2. Znalostní báze
  3. Kybernetická bezpečnost
  4. Jak identifikovat podpůrná informační aktiva

Jak identifikovat podpůrná informační aktiva

Datum poslední aktualizace: 29. 03. 2024
Podívejte se na řešení:
Řízení rizik pro firmy
Pomohl Vám tento článek?
2 z celkových 2 článek pomohl.

Sekundární podpůrná aktiva můžete pro potřeby informační bezpečnosti a související analýzy rizik identifikovat různými způsoby a metodami. Sekundární aktiva jsou data, informace, služby, lidé, infrastruktura, software nebo hardware, které potřebujete k tomu, aby vaše primární aktiva mohla fungovat.  

  • když je nemáte nebo nefungují, tak nefunguje nějaká část vašeho informačního systému nebo dokonce nejsou dostupná vaše primární aktiva 
  • jsou to tedy všechny technologie, procesy, služby, které jsou důležité pro fungování informační systému jako celku 

Základní seznam sekundárních aktiv

Sekundární aktiva jsou v podstatě vaše IT vybavení, majetek, vnitřní nebo nakupované služby. Také to může být konkrétní člověk, který je nepostradatelný. Na rozdíl evidence IT majetku, který potřebujete mít na jednotlivé kusy (například konkrétní počítač), tak se v případě podpůrných IT aktiv budete soustředit na větší logické celky (například všechny počítače v určitě části nebo oddělení firmy), protože příliš velkou fragmentací byste dostali příliš velký počet IT aktiv a bylo by to nepřehledné, a tedy nepoužitelné. Kritické body (například firewall) je samozřejmě doporučené sledovat v IT aktivech samostatně. Následující seznam sekundárních aktiv berte jako výchozí a orientační:  

Software

  • účetní Software
  • ERP systém
  • operační systém

Hardware

  • počítače
  • mobilní telefony
  • tablety
  • síťový hardware

Služby

  • připojení na internet
  • provoz serverovny
  • provoz počítačů
  •  nakupované cloudové služby
  • připojení elektrické energie

Základní principy při identifikaci sekundárních aktiv

  • Sekundární aktiva hodnoťte s vlastníky aktiv, manažery, kteří jsou odpovědní za jejich provoz
  • neutopte se v detailu, příliš rozsáhlé a detailní informace udělají váš přehled informačních aktiv nepřehledný a nepoužitelný
  • Postupujte s pomocí kritické cesty od primárních aktiv: co musí běžet, aby primární aktiva fungovala jak mají
  • Stanovte společně kritéria, která vám pomohou určit, jaká podpůrná aktiva jsou důležitá
  • zaznamenávejte si do katalogu svých aktiv jejich vzájemné souvislosti - lépe tak posoudíte důsledky výpadku jednoho aktiva na ostatní
  • sekundárních aktiv mohou být desítky ale velké firmy jich mohou mít i stovky 
  • řiďte se odpovědností manažerů
  • řiďte se zdravým rozumem a smysluplností
  • pro většinu menších a středních firem je vhodný počet sekundárních aktiv do 15-50
  • u každého z podpůrných aktiv si odpovězte na otázku jaká primární aktiva mohou poškodit
  • co vám jejich výpadek, ztráta, poškození nebo nedostupnost může způsobit
  • seznam podpůrných aktiv můžete vytvářet s technickými experty, ale seznam primárních aktiv musí vzniknout ve spolupráci s nejvyšším vedením firmy
  • použijte klidně více metod křížně, budete mít tak větší jistotu, že jste na nich nezapomněli, respektive že jste vaše primární aktiva určili správně

Základní postup při identifikaci sekundárních podpůrných aktiv

  1. Vycházejte ze seznamu primárních aktiv 
  2. Identifikujte klíčové aplikace, hardware, služby a infrastrukturu, která je potřebná k tomu, aby primární aktiva fungovala. Pomozte si větou "když nebudou fungovat, nebudou dostupné ani primární aktiva, končíme" nebo "když nebudou fungovat, máme velký problém"
  3. Vyjmenujte 3-10 základních, to vám pomůže neutopit se v detailu
  4. Následně postupujte na další
  5. Pojmenujte dopad pro každou z nich. Jaký důsledek bude mít pro vás jejich ztráta na stupnici od nepoznáme to až po nebudeme fungovat?
  6. Zhodnoťte, zda jde opravdu o primární aktivum a ne podpůrné
  7. Body 1-4 opakujte, dokud nebudete mít uspokojitelný výsledek a úroveň detailu, pozor abyste nezařadili podpůrná aktiva. 

Jakmile budete mít seznam primárních aktiv hotový, vytvořte si seznam podpůrných aktiv. Ty hrají klíčovou roli v dostupnosti primárních aktiv. Seznam podpůrných aktiv již můžete vytvářet s technickými experty.

Metody, které můžete využití při identifikaci sekundárních aktiv

Zde jsou uvedené různé metody pro identifikaci primárních aktiv

  • Brainstorming s nejvyšším vedením firmy
  • Referenční seznam z vašeho oboru
  • Analýza hlavních procesů a výstupů
  • ACA (Asset Criticality Analysis)
  • VSM (Value Stream Mapping)
  • HAZOP (Hazard and Operability Study)
  • Analýza mission critical dat
  • Risk assessment

Příklady sekundárních aktiv

  • účetní Software
  • ERP systém
  • operační systém
  • počítače
  • mobilní telefony
  • tablety
  • síťový hardware
  • UPS
  • připojení na internet
  • provoz serverovny
  • provoz počítačů
  • nakupované cloudové služby
  • připojení elektrické energie
Doporučujeme znát