Analýza rizik: Identifikace datových aktiv
Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:
- HDD, SSD počítačů a serverů;
- přenosných médiích jako jsou pásky, CD, DVD, flash disky;
- v interní paměti přenosných zařízení.
K těmto datům potom přistupujete jako k souborům v nějaké adresářové struktuře nebo jako k záznamům v databázi. Pokud jde o soubory, tak ty mohou být textové nebo binární, ale můžeme je rozdělit i podle typu. Mohli bychom třeba vyjít z MIME type, ale myslím, že pro naše účely bude mnohem srozumitelnější toto rozdělení:
- Aplikace
- Dokumenty
- Spreadsheety
- Prezentace
- Obrázky
- Audio
- Video
- Text
- Maily
- Výstupy z nejrůznějších aplikací
Bez ohledu na to, o jaký typ souboru se jedná a jakou aplikací je zpracováván, můžeme prohlásit, že naprostá většina organizací obvykle pracuje s informacemi, které se týkají níže uvedených oblastí.
- HR
- Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
- Seznam a popis pracovních pozic
- Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
- Marketing
- Informace o klientech
- Informace o dodavatelích
- Detaily o proběhlých, stávajících nebo budoucích obchodech
- Informace o nových produktech a službách
- Informace o připravovaných marketingových kampaních
- Výsledky průzkumu trhu, nejrůznější analýzy
- Management
- Strategické plány
- Taktické plány
- Operativní plány
- Pracovní postupy
- Projektová dokumentace
- Bezpečnostní politika, standardy a směrnice
- Finanční řízení
- Účetní doklady
- výkazy
- IT
- Síťová infrastruktura (nastavení, dokumentace, hesla)
- Systémy (nastavení, dokumentace, hesla)
- Aplikace (nastavení, dokumentace, hesla)
- Databáze (nastavení dokumentace, hesla)
- Zdrojové kódy
- Facility
- Plány budov
- Umístění kamer, čidel, spínačů
- Počet členů ostrahy a jejich úkolů
Výše uvedený výčet samozřejmě není kompletní, ale myslím, že i tak je z něj zřejmé, jaké informace mohou být pro útočníka, kterým dost často bývá i konkurence, zajímavé. Bohužel stále se najde dost firem, které si hodnotu svých dat neuvědomují, a nezavedly proto odpovídající bezpečnostní opatření. Odpověď na otázku, kolik byste měli do ochrany vašich informací investovat prostředků, by vám měla poskytnout analýza rizik.
ČERMÁK, Miroslav. Analýza rizik: Identifikace datových aktiv. Online. Clever and Smart. 2011. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/analyza-rizik-identifikace-datovych-aktiv/. [cit. 2025-03-19].
Štítky: aktiva, analýza rizik, řízení informačních rizik
K článku “Analýza rizik: Identifikace datových aktiv” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
