Jednou s požadanových věcí v rámci zaváděného nařízení DORA je také identifikace aktiv. Jedná se o jeden s klíčových kroků v procesu řízení rizik a zabezpečení organizace. Rozlišování mezi primárními a podpůrnými aktivy umožňuje efektivnější ochranu citlivých dat, klíčových systémů a dalších kritických zdrojů. Tento článek se zaměřuje na to, jak lze v rámci bezpečnosti identifikovat primární a podpůrná aktiva, a proč je tento proces nezbytný pro celkovou ochranu organizace.

Co jsou Primární a Podpůrná Aktiva?

Primární aktiva jsou ta, která přímo přispívají k hlavním činnostem a cílům organizace. Tato aktiva mohou zahrnovat:

• Data a informace: Osobní údaje, finanční záznamy, obchodní tajemství.
• Aplikace a software: Kritické aplikace, které podporují obchodní operace.
• Lidé: Zaměstnanci s klíčovými znalostmi a dovednostmi.
• Procesy: Klíčové obchodní procesy, které přinášejí hodnotu zákazníkům.

Podpůrná aktiva jsou ta, která podporují primární aktiva a zajišťují jejich správné fungování. Patří sem:

• Infrastruktura IT: Servery, síťové prvky, datová centra.
• Hardware: Počítače, mobilní zařízení, tiskárny.
• Služby: Služby třetích stran, jako jsou cloudové služby, poskytovatelé internetového připojení.
• Dokumentace: Manuály, postupy, bezpečnostní směrnice.

Kroky k Identifikaci Primárních a Podpůrných Aktiv

1. Provedení Inventury Aktiv

   • Vytvořte seznam všech aktiv v organizaci.
   • Zapojte různé oddělení, aby se zajistilo, že žádné aktivum nebude přehlédnuto.

2. Klasifikace Aktiv

   • Rozdělte aktiva na primární a podpůrná podle jejich role v organizaci.
   • Použijte kritéria jako je hodnota aktiva pro organizaci, dopad ztráty nebo poškození aktiva na obchodní operace.

3. Hodnocení Hodnoty a Kritičnosti Aktiv

   • Určete, jakou hodnotu má každé aktivum pro organizaci.
   • Zvažte faktory jako náklady na nahrazení, dopad na reputaci, právní důsledky.

4. Analýza Rizik

   • Identifikujte hrozby, které mohou ovlivnit jednotlivá aktiva.
   • Hodnoťte pravděpodobnost a dopad těchto hrozeb.

5. Implementace Ochranných Opatření

   • Na základě analýzy rizik implementujte vhodná bezpečnostní opatření pro ochranu primárních i podpůrných aktiv.
   • Ujistěte se, že opatření jsou přiměřená hodnotě a kritičnosti aktiv.

Výhody Identifikace Primárních a Podpůrných Aktiv

• Lepší Přehled o Rizicích: Organizace získá jasný přehled o tom, která aktiva jsou nejdůležitější a jaké hrozby jim čelí.
• Efektivnější Přidělení Zdroje: Bezpečnostní opatření mohou být zaměřena na aktiva, která jsou nejkritičtější pro podnikání.
• Zvýšená Odolnost: Organizace může lépe plánovat a reagovat na bezpečnostní incidenty, protože má lepší pochopení své infrastrukturní a informační základny.
• Zajištění Souladu s Předpisy: Mnoho předpisů a standardů vyžaduje, aby organizace měla přehled o svých kritických aktivech a chránila je přiměřeně.

Identifikace primárních a podpůrných aktiv je nezbytným krokem pro efektivní řízení bezpečnosti v organizaci. Tím, že organizace rozpozná a chrání své nejcennější zdroje, může snížit rizika, zlepšit odolnost a zajistit kontinuální provoz v případě incidentů. Systematický přístup k identifikaci a ochraně aktiv je základním kamenem pro úspěšné řízení rizik a bezpečnostní strategii.

Roman Holub, Mekit.cz