Ako mať informácie v bezpečí?
PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, JÚN 2013
V informačnej bezpečnosti sa pracuje s tromi dôležitými vlastnosťami elektronických informácií, IT systémov alebo čohokoľvek, čo má pre vás cenu. Skúsme sa pozrieť na tieto vlastnosti trochu bližšie.
Prvá vlastnosť, dôvernosť je spájaná najmä s informáciami. Citlivé informácie obvykle uchovávame tak, aby neboli dostupné komukoľvek, ale iba pre tých, pre ktorých sú určené. Vo väčších organizáciách však dôvernosť informácií môže byť vnímaná rôzne rôznymi organizačnými súčasťami. Niekedy nemusí byť jasné, kto sa môže, kto sa už nepotrebuje alebo nemôže oboznamovať s citlivými údajmi. Základným kameňom dosiahnutia dôvernosti informácií je ich klasifikácia. Vykonanie klasifikácie pomáha pochopiť každému zamestnancovi úroveň dôvernosti informácií a spôsob narábania s nimi.
Druhým atribútom je integrita. Náhodná alebo účelová zmena finančných informácií nie je príjemná. Takisto zaslanie podvrhnutého e-mailu vo vašom mene alebo modifikácia originálu je útokom na integritu. Tretia vlastnosť, ktorú sa snažia dosiahnuť bezpečnostní špecialisti je dostupnosť. Dostupnosť informácií a služieb informačných systémov v požadovanom čase a kvalite v prípade výpadkov IT systémov sa rieši v havarijnom plánovaní, ktoré je tiež súčasťou riadenia kontinuity podnikateľských činností.
Na dosiahnutie spomenutých atribútov bezpečnosti sa používajú organizačné a technické opatrenia. Zastrešenie procesu výberu a nasadenia opatrení je súčasťou riadenia informačnej bezpečnosti. Ak je riešené systematicky a profesionálne, potom optimalizuje náklady do informačnej bezpečnosti. Ak nie ste istí, či riadite informačnú bezpečnosť dobre, môžete preveriť jej stav nezávislým pohľadom. Ak viete, že by audit nedopadol dobre, môžete zvážiť riadenie informačnej bezpečnosti aj špecialistom mimo vašej firmy.
Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.