Nabíjecí stanice pro Vás po celé ČR
30 kvě

Elektromobilitou se zabýváme již několik let. Od loňského roku jsme začali využívat jako firemní vozy také elektromobily a hybridy, postavili jsme si vlastní dobíjecí stanice.  V letošním roce jsme rozjeli a úspěšně dokončili již několik projektů dobíjecích stanic pro elektromobily po celé České republice. Rádi se s Vámi o naše zkušenosti podělíme...

 

Řízení rizik společnosti v oblasti bezpečnosti informací
17 kvě

Úvod analýza rizik

Dnešní doba přináší velice zajímavé možnosti podnikání v neuvěřitelně rozmanitém prostředí. Tato rozmanitost přináší obrovské příležitosti pro každý podnikatelský subjekt. Musíme si ovšem uvědomit pravidla. Kde existuje příležitost, tam existuje i riziko a čím větší příležitost existuje, tím vyšší riziko můžeme předpokládat.

Společnosti si tuto skutečnost uvědomují a zaměřují se na analýzu příležitostí pomocí CRM a dalších specializovaných nástrojů. Oblast vyhodnocení příležitosti je tedy zvládnuta.

Pokud se společnost zaměří na rizika, uvědomuje si, že rizika existují. Kromě uvědomění přichází spousta otázek. Jaká rizika můžeme předpokládat? Odkud nám hrozí nebezpečí? Kde máme zranitelná místa? Můžeme se nějak účinně bránit?

Uvědomme si, že se nejedná o obecná rizika. Rizika, která v tuto chvíli společnost zkoumá, míří do oblasti, která rozhodně není statická, jedná se o informace. Informace mají zajímavé vlastnosti, vznikají, upravují se, přesouvají se, zanikají a především, je o ně velký zájem.

Výsledkem těchto otázek bývá v lepším případě několik tabulek, které se v dobré víře snaží popsat tuto problematiku. Jejich aktuálnost postupně mizí s fluktuací lidských zdrojů. Pokus o zvládnutí rizik je podložen tabulkou s příslibem, že odpovědná osoba splní požadavek a implementuje opatření.

V horším případě se odpovědné osoby zaleknou poměrně těžkého úkolu, který jim vedení uložilo a s výmluvami, že to přece nejde, raději ani nezačnou.

Pokusím se tedy poukázat na klíčové milníky, které vedou k získání kontroly nad riziky ve společnosti.

Určení klíčových služeb společnosti

Na začátku analýzy rizik musíme stanovit klíčové služby společnosti, kterými se bude analýza rizik zabývat. Pro vhodný výběr se můžeme zaměřit na oblasti, interní chod společnosti, služby poskytované zákazníkům, služby s vysokou bonitou, služby s vysokou penalizací, služby s citlivými informacemi atd.

Analýza rizik pro takto definované služby používá termín Primární aktivum.

Určení aktiv společnosti

Každá poskytovaná služba vyžaduje prostory, lidské zdroje, zařízení, informace. Použijme tedy společný termín aktivum. Je tedy nutné pro každou službu v analýze rizik určit klíčová aktiva. S počtem služeb se zvyšuje množství aktiv, navíc některé služby používají stejná aktiva. To je okamžik, kdy tabulky přestávají správně fungovat a systém se stává neudržitelným.

Je vhodné definovat si typy aktiv a jednotlivé položky roztřídit dle typu na osoby, hardware, software, síťové prvky, informace atd. .

Nad menší skupinou prvků se získá kontrola daleko snadněji.

Ohodnocení aktiva společnosti

Pro ohodnocení aktiva je vhodné využít tří aspektů bezpečnosti informací

Důvěrnost – úroveň klasifikované informace, se kterou přijde aktivum do kontaktu

Celistvost – hodnota dopadu neautorizované změny informace

Dostupnost – hodnota dopadu nedostupnosti informace

Vhodnou metodikou stanovíme hodnotu aktiva, a tím získáme atribut, podle kterého můžeme určit prioritu jednotlivých aktiv.

Definování hrozeb a zranitelností

Toto místo při tvorbě analýzy rizik poskytne společnosti první odpovědi na výše uvedené otázky.

Pro začátečníky je vhodné vycházet z číselníku standardních hrozeb a zranitelností. Pokročilejší a zkušenější osoby mohou hrozby vytvářet dle zkušeností a znalostí své společnosti.

