Vysokoúrovňová analýza rizík slúži na spísanie politiky KIB, resp. na časť stratégie KIB, aby ste vedeli, čo máte chrániť - aktíva a pred čím - hrozby. V politike bude treba uviesť vašu vedomosť, záujem a záväzok chrániť aktíva pred hrozbami. V tejto časti identifikujeme hlavné primárne a sekundárne aktíva Vašej organizácie.
Primárne aktíva sú aktivitý, ktoré sú zamerané na plnenie Vašich cieľov/poslania. Tie ste už identifikovali - biznisové procesy, ešte pre Vás zostáva spomedzi nich identifikovať hlavné biznisové procesy - hlavné primárne aktíva.
Sekundárne aktíva sú prostriedky, ktoré umožňujú alebo podporujú činnosť primárnych aktív. Tie ste už tiež vo veľkej miere identifikovali - aplikácie, IT systémy a priestory, no pre účely politiky sú to príliš konkrétne pojmy. Preto sa na ne pozrieme ešte z trochu vyššej úrovne, aby sme ich vedeli vo vhodnom rozsahy opísať v politike KIB - hlavné sekundárne aktíva.
otázka | možná odpoveď |
---|---|
Čo by sa stalo s Vašou organizáciou, keby Vám vypadol tento konkrétny biznisový proces? | naša organizácia by si nemohla plniť svoje úlohy, činnosť iných dôležitých biznisových procesov by bola ovplyvnená |
Ako dlho si môžete dovoliť, aby bol biznisový proces nedostupný? | niekoľko minút, hodín, dní... |
Hlavné primárne aktíva potrebujú na svoju činnosť podporné aktíva. Na tieto podporné aktíva sa môžme pozerať detailne, ako na aplikácie, IT-systémy a miestností. Pre politiku KIB má však väčší zmysel premýšľať nad charakteristickými skupinami sekundárnych aktív. Ďalej rozoberieme niekoľko sekundárnych aktív v oblasti KIB, niektoré oblasti spolu súvisia alebo sa prekrývajú, čo bude zrejmé z obsahu.
Know-how sú vedomosti alebo poznatky zamestnancov a predstavuje istú ekonomickú hodnotu. Sú to dlhodobé (niekedy špeciálne) skúseností s procesmi organizácie, technológíami, výrobnými postupmi, obchodné znalosti, prevádzkové alebo technické zručnosti.
Môžu mať charakter obchodného tajomstva alebo utajovanej skutočnosti. Pri know-how-e je dôležité zachovať dôvernosť, integritu a dostupnosť, preto má pre Vás zmysel sa opýtať, či máte nejaké vedomosti:
Zamestnanci sú neoddeliteľnou súčasťou každej organizácie. Vykonávajú rôznorodé činnosti pre dosiahnutie cieľov organizácie, disponujú rôznymi (esenciálnymi) zručnosťami a vedomosťami potrebnými pre výkon svojej práce (know-how).
Chrániť zamestnancov má zmysel v rôznych formách:
Organizačná štruktúra, podobne, ako zamestnanci, tvorí neoddeliteľnú súčasťou každej organizácie. Riadiace, výkonné a kontrolné zložky Vašej organizácie navzájom spolupracujú aby ste kvalitne, efektívne a správne vykonávali svoje poslanie.
Správne zadefinované a jasne vymedzené roly, prídelené zodpovednosti, právomoci a zodpovednosti sú nevyhnutným predpokladom pre činnosť Vašej organizácie. Súčasťou každej roly sú aj kvalifikovaní a zodpovední zamestnanci, ktorý by mali byť do týchto rôl dosadení.
Informácia, údaje a dáta sú základom činnosti Vašej organizácie. V súčastnosti celý životný cyklus informácie (získanie, spracovanie a vyradenie) podlieha mnohým požiadavkám KIB voči dôvernosti, integrite a dostupnosti.
Digitálne informačné a komunikačné technológie (d-IKT) sú kľúčovou súčasťou spracovávania informácie, riadia rôzne technologické procesy alebo poskytujú on-line služby. d-IKT sú náchylné voči mnohým faktorom - úmyselné útoky, technické poruchy, ľudské chyby, prírodné vplyvy.
Zaistiť ochranu, dostupnosť a redundanciu d-IKT môže byť jedna z najdôležitejších cieľov mnohých organizácií.
Infraštruktúra, budovy, priestory, technická infraštruktúra umožňujú výkon mnohých činností Vašej organizácie. Zabezpečenie budovy a miestnosti pred potenciálnymi narušiteľmi (pred odcudzením/poškodením druhých aktív) môže byť pre Vás dôležitou súčasťou KIB. Netreba tiež zabúdať pred výstrahami a hrozbami prírodného charakteru.
Kvôli neplneniu si svojich zákonných povinnosti alebo porušení zmluvných dohôd môžu byť Vašej organizácii uložene (vysoké) finančné sankcie, resp. pokuty. Alebo nebodaj v prípade nejakého bezpečnostného incidentu môžu byť finančné náhrady za vzniknuté škody pre Vašu organizáciu neúnosné.
Podobne, ako pri primárnych aktívach, aj tu má zmysel uvažovať, že ako dlho by ste bez niektorého vedeli fungovať?