Informačná bezpečnosť

Prístup k informačnej bezpečnosti v malých a stredných podnikoch

In­for­mač­ná bez­peč­nosť je prob­lém všet­kých fi­riem bez oh­ľa­du na ich veľ­kosť. No čím je fir­ma väč­šia, tým roz­sia­hlej­šie mož­nos­ti má v zís­ka­ní od­bor­ní­kov. To­to pla­tí aj v ob­las­ti in­for­mač­ných tech­no­ló­gií (IT).

Veľ­ká fir­ma má vlas­tné IT od­de­le­nie, kto­ré­mu po­má­ha­jú exter­né do­dá­va­teľ­ské fir­my pod­ľa ak­tuál­nych po­trieb. To­to pod­ni­ku za­bez­pe­čí dos­ta­toč­né spek­trum od­bor­ní­kov na roz­lič­né ob­las­ti IT a aj na ob­lasť in­for­mač­nej bez­peč­nos­ti. Ma­lé, ale aj niek­to­ré stred­ne veľ­ké fir­my ta­ké­to roz­siah­le zdro­je ne­ma­jú. V ich prí­pa­de v ob­las­ti sta­ros­tli­vos­ti o IT ide skôr o oso­bu, kto­rá ok­rem iných po­vin­nos­tí má na sta­ros­ti aj IT, v lep­šom prí­pa­de si pod­nik naj­me IT out­sour­cin­go­vú fir­mu. Žiaľ, v tých­to prí­pa­doch sa mô­že stať, že nie je od­bor­ne pok­ry­tá ob­lasť in­for­mač­nej bez­peč­nos­ti.

Čo je in­for­mač­ná bez­peč­nosť?

Ak bu­de­me ho­vo­riť o in­for­mač­nej bez­peč­nos­ti, ma­li by sme si tú­to ob­lasť naj­prv vy­me­dziť. Vo všeo­bec­nos­ti mô­že­me chá­pať bez­peč­nosť ako ochra­nu pred ri­zi­kom stra­ty, zni­če­nia ale­bo ne­že­la­nej mo­di­fi­ká­cie ur­či­tej ve­ci. Kon­krét­ne po­jem in­for­mač­ná bez­peč­nosť zna­me­ná ochra­nu in­for­má­cií a ich cha­rak­te­ris­tík, ako sú dô­ver­nosť, dos­tup­nosť a in­teg­ri­ta. Chá­pe­me ňou aj sys­té­my a har­dvér, kto­rý spra­cú­va, ucho­vá­va a pre­ná­ša tie­to in­for­má­cie. Vy­ko­ná­va sa po­mo­cou bez­peč­nos­tných po­li­tík, tré­nin­gov a tech­no­ló­gií.

Ap­li­ká­ciu in­for­mač­nej bez­peč­nos­ti mô­že­me reali­zo­vať v tých­to ob­las­tiach:

  • Fy­zic­ká bez­peč­nosť - mys­lí sa ňou ochra­na ľu­dí, ma­jet­ku a pra­cov­né­ho mies­ta pred roz­lič­ný­mi hroz­ba­mi.
  • Ope­ra­tív­na bez­peč­nosť - ochra­ňu­je schop­nosť or­ga­ni­zá­cie vy­ko­ná­vať bež­né ak­ti­vi­ty bez ich na­ru­še­nia ale­bo oh­ro­ze­nia.
  • Ko­mu­ni­kač­ná bez­peč­nosť - za­obe­rá sa pod­ni­ko­vý­mi ko­mu­ni­kač­ný­mi tech­no­ló­gia­mi a mé­dia­mi. Pat­rí sem aj schop­nosť vy­uží­va­nia tých­to nás­tro­jov na do­sa­ho­va­nie pod­ni­ko­vých cie­ľov.
  • Sie­ťo­vá bez­peč­nosť - ob­sa­hu­je ochra­nu pod­ni­ko­vých dát a sie­ťo­vých za­ria­de­ní, ako aj ochra­nu schop­nos­ti vy­uží­va­nia tej­to sie­te na dá­to­vú ko­mu­ni­ká­ciu pod­ni­ku.

