Co jsou zranitelnosti a proč by je firma měla znát
Zranitelnost (Vulnerability) je slabé místo, nedostatek nebo chyba v technologii, v bezpečnostním prostředí, ve znalostech nebo v procesu, chování lidí či v bezpečnostních opatřeních. Je to tedy slabina nebo nedostatek nějakého aktiva nebo procesu.
Příklady zranitelností ve firmách
- Příklad procesní zranitelnosti: neodebírání přístupových oprávnění zaměstnanců po odchodu z firmy nebo změně role
- Příklad zranitelnosti v IT bezpečnosti: chybějící nebo nedostatečné zálohování dat
- Příklad zranitelnosti ve fyzické bezpečnosti: volně přístupná (nezamykatelná) místnost
- Příklad zranitelnosti osob: nedostatečná ochrana hlavy či jiné části těla na pracovišti (chybějící OOPP)
Proč by firmy měly znát zranitelnosti svých aktiv a procesů?
Znalost zranitelností je důležitá, protože zranitelnosti:
- zvyšují pravděpodobnost vzniku rizika
- vystavují aktiva vyššímu riziku selhání nebo výpadku
- mohou být zneužity útočníkem a usnadňují neoprávněný přístup nebo útok
Proč a k čemu je důležité znát zranitelnosti
- Zranitelnost je tedy vlastnost aktiva nebo procesu, která může být zneužita hrozbou.
- Zranitelnosti jsou slabá místa, která byste měli odstranit nebo minimalizovat
- Určení zranitelností aktiv je třetím krokem analýzy rizik
- Pomáhají určit rizika, známé zranitelnosti jsou důležitým zdrojem při identifikaci i analýze rizik
- Pokud znáte zranitelnosti, snáze odhalíte rizika
Jak pojmenovat zranitelnost
Zranitelnosti jsou nějaké nedostatky nebo chyby a tedy při jejich pojmenování použijte slova jako jsou
- chybějící, neexistující ...
- chyba v ...
- špatný ...
- nedostatečný ...
- nesprávně instalovaný ...
Nejčastější zranitelnosti
- chyba v technologii
- chyba v software umožňující kybernetický útok
- chybějící nebo nedostatečné šifrování
- špatná konfigurace (špatně nastavená technologie)
- nedostatečně proškolený pracovník
- nedostatečná ochrana těla pracovníka (ochrana hlavy, rukou, těla a podobně)
- nedostatečná údržba zařízení a strojů
- špatně nastavený proces
- chybějící nebo nedostatečné šifrování dat
- chybějící bezpečnostní kamery
- chybějící zámky na dveřích do serverovny
- chybějící nebo nedostatečná hesla
- chybějící SSL na webu
Jak vám Aptien pomůže s řízením zranitelností
- Znalost zranitelností vašich procesů a aktiv vám pomůže odhalit možná rizika
- Podívejte se, jak v Aptien Risk managementu můžete vést přehled zranitelností
- Hlídání školení pracovníků pomůže snížit rizika plynoucí z neproškolených pracovníků
- Hlídání revizí a údržby snižuje riziko selhání strojů
- Správné pracovní pomůcky a ochranné prostředky snižují riziko zranění