moraju postojati prijetnja koja može iskoristiti slabosti te vjerojatnost da se to dogodi. Kad je riječ o tehnologiji, sigurno postoji opasnost od hakera koji žele doći do vaših podataka. Na vama je da smanjite moguće slabe točke i mogućnost ulaska u sustav. Tvrtke mogu smanjiti rizik, ali ne mogu ga potpuno ukloniti.
• U posljednje vrijeme naglašava se pohranjivanje podataka u oblak. Što mislite o računarstvu u oblaku? - Usluge u oblaku samo su pojačale svijest o riziku u IT sustavima, no i dalje je najvažnije čuvanje biznisa i tvrtke, bila ona u oblaku, na serveru ili u vašoj zgradi. Takve usluge suočavaju se s jednakim izazovima kao kad izdvojite dio IT posla. Moramo shvatiti da je to samo nova platforma i donosi novosti u globalizaciji, smještaji servera i regulativi, ali smisao oblaka i njegove sigurnosti slično je kao u uobičajenome IT svijetu. Mora se paziti na zaštitu, ali ja vjerujem u disciplinu i mogu jamčiti da sustav u obalku nikamo ne ide. Možemo ga zvati ‘nebo’, ‘zrak’ ili kako god, ali u nekoliko godina osnove oblaka neće se mijenjati ni kad je riječ o poslovanju općenito. Prednosti nadmašuju rizike dokle god činimo prave stvari na pravi način. Korporacije su ulagale miljarde u podatkovne centre, to nisu mala ulaganja. Računarstvo u oblaku nije moda, moramo ga prihvatiti na pravi način i onda će se to savršeno uklopiti u poslovanje.
• Je li računarstvo u oblaku budućnost ili ga možemo smatrati sadašnjošću?- Oblak je sadašnjost, ali istodobno budućnost. Zastupam tezu da je budućnost sada. U svakoj industriji događa se nešto što mijenja način života, rada i ponašanja. Oblak je doista prijeloman trenutak u tome jer je donio novu platformu. On je sadašnjost, ali njegove dimenzije mijenjat će se jer će se mnogo više upotrebljavati izvan tvrtki.
• Imaju li uopće korpracije IT alate za borbu protiv napada? Koriste li se starom tehnologijom za bitke budućnosti?- Tvrtke vode bitke sutrašnjice s jučerašnjim oružjem, što nije dobro. Problem je što su hakeri vrlo dobro organizirani i povezani, zato se pitam koliko su organizirani i povezani sustavi zaštite. U svijetu stalnih prijetnji bacam rukavicu u lice tvrtkama pitajući ih koliko su njihovi sustavi i koliko su uporni u rješavanju sigurnosnih problema. Hakeri nemaju čarobni štapić za napad na nas. Za to se koriste istim tehnologijama kojima se tvrtke brane. Očito je problem u tome što su bolje organizirani. Zato bi tvrtke trebale međusobno dijeliti informacije o sigurnosnim sustavima, npr. o zaštiti vatrozidom, bilježenji ulaska i sličnome. . U Dell Softwareu primjenjujemo model takozvane spojene sigurnosti, uvjereni smo da je to pravi smjer. Ako su prijetnje ujedinjene, onda i naša obrana mora biti takva.
• Mnogo govorite o upravljaju identitetima. Je li dopuštenje za gledanje vlastitih podataka problem u velikim tvrtkama, treba li to ograničiti? - Upravljanje identitetima treba biti središte obrane svake tvrtke jer spaja dvije najvažnije stvari - ljude i informacije. Vrijeme je da shvatimo tko kopa po našim podacima, tko ima posebne privilegije u našemu informatičkom sustavu. Upravljanje identitetima disciplina je osiguranja koja spaja kontrolu i vidljivost podataka, pruža nam pogled iznutra na osnovna pitanja tko, što, kako, kada i gdje. To nije novost u osiguranju, primjenjuje se već desetak godina, ali tvrtke zaposlenicima omogućavaju sve više mogućnosti. Nije cilj da sve više ljudi gleda podatke, nego obrnuto. Treba segmentirati pristup i procjenu. Sada smo u eri oblaka, mobilnih komunikacija i socijalnih mreža, zato je sve teže procijeniti načine ograničenja pristupa.
• Kažete da tvrtke sigurnost moraju shvaćati kao način ponašanja, a ne samo kao dio poslovanja. Možete li to objasniti?- Mislimo da je sigurnost samo tehnologija, procesi, rješenja i infrastruktura. To jest točno, ali to je samo dio jednadžbe. Drugi je dio ponašanje prema zaposlenicima, korisnicima, klijentima, regulatorima, ravizorima... Treba imati želje i volje da se pomogne i da se ide naprijed u sigurnom okružju. Sigurnosni dio u svakoj tvrtki pogađa svaki njezin dio, bila riječ o novoj tvornici ili o novome proizvodu. S pravim pristupom i pravim mjerama možemo spriječiti štetu. Orijentacije kompanija na sigurnost jedan je od preduvjeta da sve funkcionira.
• Kako su socijalne mreže utjecale na sigurnost?- Društvene mreže, uz oblak i mobilnost, jedan su od čimbenika koji mijenjaju naše ponašanje. Preko noći su korisnicima omogućile da utječu na poslovanje, da se čuje glas zaposlenika. Imaju mnogo prednosti, ali i izazova. Sugeriram tvrtkama da postanu socijalna društva, da iskoriste to kao svoju prednost u IT borilišta. Zaposlenicama bi morale reći što smiju, a što ne smiju. Društvene mreže i dalje će biti tu pa se tvrtke moraju prilagoditi njima.
• Mislite li da će sigurnost biti velik problem u idućim godinama?- Sve smo svjesniji svega što se događa, ali sigurnosni sustav mijenja se vrlo brzo. Ako u tvrtkama ne probudimo svijest o tome, možemo se naći u velikim problemima. Svjesni smo problema koji mogu iskrsnuti, no katkad svejedno ne znamo kako se ponašati.