Oh­ro­ze­nie bez­peč­nos­ti IT mô­že nas­tať z exter­né­ho pros­tre­dia, te­da z pros­tre­dia mi­mo or­ga­ni­zá­cie, kde hroz­bou mô­že byť nap­rík­lad škod­li­vý sof­tvér, po­kú­ša­jú­ci sa zís­kať pod­ni­ko­vé dá­ta ale­bo zne­fun­kčniť fi­rem­nú sieť. V tom­to prí­pa­de je rie­še­ním ochra­na sie­te po­mo­cou fi­rewal­lu a pou­ží­va­nie anti­ví­ru­so­vé­ho prog­ra­mu. Iný prík­lad exter­nej hroz­by mô­že byť zlo­dej, kto­rý uk­rad­ne pod­ni­ko­vý server aj so všet­ký­mi dá­ta­mi. Tu mô­že byť rie­še­ním za­kú­pe­nie kva­lit­né­ho pop­laš­né­ho za­ria­de­nia, uzam­knu­tie server­a do za­bez­pe­če­né­ho pries­to­ru ale­bo aj exter­né zá­lo­ho­va­nie fi­rem­ných dát.

Dru­hý zdroj oh­ro­ze­nia bez­peč­nos­ti IT sú inter­né hroz­by. Tu ide hlav­ne o oso­by, kto­ré ma­jú ur­či­tý roz­sah prís­tu­pu k zdro­jom pod­ni­ku, pri­čom tie­to zdro­je zneu­ži­jú vo svoj pros­pech. Prík­la­dom mô­že byť vy­pnu­tie sie­ťo­vé­ho pr­vku za­mes­tnan­com, čo spô­so­bí vý­pa­dok po­čí­ta­čo­vej sie­te fir­my, kto­rá nás­led­ne nie je schop­ná vy­ko­ná­vať svo­je ope­ra­tív­ne úlo­hy, vzni­ka­jú pres­to­je, zá­kaz­ní­ci ča­ka­jú atď. Ochra­nou mô­že byť zne­mož­ne­nie prís­tu­pu ne­po­vo­la­ným za­mes­tnan­com ku kľú­čo­vým pr­vkom po­čí­ta­čo­vej sie­te. Iný prík­lad mô­že byť, ak z fir­my pre­pus­tia za­mes­tnan­ca, pri­čom IT správ­ca o tom­to kro­ku nie je in­for­mo­va­ný. To spô­so­bí, že prís­tup do fi­rem­nej po­čí­ta­čo­vej sie­te pre te­raz už bý­va­lé­ho za­mes­tnan­ca nie je za­blo­ko­va­ný. Ke­by chcel ten­to za­mes­tna­nec fir­me ub­lí­žiť, mô­že si sko­pí­ro­vať a nás­led­ne vy­ma­zať všet­ky dá­ta, ku kto­rým mal prís­tup. Rie­še­ním sú správ­ne nas­ta­ve­né inter­né pred­pi­sy a bez­peč­nos­tné pro­ce­dú­ry, prí­pad­ne zá­lo­ho­va­nie dát.

Mož­né rie­še­nia

Tak ako pri všet­kom aj v tej­to ob­las­ti sa ako pr­vé od­po­rú­ča zreali­zo­vať ana­lý­zu exis­tu­jú­ce­ho sta­vu in­for­mač­nej bez­peč­nos­ti, kto­rej vý­sled­kom by mal byť opis sú­čas­né­ho sta­vu, iden­ti­fi­ká­cia bez­peč­nos­tných ri­zík a návrh opat­re­ní na pok­ry­tie tých­to hro­zieb. Pri hľa­da­ní op­ti­mál­ne­ho rie­še­nia je asi naj­dô­le­ži­tej­šie ur­čiť si po­mer me­dzi nák­lad­mi a roz­sa­hom pok­ry­tia iden­ti­fi­ko­va­ných ri­zík. Je sa­moz­rej­mé, že v sku­toč­nos­ti sa ne­da­jú pok­ryť všet­ky exis­tu­jú­ce ri­zi­ká.

Ďal­ší krok v ochra­ne pred bez­peč­nos­tný­mi hroz­ba­mi je reali­zá­cia opat­re­ní na ich eli­mi­ná­ciu. Na ilus­trá­ciu sme vy­bra­li zo­pár prík­la­dov kon­krét­nych opat­re­ní. IT infra­štruk­tú­ru tre­ba za­bez­pe­čiť pred neop­ráv­ne­ným fy­zic­kým zá­sa­hom, pre­to je vhod­né, aby ku kľú­čo­vým pr­vkom ma­li prís­tup len zod­po­ved­ní pra­cov­ní­ci. Bez­peč­nosť sie­te je dob­ré za­bez­pe­čiť vhod­ný­mi har­dvé­ro­vo-sof­tvé­ro­vý­mi nás­troj­mi, ako je nap­rík­lad fi­rewall ale­bo aj anti­ví­ru­so­vý prog­ram. Inter­ne­to­vá dos­tup­nosť sa dá rie­šiť dvo­ma ne­zá­vis­lý­mi inter­ne­to­vý­mi pri­po­je­nia­mi.

