Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

• HDD, SSD počítačů a serverů;
• přenosných médiích jako jsou pásky, CD, DVD, flash disky;
• v interní paměti přenosných zařízení.

K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:

• Aplikace
• Dokumenty
• Spreadsheety
• Prezentace
• Obrázky
• Audio
• Video
• Text
• Maily
• Výstupy z nejrůznějších aplikací

Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.

• HR
  • Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
  • Seznam a popis pracovních pozic
  • Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
• Marketing
  • Informace o klientech
  • Informace o dodavatelích
  • Detaily o proběhlých, stávajících nebo budoucích obchodech
  • Informace o nových produktech a službách
  • Informace o připravovaných marketingových kampaních
  • Výsledky průzkumu trhu, nejrůznější analýzy
• Management
  • Strategické plány
  • Taktické plány
  • Operativní plány
  • Pracovní postupy
  • Projektová dokumentace
  • Bezpečnostní politika, standardy a směrnice
• Finanční řízení
  • Účetní doklady
  • výkazy
• IT
  • Síťová infrastruktura (nastavení, dokumentace, hesla)
  • Systémy (nastavení, dokumentace, hesla)
  • Aplikace (nastavení, dokumentace, hesla)
  • Databáze (nastavení dokumentace, hesla)
  • Zdrojové kódy
• Facility
  • Plány budov
  • Umístění kamer, čidel, spínačů
  • Počet členů ostrahy a jejich úkolů

Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.

Related posts:

1. Analýza rizik: kvantifikace aktiv z pohledu dostupnosti
2. Analýza rizik: identifikace hrozeb
3. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.V případě dostupnosti datových aktiv bychom měli sledovat dvě hodnoty a to RPO (Recovery Point Objective) a RTO (Recovery Time Objective). Běžně se však hodnota dopadu stanovuje jen na základě RTO, což může mít pro organizaci i katastrofální následky.

RTO

Jaké by byly finanční a nefinanční dopady, kdyby data, která jsou předmětem hodnocení, nebyla dostupná po dobu několika: 

• sekund
• minut
• hodin
• dní

RPO

Jaké by byly finanční a nefinanční dopady, kdyby došlo ke ztrátě dat za posledních několik: 

• sekund
• minut
• hodin
• dní

Všimněte si, že se jedná o dvě naprosto rozdílné otázky. Zatímco v prvním případě uvažujeme, že data nebudou dostupná jen po danou dobu, ve druhém případě o data za dané období přijdeme. Vidíme, že hodnota dopadu, co se týká dostupnosti datových aktiv, může teoreticky nabývat až 8 různých hodnot (4 x RPO + 4 x RTO). Na základě znalosti hodnot RTO a RPO můžeme ve fázi zvládání rizik volit vhodná opatření pro zajištění požadované dostupnosti dat.

Z obrázku je zřejmé, že v okamžiku, kdy se požadovaná dostupnost (RPO nebo RTO) pohybuje řádově v sekundách, musíme volit clusterové řešení. Pro dostupnost v řádově minutách se můžeme spokojit s replikací a v případě dostupnosti v hodinách je možno provádět zálohu na disky, a v případě dnů můžeme provádět tradiční zálohu na pásky. Pro stanovení hodnoty dopadu v případě orientační analýzy rizik můžeme volit i zcela pragmatický přístup a hodnotu aktiva stanovit čistě podle požadavků na dostupnost a to takto: sekunda – kritická hodnota aktiva, minuta – vysoká hodnota aktiva, hodina – střední hodnota aktiva, dny – nízká hodnota aktiva.

Poznámka: Replikaci je možno řešit kopírováním dat do vzdálené lokality a na jiná disková úložiště. Jsou systémy, které umí kopírovat jen data, která se změnila, to znamená, že se nepřenáší celý soubor, ale jen změněná část. Některé systémy navíc umí detekovat data, která se již někde na diskovém úložišti vyskytují a na ty se pak pouze odkazují. Tímto způsobem lze výrazně snížit dobu potřebnou k vytvoření identické kopie dat produkčního prostředí a nároky na diskový prostor. V případě obnovy jsou zase tato řešení schopna obnovit data tak, že jednotlivé datové bloky jsou obnovovány postupně.

Related posts:

1. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti
2. Analýza rizik: Identifikace datových aktiv
3. Analýza rizik: kvantitativní analýza rizik