Stačí si položit základní otázku: „Co vše může ohrozit informaci?“. Berme v potaz tištěnou formu, elektronickou formu na mediu, elektronickou formu v informačních systémech.

Myslím, že většinu z nás napadnou hrozby např. požár, vytopení, krádež, vandalismus, chyba uživatele. Z novodobých hrozeb, kybernetický zločin v mnoha podobách, ransomware, phishing, malware. Existují samozřejmě i speciální hrozby vyplývající ze služeb poskytovaných zákazníkům. Takové hrozby je vhodné konzultovat přímo se zákazníkem a domluvit se na postupu při ohodnocení rizika.

Určení zranitelnosti je pochopení, jakým způsobem na naše aktiva hrozba působí a zraňuje je. Mezi zranitelnosti tedy zařaďme zcizení identity, zavlečení škodlivého kódu, neautorizovaná změna, neautorizovaný přístup atd.

Ohodnocení rizika

Vnímání rizika je velmi subjektivní, proto je vhodné zavést jednotnou metodiku. Pro menší společnosti do 250 zaměstnanců, kde předpokládáme menší množství služeb a aktiv si vystačíme s atributy hodnota aktiva, dopad hrozby a předpokládaný výskyt hrozby. Pronásobením těchto hodnot již získáme dostatečnou škálu hodnot.

U společností s více zaměstnanci nebo robustním informačním prostředím lze volit z nepřeberného množství metodik, které budou splňovat velmi přísné požadavky.

Pro správné pochopení rizika je kromě vypočítané hodnoty velmi důležitý podrobný popis. Ten nám zaručí kontinuitu, ale především správné pochopení, proč vnímáme riziko právě na této úrovni. Při následném kontrole nebo předložení vedení společnosti máme připraveny transparentní podklady i důvodem hodnoty rizika.

A máme hotovo, možná …

Tímto krokem jsme dosáhli cíle. Popsali jsme naši společnost z hlediska analýzy rizik. Máme přehled o klíčových službách, máme klíčová aktiva pod kontrolou, známe hrozby, známe rizika, ale …

V tuto chvíli se společnost dozvěděla fakt, že kromě příležitostí existují skutečná rizika, jsou popsána a mají vypočítanou hodnotu. A co dál ?

Plán zvládání rizik

Nyní se dostáváme do klíčové fáze, kdy společnost začne vhodnou strategií ošetřovat zjištěná rizika.

Na začátku přípravy plánu je vhodné stanovit minimální hodnotu rizika, od které se bude riziko ošetřovat.

Definovaná rizika jsou ošetřována činnostmi, které v analýze rizik nazýváme opatření. Existuje nepřeberné množství nabízených opatření. Pro přehlednost je vhodné vycházet z doporučené sady opatření vyplývajících z normy ISO 27002 nebo v oblasti internetové bezpečnosti využít doporučení CIS. Tím lze dosáhnout souladu s normou ISO 27001.

Zajištění efektivity při implementaci opatření

U vybraného opatření by mělo před samotnou implementací dojít k vyhodnocení dopadu opatření na stávající hodnotu rizika. Odpovědné osoby tedy stanoví hodnotu předpokládaného zbytkového rizika. Tím předejdeme neefektivním implementacím opatření bez efektu na samotné riziko.

Pro efektivní implementaci opatření by měly odpovědné osoby zajisti dostatek informací pro rozhodnutí vedením společnosti. Důležité informace jsou předpokládaná cena opatření, kapacita lidských zdrojů, předpokládaná doba implementace. Tím předejdeme situaci, kdy samotná cena implementace neúměrně přesahuje cenu přijatého rizika.

Nedílnou součástí je ověření funkčnosti nasazeného opatření a kontrola skutečného dopadu na aktivum.

Udržení funkčnosti analýzy rizik

Společnost předcházejícími kroky dosáhla skutečné analýzy rizik. Pro udržení nástroje ve funkčním stavu je vhodné provádět některé periodické činnosti. Kontrola aktuálnosti služeb a aktiv. Aktualizace hrozeb a zranitelností. Přezkoumání rizik a přehodnocení rizik. Aktualizace a kontrola plánu implementace opatření.