Bez­peč­nosť dát mož­no za­bez­pe­čiť ich zá­lo­ho­va­ním, v prí­pa­de pot­re­by je dob­ré zvá­žiť aj zá­lo­ho­va­nie dát mi­mo pries­to­rov fir­my. Ta­kis­to mož­no dá­ta chrá­niť aj pred vlas­tný­mi za­mes­tnan­ca­mi. Tu sa od­po­rú­ča mať vhod­ne nas­ta­ve­né op­ráv­ne­nia na prís­tup pou­ží­va­te­ľov k zdro­jom a dá­tam pod­ni­ku tak, aby kaž­dý mal prís­tup len k to­mu, čo nao­zaj pot­re­bu­je na vý­kon svo­jej prá­ce, prí­pad­ne sa dá pou­žiť špe­cia­li­zo­va­ný sof­tvér na ochra­nu pred úni­kom cit­li­vých dát zvnút­ra fir­my. Dnes však už nes­ta­čí za­me­rať sa len na IT infra­štruk­tú­ru umies­tne­nú v pries­to­roch fir­my, chrá­niť tre­ba aj mo­bil­né za­ria­de­nia. Na to sú ur­če­né sys­té­my z ob­las­ti mo­bi­le de­vi­ce ma­na­ge­men­tu.

Tá­to prob­le­ma­ti­ka je po­mer­ne ši­ro­ká, na správ­ne za­is­te­nie in­for­mač­nej bez­peč­nos­ti tre­ba mať k dis­po­zí­cii špe­cia­li­zo­va­né­ho od­bor­ní­ka, kto­ré­ho si väč­ši­nou ma­lé a aj niek­to­ré stred­né fir­my ne­mô­žu vždy do­vo­liť. Na zís­ka­nie as­poň zá­klad­né­ho preh­ľa­du o mož­ných opat­re­niach v ob­las­ti in­for­mač­nej bez­peč­nos­ti sa dá od­po­ru­čiť príl­oha č. 1 vy­hláš­ky Úra­du na ochra­nu osob­ných úda­jov Slo­ven­skej re­pub­li­ky z 13. jú­na 2013 o roz­sa­hu a do­ku­men­tá­cii bez­peč­nos­tných opat­re­ní, kto­rá je dos­tup­ná na stiah­nu­tie na webo­vej strán­ke toh­to úra­du. Tá­to príl­oha ob­sa­hu­je sú­bor kon­krét­nych bez­peč­nos­tných opat­re­ní.

ZDRO­JE: Whit­man, M. a Mat­tord, H.: Ma­na­ge­ment of In­for­ma­tion Se­cu­ri­ty.

Ma­tej Čer­ný, Bu­si­ness Ma­na­ger, Al­faP­ro spol. s r. o.,
e-mail: cer­ny@al­fap­ro.sk

Zdroj: IW 5-6/2014


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Cloud a je­ho do­sah na vý­voj IT tr­hu. CFO a CIO to vi­dia inak.
Ako môže ovplyvniť nástup cloudových technológií rozhodovacie a prevádzkové procesy v bežnej ekonomicky aktívnej spoločnosti? čítať »
 
Vy­uži­tie sen­zo­rov
Moderné tablety a konvertibilné zariadenia pod taktovkou operačného systému Windows 8.1 sú vybavené niekoľkými užitočnými senzormi, ktoré môžete využiť vo svojich aplikáciách. Spravidla ide o kompas, akcelerometer, gyroskop, náklonomer a snímač intenzity osvetlenia.  čítať »
 
No­vý Thin­kPad X1 Car­bon
ThinkPad X1 Carbon tretej generácie je naozaj veľmi ľahký vďaka tomu, že je vyrobený z karbónového vlákna, ktoré má menšiu hmotnosť ako horčíkové alebo hliníkové. Vďaka konštrukcii z uhlíkových vlákien je model X1 Carbon vôbec najodolnejší notebook z radu ThinkPad. čítať »
 
Da­ta Dis­co­ve­ry - ob­ja­vo­va­nie vzo­rov v dá­tach
Dnes hýbu svetom biznisu nielen peniaze, ale hlavne informácie. V tejto informačnej dobe sa na dáta, ako aj na nástroje na ich spracovanie kladú vysoké nároky. čítať »
 
No­vý pro­ce­sor IBM Power8: 50× rých­lej­ší pri ana­lý­ze dát ako x86
Spoločnosť IBM predstavila prvé servery vybavené novou generáciou procesora Power8. Zároveň pripomenula svoju nadáciu, ktorá otvára architektúru POWER záujemcom o jej ďalší vývoj. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter