Analýza rizik: Identifikace datových aktiv

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:

  • HDD, SSD počítačů a serverů;
  • přenosných médiích jako jsou pásky, CD, DVD, flash disky;
  • v interní paměti přenosných zařízení.

K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:

  • Aplikace
  • Dokumenty
  • Spreadsheety
  • Prezentace
  • Obrázky
  • Audio
  • Video
  • Text
  • Maily
  • Výstupy z nejrůznějších aplikací

Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.

  • HR
    • Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
    • Seznam a popis pracovních pozic
    • Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
  • Marketing
    • Informace o klientech
    • Informace o dodavatelích
    • Detaily o proběhlých, stávajících nebo budoucích obchodech
    • Informace o nových produktech a službách
    • Informace o připravovaných marketingových kampaních
    • Výsledky průzkumu trhu, nejrůznější analýzy
  • Management
    • Strategické plány
    • Taktické plány
    • Operativní plány
    • Pracovní postupy
    • Projektová dokumentace
    • Bezpečnostní politika, standardy a směrnice
  • Finanční řízení
    • Účetní doklady
    • výkazy
  • IT
    • Síťová infrastruktura (nastavení, dokumentace, hesla)
    • Systémy (nastavení, dokumentace, hesla)
    • Aplikace (nastavení, dokumentace, hesla)
    • Databáze (nastavení dokumentace, hesla)
    • Zdrojové kódy
  • Facility
    • Plány budov
    • Umístění kamer, čidel, spínačů
    • Počet členů ostrahy a jejich úkolů

Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.

[ssba]

Štítky: , ,


K článku “Analýza rizik: Identifikace datových aktiv” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: