Nadýchnite sa
Budovanie bezpečnosti v organizáciách často okrem nedostatku ľudských zdrojov stroskotá na financiách.
Preto je nutné sa na tento proces dôkladne pripraviť. Nezačínať kúpou bezpečnostného softvéru, ale správnou analýzou. Predídete takým banalitám, ako je vynaloženie väčších prostriedkov na ochranu, ako sú samotné dáta, ktoré chránite.
Vyvarujte sa omylu
Často sa stretávame so situáciou, keď zákazník žije v domnienke, že pomocou šifrovania, viacfaktorovej autentizácii či XDR nastolí vo firme „bezpečnosť“. A pritom kroky, ako napríklad riešenia na ochranu koncových bodov, by sa mali vykonávať až následne.
Budovanie bezpečnosti je komplexný proces, ktorý si vyžaduje skúsenosti v prvom rade na strane poskytovateľa bezpečnostných služieb.
Premyslite si to
Bezpečnosť každej organizácie sa začína tromi cieľmi: dôvernosť, dostupnosť a integrita. Ide o akýsi priemyselný štandard. Potrebujete zabezpečiť, aby sa k citlivým informáciám dostali iba oprávnené osoby, a teda aby tieto dáta neboli prezradené neoprávneným subjektom.
Zároveň je nutné, aby ste sa k vlastným dátam dostali vtedy, keď to potrebujete. V neposlednom rade je dôležité, aby jednotlivé informácie mohli meniť len oprávnení ľudia či prostriedky. V preklade to znamená, že informácie neboli narušené a sú úplné.
Hodnoťte s odstupom
Od dostupnosti, dôvernosti a integrity závisí kvalita poskytovaných služieb a schopnosť organizácie efektívne dosahovať ciele. Aby ste tento stav dosiahli, potrebujeme poznať, čo má význam vo vašej firme chrániť. Reč je o aktívach.
Môže ísť o procesy, ľudí, softvér, komponenty či know-how. K tomu, aby sme poznali aktíva, nám dopomôže analýza rizík.
Použite nástroje
Analýza rizík je základný nástroj systému riadenia informačnej bezpečnosti, pomocou ktorého dokážeme vyhodnotiť priority bezpečnosti v organizácii.
V prvej fáze identifikujeme a klasifikujeme aktíva a stanovíme požiadavky na bezpečnosť. Takto budeme vedieť, čo je pre vás najdôležitejšie.
V ďalšej fáze identifikujeme zraniteľnosti a posudzujeme hrozby, ktoré na tieto aktíva pôsobia. Potrebujeme pochopiť, kto vás chce či môže napadnúť a prečo a ako to môže uskutočniť. Špecialista následne určí dosah zneužitia zraniteľnosti danou hrozbou. Až následne po týchto úkonoch dokážeme určiť hodnotu, respektíve závažnosť jednotlivých rizík.
Výstupom analýzy bude katalóg aktív so zoznamom identifikovaných rizík s opisom a so závažnosťou.
Poznajte sa
Cieľom analýzy je zistiť, čo je pre firmu alebo inštitúciu dôležité a cenné, aké riziko sú ochotné akceptovať a čo už nie je možné akceptovať vzhľadom na ich ciele. Definujeme takto v organizácii chuť riskovať.
Analýza rizík sa nevykonáva iba z dôvodu ochrany produktov či služieb, ale aj z dôvodov identifikácie potrieb v oblasti informačnej bezpečnosti. A v neposlednom rade práve kvôli optimalizácii nákladov v spoločnosti.
Rozhodnite sa
Až na základe výstupov z analýzy, s relevantnými dátami v rukách by sme mali pristúpiť k samotnej ochrane aktív napríklad pomocou šifrovania, viacfaktorovej autentizácie alebo komplexnej ochrany XDR, systémom na detekciu a reakciu.
Inak povedané, zabezpečujete svoje podnikanie na technologickej úrovni pomocou IT bezpečnostných riešení. A vtedy bude cena férová pre dodávateľa aj zákazníka.
Július Selecký, senior technický špecialista ESET, spol. s r. o., odborný asistent, Fakulta managementu UK