Informační bezpečnost se zabývá ochranou informací ve všech formách a po celý jejich životní cyklus.
Ve všech formách znamená že mohou být
- digitální (uložené v informačním systému, software) nebo
- vytištěné v papírové podobě na papíře či
- existují v něčí mysli.
Po celý jejich životní cyklus znamená
- od jejich vzniku,
- zahrnuje také zpracování, ukládání, přenos
- až po likvidaci.
Cílem informační bezpečnosti je snižování rizik toho, že o data přijdete, že budou někým zneužita nebo že budou narušena nebo pozměněna. Klíčové je soustředit se na ta nejdůležitější, pro vaši firmu zásadní data a informace, jako jsou například:
- osobní údaje zaměstnanců uložené ve mzdovém nebo personálním software
- vytištěné smlouvy, přehled, reporty které mohou ležet jsou na stole
- vytištěné pracovní smlouvy, které jsou v šanonech ve skříni
- účty a přihlašovací údaje uložené v prohlížeči
- fotky a a jiné soubory uložené ve vašem počítači
- obchodní nebo jiné informace získané při osobním jednání
Co jsou největší hrozby pro bezpečnost informací
Přirozeně největší problém vám způsobí, když o vaše informace přijdete nebo když je někdo zneužije. Největší informační hrozby, před kterými byste se v rámci bezpečnosti měli chránit jsou:
- Krádež identity
- Krádež důvěrných informací
- Smazání klíčových informací
Situace, ze kterých hrozby většinou vyvěrají
- Neodebrání přístupů zaměstnanci, který odešel z firmy
- Vyzrazení informací odchozím zaměstnancem
- Papíry nechané na stole
- Nezamčený počítač
- Důvěrné informace na sdíleném disku nebo nechráněném cloudovém úložišti
- Volně přístupné šanony v kanceláři
- a také všechny kybernetické útoky
Největší ohrožení informační bezpečnosti představují lidé uvnitř organizace
Nejvíce problémů způsobují lidí zevnitř organizace, ne útočníci zvenku.
- Pracovníci, dodavatelé nebo jiní lidí, kteří mají autorizovaný přístup do systémů nebo fyzických prostor firmy, mohou úmyslně či neúmyslně zneužít svůj přístup k negativnímu ovlivnění kritických dat nebo systémů organizace. Nemusí to být jen úmysl.
- Neopatrní zaměstnanci, kteří nedodržují procesy a předpisy své organizace, způsobují řadu problémů. Mohou například neúmyslně e-mailovat údaje o zákaznících externím stranám, klikat na phishingové odkazy v e-mailech nebo sdílet své přihlašovací údaje s ostatními.
- Někteří lidé záměrně a úmyslně obcházejí bezpečnostní opatření z pohodlnosti nebo z neuvážených pokusů o zvýšení produktivity
- Zlomyslní zaměstnanci se záměrně vyhýbají pravidlům a protokolům kybernetické bezpečnosti, aby smazali data, ukradli data, která je později prodali nebo zneužili, narušili operace nebo jinak poškodili podnikání.
Čím se musí zabývat informační bezpečnost
Informační bezpečnost se tedy zabývá jak daty v aplikacích a software, tak informacemi uloženými na papírech, tak se také musí zabývat informacemi v hlavách lidí, které mohou prozradit.
- ochranou počítačů, dat a přenosů dat a informací (viz kybernetická bezpečnost)
- ochranou tištěných informací na papírech, které máte ve firmě na stolech, v šanonech a podobně, tak i
- informacemi, které zaměstnanec získá například během osobního jednání.
Jak chránit vaše informace a data
Naprostá většina hrozeb informační bezpečnosti je založená na lidských slabinách - může se jednat o nedodržování procesů a principů, neznalost, ztrátu zařízení nebo o záměr prozradit informace. Části informačních hrozeb lze zabránit přísnými postupy a dodržování určitých zásad. Části informační hrozeb, lze zabránit technickými a IT opatřeními.