Tím jsme dosáhli pomyslného cíle. Analýza rizik je ovšem živý organismus, neustále se vyvíjející. Spadá do oblasti nástrojů neustálého zlepšování a je aplikovatelná metodou PDCA

Analýza rizik a naše společnost

Naše společnost procházela podobnými situacemi uvedenými na začátku tohoto článku. Počátky byly těžké, usilovali jsme o certifikaci ISO 27001, analýza rizik neaktualizovaná, nepřehledná, samé tabulky a chaos.

Změna nastala při pochopení problematiky a investici do vývoje Aplikace Analýza Rizik. Díky zvýšené přehlednosti aktiv, vytvoření číselníku hrozeb, podrobných popisů rizik začalo vše dávat větší smysl. Výsledky analýzy rizik je možné transparentně předkládat vedení společnosti.

Zavedení standardizovaných opatření ISO 27002 a opatření CIS stanovily jasný standard pro implementaci vhodných opatření.

Nyní jsme zavedli do Aplikace Analýzy rizik modul Auditu ISMS, díky tomu máme problematiku bezpečnosti informací na jednom místě.

Můžeme se tedy více soustředit na aktuální situaci, tady a teď, pro bezpečnost velmi důležité.

Závěrem

Všem čtenářům, kteří se propracovali článkem až k tomuto místu, děkuji za prokazatelnou vytrvalost a odhodlanost. Bezpečnost informací a samotná analýza rizik je velmi zajímavou oblastí pro osoby a nadšence pracující v oboru IT.  Přidává do jednotlivých odvětví spojující prvek, tím je smysl pro bezpečnost.



Václav Voříšek
Bezpečnostní ředitel COM PLUS CZ a.s.

O ochraně dat
23 dub

Data mají v dnešní době ohromnou hodnotu, a to nejen informační, ale také z hlediska bezpečnosti. Únik osobních údajů nebo citlivých dat o zákaznících může mít pro organizaci velice tvrdé právní důsledky, nemluvě o pošramocení pověsti u veřejnosti a obchodních partnerů.

 

Dříve probíhaly ve velké míře vzdálené, nebo chcete-li „hackerské“, útoky především díky bezpečnostním dírám v softwaru (např. v operačním systému, kancelářských programech atd.). To se ale mění a pokud udržujete své SW vybavení počítače aktualizované, disponujete zapnutým firewallem (např. v rámci operačního systému), je riziko těchto útoků sraženo na minimum. Útočníci proto přicházejí s novými postupy, které jsou na první pohled hůře rozpoznatelné a těžko se před nimi brání.

 

V 90 % případů přicházejí útoky zevnitř sítě, a to klidně tak, že je nemusíte vůbec zaznamenat. V dnešní době wifi sítí je například jedním z častých scénářů připojení útočníka do sítě klasicky s pomocí hesla. Není potom podstatné, zda mu ho nevědomky prozradil některý ze zaměstnanců, z bývalých zaměstnanců anebo zda útočník heslo zjistil pomocí sofistikovaných metod. Navíc wifi signál nemá přesné hranice, a tak útočník může v klidu „pracovat“ z pronajaté sousední kanceláře, z kavárny v přízemí nebo například ze zaparkovaného vozu před budovou.

 

Zabránit těmto útokům je daleko složitější a klíčem k úspěchu nemusí být ani častá změna hesla a dalších parametrů bezpečnosti sítě. Řešení Netsejf umožňuje odhalit a také přímo zablokovat všechna neautorizovaná zařízení v síti a útočníka odpojit i přesto, že zná heslo k wifi síti a nachází se v jejím dosahu.

 Vice na https://netsejf.cz/

 

COM PLUS podporuje nadějné mladé sportovkyně
24 zář

Společnost COM PLUS, respektive zaměstnanci a vedení, mají velmi blízko ke sportům a nejvíce k běhu.
Není proto překvapením, že se COM PLUS rozhodl podpořit mladé a nadějné sportovkyně - běžkyně Radku Hanzlovou a Zuzku Rusínovou.

Holkám přeje spoustu skvělých běžeckých výkonů a doufáme, že se jim s COM PLUSem poběží skvěle.

#RunForComPlus
#iITterebezi

Rozpohybovat robota se podařilo i díky technikům ze společnosti COM PLUS
12 čec

 

Super rychlý internet 5G je zase o krok blíž používání v každodenním životě

Nejnovější

Kalendář

« Červen 2019 »
Po Út St Čt So Ne
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Naše reference

Níže uvádíme vybrané reference