Publikováno: 28.4.2018
Definice IT aktiv je základním kamenem kybernetické bezpečnosti. Aktivum má pro klienta vždy nějakou hodnotu a je potřeba znát alespoň řád tohoto aktiva nebo tuto hodnotu kategorizovat. Toto aktivum pak potřebujete chránit proti hrozbám, a právě hodnota aktiva by měla být určující pro úroveň zabezpečení. Kolik je ale aktiv v největší české nemocnici?
2017
Na první schůzce jsme představili způsob, jakým bychom chtěli doplňovat jednotlivá aktiva. Dle dohody nám klient zaslal seznamy aplikačních aktiv a bezpečnostní politiku včetně příloh, směrnice v rámci IT a základní dokumentaci aplikací. To dalo základ seznamu aktiv. Dále jsme s klientem procházeli další zdroje jako byl helpdesk klienta, dohledový systém, zálohování, virtuální stroje. Infrastrukturální prvky jsme agregovali do stejného typu tak, aby aktiv byl rozumný počet. I tak v této fázi vzniklo skoro 80 aktiv, a to v seznamu nebyly obsaženy datová aktiva.
V další fázi jsme s garanty kategorizovali aktiva a u aplikací jsme identifikovali v nich obsažená data. Po této části jsme měli dohromady více jak 130 aktiv.
Začalo hodnocení aktiv na důvěrnost, dostupnost a integritu. Škála pro hodnocení byla použita se 4 hodnotami (nízká, střední, vysoká, kritická).
V rámci rizikové analýzy jsme připravili seznam rizik. Následně jsme hodnotili na workshopu zranitelnosti jednotlivých aktiv vůči dané hrozbě. Samozřejmě jsme pro toto hodnocení potřebovali znát řadu aspektů z hlediska bezpečnosti, jako jsou např. kde je systém provozován, architektura systému, komunikační protokoly, fyzické zabezpečení, antivirová kontrola a další. Hodnocení probíhalo společně na workshopu s klientem.
Realizace celé akce probíhala asi 3 měsíce a z toho více jak polovinu zabrala identifikace aktiv.
„Velmi mě potěšil přístup konzultantů z Blue Partners, kteří jasně načrtli průběh celé akce. Hodnocení rizik jsme prováděli nejdříve odděleně abychom se neovlivňovali. Následně jsme hodnotili nahlas a pokud jsme se rozcházeli, diskutovali jsme o důvodech. Bylo zajímavé, jak se na některé věci dá nahlížet. Všechny účastníky hodnotícího workshopu to obohatilo o jiné úhly pohledu na věc. To považuji za nejvíce přínosné.“
Ing. Martin Voříšek, MBA, vedoucí IT ve Fakultní nemocnici v Motole
Identifikujeme aktiva ve vaší organizaci, provedeme s vámi ohodnocení rizik a navrhneme vhodná opatření v závislosti na důležitosti aktiv pro vaši organizaci. Hledáme efektivní jednoduchá řešení
Číst více