Rozlišujte primární a sekundární aktiva
Pro účely NIS2 (Zákona o kybernetické bezpečnosti) a ISO 27001 je aktivum definováno jako cokoli, co má pro organizaci hodnotu. Zahrnuje to data, informace, software, hardware, personál, budovy i služby. V podstatě jde o cokoli, co lze napadnout, zničit nebo přerušit, což by vedlo ke ztrátě dat nebo ochromení fungování firmy. Pro efektivní analýzu rizik je však kritické striktně rozlišovat primární a podpůrná aktiva. Kompletní registr aktiv se tedy skládá z více evidencí.
- Primární aktiva vyjadřují, CO firmu živí a co chráníme (hodnota a dopad).
- Podpůrná aktiva vyjadřují, PŘES CO to běží (technologie a zranitelnosti).
Primární aktiva
Jsou to klíčové firemní procesy informace a data. Nemají technickou povahu, ale byznysovou hodnotu.
- Informace a data: Osobní údaje (GDPR), know-how, účetní data, klientská databáze, zdrojové kódy.
- Procesy a služby: Výroba, distribuce zboží, poskytování klientského servisu, online prodej.
Podpůrná aktiva
Veškerá infrastruktura, lidé a technické prostředky, na kterých závisí fungování primárních aktiv. Zde vznikají technické hrozby.
- Hardware: Servery, síťové prvky, počítače, firemní notebooky, telefony.
- Software a systémy: Operační systémy, podnikové aplikace (ERP, CRM), databázové platformy.
- Sítě: Internetové připojení, vnitřní LAN, VPN, cloudová infrastruktura.
- Lidé: Zaměstnanci, externí IT správci, klíčoví dodavatelé.
- Místa a objekty: Serverovny, budovy centrály, pobočky, domovské kanceláře (home office).
1. Identifikujte primární aktiva
Primární aktiva stojí na vrcholu pomyslné pyramidy. Jsou to tedy data, informace, služby nebo procesy, které když nemáte nebo nefungují, tak vaše organizace také nemůže fungovat, nemůže plnit své poslání. Jsou to tedy zásadní pro fungování vaší organizace:
Primární aktiva jsou pro vás kritická
- Pomozte si větou "když o ně přijdeme nebo je někdo zneužije, máme velký problém"
- Soustřeďte na aktiva bez kterých prostě „nebudete fungovat“
- Soustřeďte se na to, co způsobí přerušení nebo výpadky provozu, výroby nebo poskytováním služeb zákazníkům, nebo způsobí velké finanční ztráty nebo pokuty
Jak primární aktiva identifikovat?
Pomozte si nehodami, incidenty a problémy, které se u vás staly nebo se dokonce dějí opakovaně. Jsou to nejrůznější nehody a jiné incidenty. Je u nich vyšší pravděpodobnost, že se stanou znovu. U nich také snadněji provedete hodnocení. Položte si otázky tohoto typu:
- Jaké systémy, služby, procesy nebo stroje se nesmí zastavit?
- Jaké technologie nesmí vypadnout?
- Který majetek je pro nás nenahraditelný?
- Jaká data jsou pro nás nenahraditelná?
Jak zadat primární aktiva?
- Otevřete evidenci Primárná aktiva a postupně do ní zadejte vaše kritická aktiva
- D pole „Popis aktiva“ zadejte podle potřeby podrobnější popis nebo komentář
2. Identifikujte podpůrná aktiva
Podpůrná aktiva zajišťují funkčnost respektive dostupnost primárních aktiv. Každé primární aktivum je závislé na jednom nebo více podpůrných aktivech, a tedy k provedení analýzy potřebujete tyto závislosti sledovat. Podpůrná aktiva jsou typicky tato:
- Další data a informace
- IT služby
- Služby infrastruktury (např. dodávka elektřiny)
- Hardware - Výpočetní technika, sítě, a další IT technika
- Média a nosiče data
- Zaměstnanci
- Prostory a objekty
Jak postupovat při zadávání podpůrných aktiv?
Sepište co vám musí fungovat, abyste mohli vyrábět nebo poskytovat služby.
- Vytvořte seznam vašeho dalšího software a aplikací, které jsou nutné pro provoz
- Vytvořte seznam serverů a úložišť dat, která provozujete
- Vytvořte popis vaší sítě
- Vytvořte seznam vašich místností a objektů fyzické infrastruktury
- Vytvořte seznam IT vybavení a zařízení, která mohou být napadnuta, ukradena nebo ztracena
- Vytvořte seznam služeb, které nakupujete
Provádějte pravidelné aktualizace registrů aktiv
- Jednorázové vytvoření výše uvedených seznamů nestačí
- Pravidelné prověřování stavu zajistí, že údaje budou aktuální

