Naše společnost, firmy a jakákoliv organizace potřebuje informace pro své fungování. Bez informací nemůže management rozhodnout, výroba nemůže rozjet výrobní linky, nemocnice nemohou diagnostikovat nebo zajistit správnou medikaci, energetické společnosti nemohou předejít blackoutu apod. Řízení informací v rámci organizace je naprosto klíčovou záležitostí. Jejich zveřejnění, ztráta, poškození, odcizení může znamenat konec organizace nebo obrovské ztráty.
Kybernetická bezpečnost je systém bezpečnostních opatření, která chrání před zneužitím informací a infrastruktury, která umožňuje jejich sdílení. Cílem je chránit všechna zařízení v organizaci, které jsou připojena do sítě a díky tomu je potřeba u nich kybernetickou bezpečnost řešit. Není důležité, jen to, jestli dané zařízení obsahuje citlivá data. Na všechna zařízení je potřeba se v případě kybernetické bezpečnosti dívat v kontextu všech ostatních zařízení a celé organizace. Příkladem může být například stroj ve výrobě, který je připojen k interní síti. Tento stroj sice neobsahuje žádná citlivá data, ale pokud by byl poškozen kybernetickým útokem může dojít k velkým ztrátám ve výrobě (odstávka výroby, výroba zmetků a pod.)
PodrobnostiZavřít
Kybernetická bezpečnost vznikla především s rozvojem informačních technologií, internetu a propojování informačních systémů. Vznikl tak zcela nový pojem kyberprostor, jehož součástí jsou nyní všichni. Kybernetická bezpečnost není jen otázkou pro specialisty z oblasti informačních technologií (IT), ale každého uživatele. Všichni používáme internet, přihlašujeme se na bankovní účty, do sociálních sítí, kde máme řadu osobních citlivých informací. Všichni jsme tedy pocítili vliv bezpečnosti na nutnosti např. Silnější hesla do systému a jejich neustála aktualizace, dvou-faktorové ověření identity, šifrování disků apod.
Kyberprostor je virtuální prostředí vzájemně propojených informačních systémů a elektronických zařízení, která jsou schopna si předávat data. Jedná se např. o počítače, notebooky, telefony, tablety, chytré hodinky, televize, ledničky, auta, zařízení virtuální reality a dalších zařízení. Zařízení, která jsou schopna sbírat data/informace, přenášet ke zpracování a sdílet s dalšími zařízeními nebo datovými úložišti. Kyberprostor vznikl pro sdílení informací, nápadů. Smyslem byla dostupnost, otevřenost, ale bohužel také minimální odpovědnost. Tím se vytvořila možnost dostat se k jakýmkoliv datům, nejsou-li dostatečně zabezpečena.
Kybernetický útok je úmyslné jednání útočníka, skupin na systém firmy s cílem získat informace, nebo poškodit danou firmu z hlediska konkurenčního boje nebo dosáhnout jiného cíle. Někdy jsou kybernetické útoky motivované zvědavostí mladých hackerů zjistit, zda jsou schopni se dostat do zabezpečených systémů. Předmětem kybernetického útoku mohou být tyto důvody:
Kritická infrastruktura je infrastruktura, která významně ovlivňuje chod státu, společnosti, ekonomiky. Její kolaps by způsobil celospolečenské ztráty, ochromení ekonomiky, prostě významné krizové situace s velkými následky. Česká Republika má kritickou infrastrukturu definovanou:
Kritickou infrastrukturu můžete najít především v těchto oblastech:
Jedná se o analýzu, která má za cíl odhalit potenciální rizika organizace, firmy, která by mohla vést k poškození, zcizení, zničení informací a potenciálních dopadů na aktiva firmy. Analýza rizik by měla probíhat před každou zásadní změnou, aby si management firmy uvědomil, co vše může změna způsobit firmě. Nedochází-li k zásadním změnám, je vhodné v pravidelných intervalech aktualizovat analýzu rizik a zjistit, zda nedošlo k navýšení nebo snížení míry rizika. Analýza rizik by měla obsahovat:
Existuje mnoho metod pro realizaci a hodnocení analýzy rizik. V každém případě se zaměřte na kvantitativní analýzu a naučte se vyčíslit “velikost” rizika. Základní šablonu analýzy rizik můžete získat ZDE (není orientovaná na bezpečnost informací).
Prohlášení o použitelnosti tzv. SoA je přehled cílů opatření a jednotlivých opatření v rámci ISMS. Je to povinný dokument z normy ISO 27001 (příloha A). Bez jeho vyplnění nemůže být žádná organizace certifikována na ISO 27001. Dokument definuje přehled hlavních politik bezpečnosti informací. Mezi ně patří například politiky vedení firmy, mobilní zařízení, práce na dálku, bezpečnost lidských zdrojů – pracovní vztahy (změna, ukončení), řízení aktiv, klasifikace informací, manipulace s médii, řízení přístupů, odpovědnost uživatelů, kryptografická opatření, fyzická bezpečnost prostředí, zařízení, bezpečnost provozu, ochrana proti malware, zálohování, monitorování logů, správa software, správa sítě, přenos informací, akvizice, vývoj a údržba systémů, proces vývoje a podpory, dodavatelské vztahy, řízení incidentů, kontinuita bezpečnosti informací, soulad s právními a legislativními požadavky.
Vlastně v jednom dokumentu popisujete opatření, která jste vybrali k řešení bezpečnostních rizik. Vysvětlujete, proč jste opatření vybrali a nebo proč některá opatření nemáte ve firmě aplikována.
Podívejte se na poradce Vlastní cesty, kteří se věnují Kybernetické bezpečnosti.
Chcete rozvíjet své dovednosti? Inspirujte se přehledem kurzů z oboru Kybernetické bezpečnosi.
Podívejte se na reference z oboru.
Hledáte inspiraci z oboru? Projděte si články Vlastní cesty.
Vlastní cesta s.r.o.
Jiří Střelec
Tichého 11 , 616 00 Brno
+420 737 279 917
info@vlastnicesta.cz
IČ: 29212154
DIČ: CZ29212154