Blog

Jak se dívat na IT bezpečnost ve firmách i startupech

27. 4. 2021

Jiří Riedl, softwarový architekt a specialista na bezpečnost v BOOTIQ

 

Bezpečnost je v dnešní uspěchané době v řadě firem i startupů stále podceňovaná disciplína. Dávno již neplatí, že nasazením antiviru a zabezpečením firemní sítě je problém jednou provždy vyřešený. To je však jeden z nejklasičtějších omylů. Stejně jako se mění technologie a způsob práce, mění se i možné hrozby. Jejich nalezení a odstranění se tak stává komplexní disciplínou, která začíná v samotných základech IT systému a končí u chování zaměstnanců. V této oblasti tak panuje i v současnosti řada mýtů, kvůli kterým řada šéfů o případném bezpečnostním auditu ani nepřemýšlí, ať už z obavy z vysoké ceny, nebo z “kostlivců” skrytých hluboko v nepřehledném špagetovém kódu.

Stavte na pevných základech

Stejně jako se zřítí dům bez kvalitních základů, nemůže fungovat žádný systém či aplikace bez kvalitní architektury. S tímto neduhem se setkáváme u některých startupů, které se snaží co nejrychleji vydat MVP (minimum viable product = základní životaschopný produkt), který chtějí co nejrychleji představit investorům. Přitom často neřeší, že jejich aplikace při vyšším náporu zpomalí, nebo rovnou spadne, a později bude náročnější její škálování a rozvoj. U cloudových aplikací se pak může kvůli špatné architektuře jejich provoz i zásadně prodražit. V neposlední řadě nepotěší špatně navržená aplikace ani investora, který by se o její technický stav měl přirozeně zajímat.

Bezpečnost a odolnost je tedy přímo úměrná kvalitní architektuře. Výhoda IT architektů je rozhled, doporučení nejspolehlivějších a nejověřenějších praktik a postupů. Startup tak nemusí vynalézat kolo, ale rovnou si vybrat ty nejkvalitnější díly. A díky tomu se opět soustředit na vlastní vývoj. Přitom IT architekt nemusí být u všeho, bohatě stačí jeho přítomnost na začátku každé klíčové fáze projektu. Ve výsledku tak jeho práce není časově náročná a tato investice se do budoucna mnohonásobně vyplatí.

I příliš složitý systém lze zachránit

Na trhu existuje stále řada firem, které si drží svůj archaický IT systém, o který se stará interní IT oddělení. Za celou historii se však rozrostl do obludných rozměrů, takže mu nikdo jiný nerozumí. To je iluze, kterou si řada šéfů udržuje a nad možnými problémy přivírá oči. Většinou, dokud se nevyskytne vážnější problém. Externí konzultant dokáže pomoci najít ty největší chyby a podívat se na věc z nového, vnějšího úhlu. A navrhnout ideální řešení, jak vše zjednodušit, případně přejít na moderní a spolehlivý systém, nebo jednotlivé nástroje.

Základní problém často tkví v tom, že si některé firmy chtějí všechno vyvinout samy. A to navzdory tomu, že například CRM a ERP systémů je na trhu dostatečný výběr a vaše aplikace se primárně věnuje něčemu jinému. Někdy se dokonce vyplácí vyvinout a prodávat jen samostatný modul do běžné aplikace, který je ve finále bezpečnější, rychlejší a levnější na údržbu. Zrovna tak dokáže zkušený IT architekt poradit firmě, která zvažuje investici do nového nástroje či funkcionality. A to například s tím, jaké vývojáře najmout, jaké využít technologie, programovací jazyk a další parametry. 

Bezpečnostní audit upozorní na chyby i hrozby

Pokud chcete prověřit svou firmu z gruntu, vyplatí se zjednat si bezpečnostní audit. Ten trvá obvykle dva až tři týdny a na jeho konci dostanete výpis všech chyb a bezpečnostních hrozeb – ty většinou nepředstavují akutní problém, ale jejich okamžité řešení je tou nejlevnější variantou. Typicky ceny oprav aplikací bývají díky jasným výsledkům a doporučením z například penetračního testováni nízké a realizace samotná pak poměrně snadná. Součástí auditu jsou i audity zranitelnosti, při nichž se vezme celý projekt a kontroluje se, jestli aplikace nevyužívá nezabezpečené aplikace třetích stran. U těch bývají klíčové jsou aktualizace, například knihoven či serveru – řadu neaktualizovaných aplikací lze hacknout, i když už třeba existuje bezpečnostní záplata. Tedy jen proto že aktualizaci autor odložil.

Bezpečnost samotné aplikace je však jen jedna stránka problému. U SaaS produktu je například mnohem důležitější provést audit fungování firmy, respektive prověřit zabezpečení lidí a týmů. Tedy zabezpečit jejich přístupy a otestovat scénáře typu “co se stane, když vývojář přijde v tramvaji o notebook”. Někdy zase zůstane více cest přístupu z testování, které může někdo z týmu zapomenout. 

Nezapomeňte na ochranu dat klientů

Kapitola sama pro sebe jsou pak marketingové nástroje a obecně firmy, které zpracovávají osobní data. Jejich ztráta pak může znamenat nejen vysoké pokuty, ale i kompletní zničení reputace a ztrátu důvěry v produkt. Proto je i soulad s GDPR a prevence úniku dat důležitou oblastí, na kterou by správný bezpečnostní audit neměl zapomenout.

Bezpečnost je v dnešní době komplexní disciplínou, kterou nelze podcenit od samého začátku. Firma tak bude mít klid a jistotu, že staví svůj produkt od základů kvalitně a pozdější rozvoj a škálování díky tomu proběhne hladce. IT architekt pomůže s návrhem strategie a výběrem nejnovějších technologií. A ukáže firmě správný směr, protože sleduje trendy a nejlepší praktiky, které nasbíral během své práce v jiných technologických firmách.

Brzy NA V!DĚNOU