Výběr přístupu k řešení bezpečnosti informací

Při rozhodování, který přístup k řešení bezpečnosti by organizace měla zvolit, se nabízí několik variant:

1. Vlastní řešení – spočívá ve vytipování těch nejpalčivějších problémů, na které je pak zaměřeno řešení. V tomto přístupu převládá výrazně intuitivní prvek. Výhodou je zaměření na problémy, které organizace potřebuje přednostně řešit. Nevýhodou je, že mnohá bezpečnostní rizika zůstávají nerozpoznána a následně také nepokryta a řešení tak nemůže poskytnout komplexnější záruky za bezpečnost informací.
2. Necertifikované řešení – spočívá v přístupu, kdy je bezpečnost informací řešena v souladu se standardem, ale organizace toto řešení necertifikuje. Na rozdíl od předchozího přístupu, tím, že organizace postupuje metodicky, v souladu se standardem, dochází k nárůstu kvality řešení. Standard poskytuje návod, jak zajistit bezpečnost a podstatnou měrou je snížena možnost opomenutí některého rizika. To se projeví v mnohem vyšších zárukách, které takové bezpečnostní řešení přináší. Tímto přístupem si organizace zároveň otevírá cestu do budoucnosti, kdy může dosáhnout takové úrovně souladu se standardem, že může přistoupit k certifikaci. Negativem tohoto přístupu jsou nižší záruky za správnost a úplnost řešení, protože není ověřen soulad řešení bezpečnosti se standardem (není provedena certifikace).
3. Certifikované řešení - spočívá v přístupu, kdy je bezpečnost informací řešena v souladu se standardem a organizace verifikuje správnost řešení certifikací nezávislou auditorskou firmou. Tento přístup představuje nejkvalitnější řešení bezpečnosti informací, protože se slučují pozitiva postupu podle standardu a navíc je řešení verifikováno certifikačním auditem, který prověří, zda byly naplněny všechny požadavky standardu. Jen toto řešení poskytuje plnohodnotné záruky za správnost a certifikát lze navíc dobře využít i v oblasti marketingu.

Volba přístupu je závislá na charakteru a velikosti organizace. Vždy je třeba mít na paměti, že organizaci se bezpečnost musí „vyplácet“. Tím je myšleno, že řešení bezpečnosti představuje pro organizaci pracovní a finanční zátěž a užitek, plynoucí z realizace bezpečnosti musí zdůvodnit vynaložené náklady na bezpečnost. Toto je důvodem, proč nelze říci, že první přístup je diletantský a zavrhnout jej. Naopak, u malých organizací může být právě první přístup, pokud je proveden odborně, tím elegantním řešením, kdy jsou s minimálními náklady pokryty hlavní rizika organizace.

Řešení je třeba hledat v odpovědi na dvě otázky, kde první je: “K čemu má bezpečnost sloužit?“ Zda k eliminaci několika zcela určitých rizik, nebo zda se hledá komplexní řešení, které poskytne záruky, že bezpečnost v organizaci pokrývá všechny aspekty činnosti organizace. Certifikovaný systém řízení bezpečnosti může, (například i v případě soudního sporu) poskytnout důkazy o tom, že organizace poskytovala problematice bezpečnosti svých informací dostatečnou pozornost a případný incident je nepředvídatelným selháním jednotlivce v organizaci a nikoli organizace samé.

Druhým aspektem rozhodování je nalezení odpovědi na otázku: „Jaké je množství zdrojů, které je organizace schopna a ochotna na bezpečnost svých informací vynaložit?“ Za touto otázkou se skrývá problematika efektivity bezpečnostního řešení. Silným nástrojem pro zdůvodnění opodstatněnosti investic do bezpečnosti bývají právě bezpečnostní standardy, protože většinou podporují postupy pro optimalizaci bezpečnostních opatření.