Bezpečnosť v IT očami klienta: Ako si vybrať a overiť partnera pre môj druh biznisu?

Počas šiestich rokov máme tú česť budovať s našimi partnermi pestrú škálu projektov. Bankovníctvo, zdravotníctvo, biometria, financie, interné informačné systémy, šport… Každý z nich nás niečo naučil a do budúcnosti nám dal odpoveď na otázku ktorú by sme si želali častokrát vedieť skôr.  

Na tému sa pozrieme cez otázky ktoré by mohli firmu či podnikateľa zaujímať. Pokúsime sa podeliť o pár (veríme, že užitočných) poznatkov. 
Na otázky odpovedá CEO Tomáš Lodňan a CTO Marek Špalek.

1. Prečo by som sa nad témou bezpečnosti mal ja, ako zadávateľ projektu zamýšľať? Nemal by to riešiť len dodávateľ?

‍Samozrejme, treba sa nad bezpečnosťou zamýšlať hneď od začiatku. Dáta sú nová mena, a tak sa k ním treba aj správať. Nechali by ste na ulici vaše úspory? Asi nie. Ako prevádzkovateľ ste zodpovedný za to akým spôsobom sa dáta spravujú a v prípade úniku alebo útoku na vás budete musieť aj informovať príslušné orgány a znášať prípadné pokuty. Preto by som to vôbec nepodceňoval. Dodávateľ vám však vie byť maximálne nápomocný a preto si vyberajte takého ktorý s tým má skúsenosti a vie vám poradiť.

2. Čo je pri bezpečnosti dát úplným základom bez čoho sa v aktuálnej dobe nikam nepohnem?

‍Dôležité je hlavne nastavenie samotného procesu získavania a spracovávania dát tak, aby bol čo najmenej vystavený možnosti ľudského zlyhania alebo iného exterého faktoru.
V GoodRequest sme si osvojili také pravidlo: "Potrebuješ jedno miesto kde je pravda. A to je na serveri." Jeho dodržiavanie sa vyplatí pri weboch aj aplikáciách. Zároveň platí pri všetkých projektoch. Obzvlášť pri tých, ktoré sú na dáta ozaj extrémne citlivé ako banka či klinika. Vtedy do hry vstupujú ďalšie špeciálne regulácie a pravidlá.
Okrem toho sú to zásady o https protokole, ochrane dát počas celej ich cesty a pod. Žiadnej serióznej dev. firme, či freelancerovi to určite nie je cudzie.

3. Nie je GDPR zbytočnosť? Prečo je pri weboch a appkách potrebné a nie len nutné?

‍Určite to nie je zbytočnosť. Vývojári, alebo aj používatelia to veľakrát tvrdia. Mnohí argumentujú tým, že načo treba všetko odsúhlasovať alebo schvaľovať. Treba si však uvedomiť, že súhlas so spracovaním osobných údajov je iba začiadkom vášho "vzťahu" s poskytovateľom služby, od neho sa potom vyvíja ako bude s vašimi údajmi narábať. Predstavte si, že by ste to nemuseli robiť a prevádzkovateľ služby si zoberie akékoľvek vaše dáta bez toho aby ste o tom vedeli. Dôsledok? Videli sme ich pár v minulosti. Ovplyvňovanie volieb, nekalé praktiky, strata súkromia a podobne. Preto si osobne myslím, že GDPR je možno najzásadnejšia legislatívna norma z pohľadu bezpečnosti dát za posledných 10 rokov.

4. Ako je to s bezpečnosťou pri weboch ako pri appkách a ako pri informačných systémoch? V čom sa líši pohľad na bezpečnosť?

‍Bezpečnosť sa vždy odvíja od miery citlivosti dát s ktorými pracujete. Čím väčšiu bezpečnosť a ochranu chcete zabezpečiť, tým výraznejšie porastú vaše náklady. Jednoducho povedané vždy je nutné zvážiť aké riziká prinesie jednoduchšie riešenie a či v kontexte s projektom neohrozí používateľov, produkt, alebo vaše dobré meno. Je teda jasné, že ak robíte bankovú aplikáciu alebo systém pre kliniku pracujete s najvyššou úrovňou bezpečnosti aká je dostupná. Ale pri menšom projekte kde riešite napr. webovú stránku pre vašu galériu vám postačuje šifrovanie zabezpečená komunikácia cez HTTPS a bežná úroveň bezpečnosti.

5. Objavujú sa rozdiely aj naprieč odvetviami? Ktoré majú najvýraznejšie špecifiká?

‍Určite áno. Boli by to veľmi dlhé a rozsiahle odpovede ak by sme sa spolu venovali každému odvetviu. Najlepšie je preto poradiť sa s odborníkmi. Vychádzajte však z jednoduchej úvahy - čím viac dát, tým väčšia zodpovednosť. Čím viac citlivých dát tým väčšie požiadavky z viacerých strán. Jednou z nich je aj štát.

6. Ako si dodávateľa overiť? Aké otázky sa pýtať a aké odpovede očakávať aby som overil odbornosť a dôveryhodnosť?

‍Najlepšie prostredníctvom referencií. Dôveryhodná a seriózna firma sa nimi netají a sú ľahko dohľadateľné. Je to fajn odrazový mostík pri prvom prieskume. Ako sa však vraví - papier znesie a preto ak nájdete svojho "favorita" odporúčam vypýtať si ku konkrétnym referenciám aj kontakt na človeka, ktorý daný projekt s firmou riešil. Typicky to môže byť projektový manažér, majiteľ firmy, alebo product owner za klienta. Oni vám vedia dať určite najlepšiu spätnú väzbu na samotného dodávateľa. A na záver, ak to z pohľadu projektu a jeho rozpočtu je možné, odporúčam najať firmu ktorá robí penetračné testy aby ste mali tzv. druhý pár oči, ktorý to celé skontroluje.

Je pre vás téma tvorby webov, aplikácií a prístupu k bezpečnosti v softvérovej firme zaujímavá? Chceli by ste vedieť viac o tom ako vznikne z hľadania partnera web alebo aplikácia s miliónmi užívateľov?

O toto všetko sa v podcaste NaRovinu o podnikaní podelil Tomáš.
 

Ak by ste v tomto rozhovore nenašli odpoveď na svoju otázku, resp. vznikli by akékoľvek ďalšie doplňujúce obráťte sa na Tomáša. Jeho LinkedIn profil nájdete priamo tu.

Ak sa ti podcasty s nami páčia, viac ich nájdeš v časti GoodRequest v podcastoch.