Košík
0
0,00 Kč

Jak správně identifikovat a hodnotit aktiva z pohledu kybernetické bezpečnosti

23.09.2024

Kybernetická bezpečnost začíná správným pochopením toho, co vlastně chráníte. Vaše aktiva – ať už fyzická, digitální, nebo lidská – jsou základním kamenem, na kterém stojí všechny bezpečnostní strategie. Bez jejich správné identifikace a analýzy nelze efektivně zabránit kybernetickým útokům nebo minimalizovat jejich dopad. Tento článek vám ukáže, jak aktiva identifikovat, hodnotit a chránit, aby vaše firma byla kyberneticky připravená. 

Co jsou aktiva a proč na nich záleží?

Aktiva zahrnují vše, co má pro firmu hodnotu a co je nutné chránit. Může jít o data zákazníků, servery, know-how vašich zaměstnanců nebo i samotné systémy, které firmu udržují v chodu.

Zde jsou tři hlavní kategorie aktiv:

  1. Fyzická aktiva: Počítače, servery, síťová zařízení nebo záložní disky.
  2. Digitální aktiva: Citlivé dokumenty, databáze zákazníků, e-maily vedení, firemní software.
  3. Lidská aktiva: Zaměstnanci a jejich přístupy, interní znalosti, know-how.

Například databáze zákazníků s osobními údaji spadá nejen mezi digitální aktiva, ale také pod přísné regulační požadavky, jako je GDPR. Je proto nutné nejen pochopit hodnotu těchto aktiv, ale také nastavit jasná pravidla jejich ochrany.

Kritéria pro určení aktiva, které spadá do kybernetického zájmu

Ne každé aktivum je stejně důležité. Při analýze aktiv se zaměřte na následující kritéria:

  1. Hodnota aktiva: Má aktivum přímý dopad na váš obchodní úspěch? Například přístup do internetového bankovnictví je zcela zásadní.

  2. Dopad ztráty: Co by se stalo, kdyby bylo aktivum zcizeno, poškozeno nebo veřejně zveřejněno? Ztráta důvěry zákazníků nebo právní sankce mohou být pro firmu fatální.

  3. Zranitelnost: Jak snadno může být aktivum napadeno? Například nezabezpečené přístupové údaje jsou častým terčem kybernetických útoků.

  4. Právní a regulační požadavky: Některá aktiva, jako osobní údaje zákazníků, podléhají přísné legislativě.

  5. Externí a interní hrozby: Jaká je pravděpodobnost, že aktivum bude ohroženo? Například zaměstnanci s přístupem k citlivým datům mohou neúmyslně ohrozit bezpečnost.

Jak provést analýzu aktiv ve firmě?

Provést efektivní analýzu aktiv vyžaduje strukturovaný přístup. Zde je postup:

1. Identifikace všech aktiv

  • Zmapujte všechny fyzické i digitální aktiva ve firmě.
  • Neomezujte se pouze na IT oddělení – zapojte HR, finance i další týmy.

2. Hodnocení hodnoty a prioritizace

  • Určete, která aktiva jsou klíčová pro vaši firmu (např. databáze zákazníků).
  • Přiřaďte každému aktivu důležitost (např. vysoká, střední, nízká).

3. Posouzení rizik

  • Jaká hrozba se na aktivum vztahuje (např. ransomware, phishing)?
  • Jaké jsou pravděpodobnosti a možné dopady útoku?

4. Stanovení ochranných opatření

  • Implementujte ochranné mechanismy (např. šifrování dat, přístupová omezení, pravidelné zálohy).

Příklady z praxe: Jak definování aktiv chrání firmy

Příklad 1: Ochrana databáze zákazníků u středně velké firmy

Středně velká e-commerce společnost měla v databázi uložené osobní údaje zákazníků, včetně adres a platebních údajů. Analýzou aktiv zjistila, že databáze patří mezi klíčová digitální aktiva. Firma implementovala následující opatření:

  • Šifrování databáze na úrovni uložených dat.
  • Nastavení vícefaktorové autentizace pro zaměstnance s přístupem k databázi.
  • Pravidelné audity přístupů, které odhalily nepoužívané účty, jež mohly být zneužity.

Když firma čelila pokusu o ransomware útok, šifrování a omezený přístup zabránily útočníkům v získání citlivých dat, což minimalizovalo dopady incidentu.

Příklad 2: Ochrana IoT zařízení v malé výrobní firmě

Menší výrobní firma používala IoT zařízení ke sledování produktivity strojů a logistiky. Po analýze aktiv si uvědomili, že tato zařízení jsou zranitelná, protože:

  • Používala defaultní hesla, která nebyla nikdy změněna.
  • Byla připojena k síti bez jakéhokoli oddělení od jiných systémů.

Firma zavedla opatření:

  • Segmentaci sítě, která izolovala IoT zařízení od citlivějších systémů, jako je ERP.
  • Změnu výchozích hesel a pravidelnou aktualizaci firmware.

Díky těmto krokům bylo zabráněno pokusu o útok, při kterém se útočníci pokusili využít zranitelné IoT zařízení k průniku do firemní sítě.

Příklad 3: Zabezpečení přístupu na dálku v IT startupu

IT startup během pandemie přešel na práci na dálku, což znamenalo zvýšené riziko pro jejich klíčové aktiva, jako jsou repozitáře kódu a cloudové servery. Po analýze zjistili:

  • Zaměstnanci používali nezabezpečené domácí sítě pro přístup k citlivým systémům.
  • Někteří měli přístup ke všem systémům, i když to nebylo potřeba.

Startup zavedl:

  • VPN připojení pro bezpečný přístup z domova.
  • Role-based access control (RBAC), což znamenalo, že každý zaměstnanec měl přístup pouze k tomu, co skutečně potřeboval.
  • Školení zaměstnanců o rizicích phishingu a používání silných hesel.

Tato opatření zabránila pokusům o útoky na cloudové servery, kde útočníci využívali slabé heslo jednoho ze zaměstnanců.

Doporučení pro firmy

  1. Začněte s přehledem aktiv: Seznam všech aktiv je základním krokem k jejich ochraně.
  2. Pravidelně aktualizujte analýzu: Aktiva a rizika se mění s růstem firmy i vývojem technologií.
  3. Zapojte zaměstnance: Školení o bezpečnosti minimalizuje riziko způsobené lidským faktorem.
  4. Používejte specializované nástroje: Software pro správu aktiv a rizik usnadní analýzu a správu.

Závěr

Definování a analýza aktiv jsou základními kroky k budování efektivní kybernetické bezpečnosti. Bez jasného přehledu o tom, co je třeba chránit, není možné implementovat smysluplná opatření. Identifikujte svá aktiva ještě dnes a nastavte správné procesy, které ochrání vaši firmu před kybernetickými hrozbami.

Share