1. Vzdělávejte a zvyšujte informační gramotnosti a povědomí vašich lidí o informačních hrozbách
- Pouze lidé poučení o možných informačních hrozbách jim mohou zabránit
- Vzdělávání, a zlepšování informační gramotnosti pomůže odstranit velkou část neúmyslných chyb, problémů či havárií
- Mezi základní principy patří rozpoznání podezřelých e-mailů, linků, a kontrola důvěrných dokumentů na pracovišti
- Povědomí také zlepší dbalost možných krádeží dokumentů, počítačů nebo mobilů v automobilech, nebo jiných místech
- Pouze lidé dodržující dobré návyky a procesy dokážou zabránit některým bezpečnostním incidentům
- Zahrňte informace o možných hrozbách, častých e-mailových podpovědech, kybernetických útocích nebo o důležitosti zálohování
- Vyškolte zaměstnance a dodavatele v povědomí o bezpečnosti, než jim umožníte přístup k vašim informacím
- Zahrňte takové vzdělávání jak pro nové zaměstnance (viz nástup zaměstnance), tak průběžně vzdělávejte své současné zaměstnance
2. Mějte pod kontrolou přístupy vašich lidí k informacím
- Omezte přístup zaměstnanců pouze ke konkrétním zdrojům, které potřebují ke své práci
- Musíte mít pod kontrolou kdo kam může
- Důležité je mít přidělování přístupů pod kontrolou jak při nástupu zaměstnance, tak při změnách v jejich pracovním zařazení
- Důležitý je nástup zaměstnance, neméně důležitý je odchod zaměstnance a odebrání všech oprávnění
- Zřiďte dodavatelům a dalším nezávislým pracovníkům dočasný účet, jehož platnost vyprší k určitým datům, například k datům, kdy končí jejich smlouvy;
3. Chraňte informace před neautorizovanými lidmi
- Přístup k žádoucím informacím pouze autorizovaným osobám
- Řízený přístup do systémů nebo firemních prostor
4. Zálohujte data tak, abyste je dokázali obnovit
- Mít správně zálohovaná data patří k základním opatřením informační bezpečnosti
- Papírové dokumenty se špatně zálohují, jedním z řešení je digitalizace
- O data můžete přijít nejen v důsledku kybernetického útoku, ale také například ztráty počítače
- Stejně tak o papírové dokumenty můžete přijít v důsledku krádeže
5. Hlídejte si svoje zařízení, počítače, mobily a dokumenty
- Hlídejte si svoje zařízení a dokumenty, abyste je neztratili nebo aby k nim neměl přístup někdo jiný
- Zamykejte svá zařízení, mějte na svých zařízeních pro přihlašování nastavená hesla, PIN kódy nebo jiné ověřování
6. Mějte kvalitní hesla
- Používejte silná, jedinečná hesla
- Dobré heslo by mělo být alespoň 8 znaků dlouhé a mělo by obsahovat velká i malá písmena a číslice
- Zaveďte politiku hesel jako samozřejmost pro vaše zamestnance
7. Zaveďte další restriktivní technická opatření, zejména ve velkých firmách jsou nezbytná
- Implementujte dvoufaktorovou autentizaci, která vyžaduje, aby každý uživatel kromě hesla poskytl další identifikační údaje
- Nainstalujte si software pro monitorování zaměstnanců, který pomůže snížit riziko narušení dat a krádeží duševního vlastnictví identifikací nedbalých, nespokojených nebo zlomyslných uživatelů
Informační rizika - co se může stát s vašimi informacemi
Informační bezpečnost chrání vaše citlivé informace. Co se s nimi může stát?
- O informace úplně přijdete - například když ztratíte dokument, utopíte mobil nebo notebook nebo když vám jej někdo ukradne. Zkrátka o informace přijdete. V lepším případě je nemá nikdo jiný, kdo by je mohl zneužít. Například přijdete o všechny své smlouvy nebo fotografie.
- Někdo nepovolaný má k vašim informacím přístup. Vy svá data máte, ale může k nim ještě někdo jiný u koho si to rozhodně nepřejete. Například člověk z úklidové služby si informace přečte v dokumentu, který necháte na stole
- Informace může získat někdo jiný - pokud vám někdo ukradne mobil a dostane se dovnitř, pak vy data nemáte a má je zloděj. Může vás vydírat.