Predplatné

HN špeciál

5524751
Dreamstime
StoryEditor

Keď pôjde o každú hodinu, alebo analýza dopadov a rizík

25.04.2025, 00:00
Autor:
HNšpeciálHNšpeciál

Výsledkom inventarizácie a klasifikácie aktív je prehľad o tom, čo máme, čo je dôležité a kto za čo zodpovedá. Teraz sme si položili otázku: Čo sa stane, ak niektoré z týchto aktív alebo služieb zlyhajú?

Na túto otázku nám odpovedajú analýza dopadov (BIA) a analýza rizík.

Analýza dopadov

Tu sme si s vlastníkmi procesov prechádzali kľúčovú vec: aký bude dopad, ak konkrétny systém alebo služba vypadne?

Z toho sme vyvodili dva zásadné parametre:

  • RTO (Recovery Time Objective): čas, do kedy musíme službu alebo proces obnoviť, aby firma neutrpela vážnu škodu.
  • RPO (Recovery Point Objective): časový rámec pre určenie objemu dát ktoré si môžeme dovoliť stratiť, ak systém zlyhá.

Príklady z praxe

Čas, do kedy musíme obnoviť ERP systém, je osem hodín, časový rámec pre „prípustnú“ stratu dát sú štyri stratiť hodiny. Výrobný softvér musíme obnoviť do štyroch hodín, na „stratu dát“ máme iba hodinu!

Ale analýza dopadov a rizík nám ukázala aj dôležitú vec, ktorá sa často podceňuje - vzájomné závislosti.

  • Výroba závisí od ERP systému
  • ERP závisí od siete a a infraštruktúry
  • Zálohovanie závisí od vyššie definovaného času a časového rámca.

Mapa závislostí

Takže nestačí obnoviť len ERP systém. Potrebujeme vedieť čo obnoviť ako prvé, v akom poradí, a čo na čom visí. Preto sme k analýze pridali aj mapu závislostí medzi procesmi a medzi aktívami. Výsledkom je učenie ich kritickosti, dôležitosti pre firmu a tým aj poradia obnovy.  Vieme, čo musíme mať dostupné ako prvé, ak chceme spustiť zvyšok.

Našli sme tak aj lepší argument, prečo sa oplatí investovať do infraštruktúry, ktorú bežne nikto nevidí. Áno, aj do zálohovania.

Analýza rizík

Po dopadoch sme sa pozreli na to, čo nám môže ublížiť. Zvolil som jednoduchý, no osvedčený prístup, keď riziko je násobkom pravdepodobnosti a dopadu.

Aby to nebolo len o skóre v tabuľke, vytvorili sme rizikové scenáre ako konkrétne situácie.

  • Výpadok ERP počas expedície: zamestnanec spustí update bez testovania → faktúry neodídu, objednávky sa zaseknú. Koľko nás bude stáť prerušenie objednávania tovarov?
  • Ransomvér cez podvodný e-mail: zamestnanec klikne, zašifruje sa súborový server → výpadok viacerých oddelení naraz. Koľko nás bude stáť výpadok výroby?
  • Výpadok sieťového prvku vo výrobe: prestane komunikovať zber dát, stroje sa zastavia → škoda na materiáli a reputácii. Aká bude výšky škody?
  • Zmena receptúry bez schválenia: chýba logovanie a kontrola → zlý produkt, reklamácie, reputačný dopad. O koľko objednávok v budúcnosti prídeme kvôli strate dobrého mena?

Praktické nástroje

Scenáre sme spojili s existujúcimi opatreniami a zistili sme, kde máme rezervy a navrhli bezpečnostné opatrenia. Technické zmeny môžu byť monitoring, zálohy, alebo segmentácia. Logovanie, schvaľovanie a obnova sú procesné kroky a medzi organizačné opatrenia patria zodpovednosti, školenia a testovanie.

Čo tým získavame?

BIA a analýza rizík nie sú cvičenia pre audit. Sú to praktické nástroje pre vedenie firmy.Pomohli nám odpovedať na otázky:

  • Čo sa nám môže stať?
  • Ako rýchlo musíme reagovať?
  • Koľko nás bude stáť, ak to zanedbáme?

Bezpečnosť už neriešime ako izolovaný IT problém, ale ako firemnú zodpovednosť. Každý proces má svoj dopad a každé riziko má svojho vlastníka.

Takto to robím ja.

Každý mesiac sa s vami delí o svoje praktické skúsenosti skúsený profesionál. Sme svedkami spoločnej cesty bezpečáka a firemného manažmentu vo fiktívnej potravinárskej firme, ktorá buduje svoju kyberbezpečnosť od základov

Andrej Mišura má dvadsať rokov skúsenosti v oblasti IT, bol vyhlásený za manažéra kybernetickej bezpečnosti roka 2024. V súčasnosti je riadiacim partnerom skupiny Cyllium

#KYBERBEZPEČNOSŤ#KYBERNETICKÁ BEZPEČNOSŤ
menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
25. apríl 2025 00:04