Analýza rizik: Identifikace datových aktiv

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

  • HDD, SSD počítačů a serverů;
  • přenosných médiích jako jsou pásky, CD, DVD, flash disky;
  • v interní paměti přenosných zařízení.

K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:

  • Aplikace
  • Dokumenty
  • Spreadsheety
  • Prezentace
  • Obrázky
  • Audio
  • Video
  • Text
  • Maily
  • Výstupy z nejrůznějších aplikací

Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.

  • HR
    • Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
    • Seznam a popis pracovních pozic
    • Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
  • Marketing
    • Informace o klientech
    • Informace o dodavatelích
    • Detaily o proběhlých, stávajících nebo budoucích obchodech
    • Informace o nových produktech a službách
    • Informace o připravovaných marketingových kampaních
    • Výsledky průzkumu trhu, nejrůznější analýzy
  • Management
    • Strategické plány
    • Taktické plány
    • Operativní plány
    • Pracovní postupy
    • Projektová dokumentace
    • Bezpečnostní politika, standardy a směrnice
  • Finanční řízení
    • Účetní doklady
    • výkazy
  • IT
    • Síťová infrastruktura (nastavení, dokumentace, hesla)
    • Systémy (nastavení, dokumentace, hesla)
    • Aplikace (nastavení, dokumentace, hesla)
    • Databáze (nastavení dokumentace, hesla)
    • Zdrojové kódy
  • Facility
    • Plány budov
    • Umístění kamer, čidel, spínačů
    • Počet členů ostrahy a jejich úkolů

Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: , ,


K článku “Analýza rizik: Identifikace datových aktiv” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: