Hodnota informácií v prostredí podnikania s rozvojom moderných informačných technológií má narastajúcu tendenciu. V súčasnosti rozhodujú o úspechu a neúspechu v podnikaní práve informácie. Ich bezpečnosť sa stáva dokonca kľúčovou pre prežitie firmy. Informačná bezpečnosť by mala pre manažérov vysokú prioritu a v tomto prípade sa nejedná o jednorazovú aktivitu, ktorú by vyriešilo zakúpenie antivírusového softvéru.
V prípade zanedbanej informačnej bezpečnosti môžu nastať následovné riziká:
- Nedostupnosť dát či informácií – znamená, že k dátam stratíte prístup, nie je dostupné miesto ich uloženia (nefungujúca sieť, stratený kľúč). Aby sa takejto situácií predišlo, je vhodné zabezpečiť si spoľahlivú sieť alebo mať k dispozícií viacero ciest k informáciám.
- Strata dát a informácií – tento prípad nastane ak dáta nemá podnik ani nikto iný. Príčinou môže byť zničenie PC, mobilného telefónu alebo dátového nosiča. Tomuto je možné vyhnúť sa pravidelným zálohovaním.
- Odcudzenie dát alebo informácií – k dátam sa dostane nepovolaná osoba a hrozí riziko, že dáta využije vo svoj prospech.
- Zneužitia dát alebo informácií – v tomto prípade je podnik vážne ohrozený, pretože útočník alebo pracovník, ktorý informácie zneužíva to robí úmyselne a spravidla dobre vie, aké informácie a ako chce zneužiť.
Aby sa podnik vyhol možným rizikám spojeným s narušením informačnej bezpečnosti musí naštartovať a udržať internú bezpečnostnú kultúru organizácie na úrovni, ktorá dokáže vytvoriť dostatočnú bezpečnosť informácií v organizácií. Informácie majú v súčasnosti nevyčísliteľnú hodnotu, preto je nutné ich chrániť.
Zásady informačnej bezpečnosti
- Stanovenie pravidiel zaobchádzania s informáciami – od kategorizácie informácií (verejné, dôverné atď.) Až po stanovení pravidiel kto, kedy, ako a prečo k rôznym dátam či informáciám môže môže mať prístup a narábať s nimi.
- Riadenie prístupu k dátam a informáciám – vrámci informačnej bezpečnosti je vhodné aby v správe dokumentov bol prístup k určitým informáciám riadený prostredníctvom zaradenia používateľa do konkrétnej skupiny používateľov. Skupiny by mali byť definované administrátorom systému, a každá skupina má prístup len ku zvolenej kategórii dokumentov. Je bezpečnejšie keď majú zamestnanci prístup len k tým dátam, ktoré nevyhnutne potrebujú k svojej práci.
- Bezpečnosť koncových zariadení proti strate a odcudzeniu – dáta musia byť chránené a zálohované dostupnými prostriedkami aby nenastali komplikácie v prípade, že je počítač alebo iné zariadenie stratené alebo odcudzené.
- Bezpečnosť a ochrana organizácie proti napadnutiu alebo odcudzeniu informácií – aby boli firmy o krok vpred pred útočníkmi mali by si položiť otázku, ktoré z dát majú takú hodnotu, že by mohli byť predmetom záujmu útočníkov.
- Bezpečnosť a ochrana centrálne uložených dát z pohľadu havárie – podnik musí zabezpečiť opatrenia proti haváriám, ktoré by mohli zničiť servery alebo inak uložené informácie a v nevyhnutnom prípade musia mať možnosť obnoviť dáta na serveroch.
V rozsiahlej štúdii VERIZONU, Data breach investigation report, je poukázané na to, že nízke povedomie o možných rizikách informačnej bezpečnosti sú závažným problémom súčasnosti a útoky na podnikové dáta majú stúpajúcu tendenciu. Riziko spojené s nedodržiavaním informačnej bezpečnosti je závažným problémom a býva často podceňované. Popri prevencii by sa o svoje vedomosti mali podeliť rôzne zainteresované strany, ako oddelenie IT bezpečnosti či manažéri kontinuity podnikania.
