Analýza rizik: Jak neztratit 20.000.000 eur nebo 4 % z obratu

Kybernetická bezpečnost a celkové zavedení jejích standardů

Výpočetní technika se stále vyvíjí a s ní i pokusy, jak ji narušit. Se zamezením pokusů o narušení vzniklo poměrně nové odvětví známé jako kybernetická bezpečnost (i když i zde vývoj začíná v začátku devadesátých let u British Standards, a později z řady norem ISO/IEC 27000). Jejím cílem je především ochrana informací před kybernetickými útoky. S růstem počtu citlivých informací vyskytujících se na internetu, a zejména činností stěhujících se do kyberprostoru, byly v mnohých firmách vytvořeny standardy kybernetické bezpečnosti.

Podstatnou částí informací tvoří i osobní data, jejichž ochrana se vyvíjí od poloviny 90. let. A právě z toho důvodu vzniklo jako vyvrcholení snahy o jejich ochranu obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR).

Jedná se o legislativu EU přijatou v roce 2016 zvyšující ochranu nad osobními daty občanů. Účinnosti nabyla o dva roky později, týká se všech subjektů zpracovávajících osobní údaje a ty, které evropské nařízení poruší, musí čelit enormně vysokým pokutám a to až ve výši 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností).

Celková částka se odvíjí od povahy, závažnosti či délky porušování obecného nařízení o ochraně osobních údajů. Svou roli hraje ale také počet poškozených uživatelů i velikost škody. Vliv na výši pokuty mají také kroky podniknuté správcem nebo zpracovatelem vedoucí ke zmírnění škod a soubor dalších faktorů.

Zpracování a ochrana osobních údajů je součástí celkové ochrany informací. I proto se pro ochranu osobních údajů začaly používat postupy a procesy bezpečnosti informací (kybernetické bezpečnosti).

Analýza rizik pomůže k maximální prevenci

Proč by se firmy měly kybernetickou bezpečností zaobírat? Únik osobních dat vede nejen ke ztrátě peněz společnosti, důvěryhodnosti podniku, ale také k přerušení činnosti různých institucí.

Každá společnost, pokud se chce zabývat kybernetickou bezpečností a snaží se odvrátit možnost kybernetických útoků, musí vědět, jaká data využívá, kde jsou umístěna a jaké osobní údaje shromažďuje, kde a za jakým účelem. Analýza rizik vede ke zjištění stavu ochrany osobních údajů a rizik, která jim hrozí.

Analýzou rizik lze posoudit i vliv v globálním měřítku a stanovit typizaci škody. Bude se jednat o materiální či nemateriální poškození společnosti? Kybernetická bezpečnost: Zdroj obrázku Pixabay.com

Řešením je ISMS

Systém řízení bezpečnosti informací (anglicky Information Security Management System, tedy ISMS) je dobrým řešením pro všechny firmy, které musí pečovat o bezpečnost informací, bezpečnost dat, počítačovou bezpečnost a ochranu dat, IT bezpečnost či bezpečnost informačních systémů.

Systém řízení bezpečnosti informací by tedy měla zavést jakákoliv společnost, která pracuje s daty a provádí část svých činností v kybernetickém prostoru. Současně se zavedením ISMS je třeba stanovit rozsah a cíle systému řízení bezpečnosti informací, zjistit stav bezpečnosti procesů ve společnosti, zpracovat výše zmíněnou analýzu rizik, navrhnout a standardizovat bezpečnostní postupy i implementovat opatření. Celý systém je třeba analyzovat, vyhodnocovat a postupně zlepšovat.

Funkční ISMS dokáže snížit množství rizik a lépe je řídit. Lze tak předejít špatnému zabezpečení, škodám hmotné i nehmotné povahy a ztrátě či poškození dat.

Kybernetická bezpečnost: Zdroj náhledového obrázku Pixabay.com