Informačná bezpečnosť: čo znamená v praxi a ako ju nastaviť vo firme

Informačná bezpečnosť sa často zamieňa s IT bezpečnosťou alebo kyberbezpečnosťou. V praxi je však širšia. Nejde len o útoky zvonka, ale o to, aby sa vaše informácie nesprístupnili nesprávnym ľuďom, nezmenili sa bez kontroly a aby ste sa k nim vedeli dostať aj vtedy, keď nastane problém. 

Jednoducho: informačná bezpečnosť je o tom, aby vaše dáta a informácie zostali chránené, dôveryhodné a dostupné. 

Čo je informačná bezpečnosť 

Informačná bezpečnosť (information security) je súbor pravidiel, procesov a opatrení, ktoré chránia informácie bez ohľadu na to, či sú: 

• v IT systémoch (cloud, server, aplikácie), 

• v e-mailoch a zdieľaných úložiskách, 

• v papierovej forme, 

• v hlavách ľudí (know-how, interné postupy, prístupy). 

Základné ciele informačnej bezpečnosti sa často zhrňujú do troch princípov: 

• dôvernosť (confidentiality) – k informáciám sa dostanú len oprávnené osoby, 

• integrita (integrity) – informácie sa nemenia nepozorovane alebo bez autorizácie, 

• dostupnosť (availability) – informácie a služby sú dostupné vtedy, keď ich potrebujete. 

Prečo je informačná bezpečnosť dôležitá aj pre menšie firmy 

Informačná bezpečnosť nie je „téma pre korporáty“. Menšie firmy bývajú často zraniteľnejšie, pretože: 

• majú menej ľudí a menší rozpočet, 

• v prístupoch a procesoch je viac improvizácie, 

• kľúčové znalosti sú u 1–2 ľudí, 

• veľká časť systémov beží v cloude a cez dodávateľov. 

V praxi sa to prejaví napríklad takto: 

• kompromitovaný e-mail vedie k podvodu v platbách, 

• ransomvér vyradí účtovníctvo alebo objednávky, 

• nesprávne oprávnenia spôsobia únik citlivých dát, 

• odchod človeka spôsobí, že nikto nevie, kde sú prístupy a čo je „kritické“. 

Čo všetko spadá pod informačnú bezpečnosť 

Aby bola informačná bezpečnosť uchopiteľná, pomáha rozdeliť ju do troch oblastí. 

Ľudia 

• školenia a základná hygiena (phishing, heslá, práca s dátami), 

• jasné roly a zodpovednosti (kto čo schvaľuje, kto má prístupy), 

• onboarding/offboarding (ako sa prístupy prideľujú a odoberajú). 

Procesy 

• pravidlá práce s informáciami (klasifikácia, zdieľanie, uchovávanie), 

• riadenie prístupov (najmenšie potrebné oprávnenia), 

• zálohovanie a obnova, 

• incidenty (čo robíte, keď sa niečo stane), 

• dodávatelia (kto má prístup k vašim systémom a dátam). 

Technológie 

• MFA, správa identít, správa zariadení, 

• aktualizácie a správa zraniteľností, 

• logovanie a monitoring (aspoň základ), 

• šifrovanie a bezpečné konfigurácie. 

Najčastejšie hrozby, ktoré v informačnej bezpečnosti riešite 

V praxi sa opakujú najmä tieto scenáre: 

• phishing a kompromitácia účtov (e-mail, cloud, bankovníctvo), 

• ransomvér a nedostupnosť systémov, 

• únik dát cez nesprávne oprávnenia alebo zdieľanie, 

• chybná konfigurácia cloudu (verejné úložiská, zdieľané odkazy), 

• interné pochybenie (omyl, odoslanie dát nesprávnemu príjemcovi), 

• zlyhanie dodávateľa alebo výpadok služby, 

• strata alebo krádež zariadenia (notebook, mobil). 

Rozdiel medzi informačnou a kybernetickou bezpečnosťou 

Kybernetická bezpečnosť sa viac sústreďuje na útoky a ochranu systémov a sietí. Informačná bezpečnosť rieši ochranu informácií ako takých – vrátane procesov, ľudí a fyzickej stránky. 

V praxi sa tieto oblasti prekrývajú. Ak chránite informácie, nevyhnete sa technickým opatreniam. Ak riešite kybernetickú bezpečnosť, nakoniec vždy riešite dopad na informácie. 

Ako si nastaviť informačnú bezpečnosť krok za krokom:

1. Zmapujte, ktoré informácie sú pre vás kritické

   Bez tohto kroku budete chrániť „všetko rovnako“ a to sa nedá udržať. 

Pomôžu otázky: 

• ktoré informácie by vám spôsobili najväčšiu škodu, ak uniknú? 

• ktoré informácie vás najviac zabrzdia, ak k nim stratíte prístup? 

• ktoré informácie musia byť presné a kontrolované (integrita)? 

Typicky ide o: 

• osobné údaje a citlivé klientské dáta, 

• cenotvorbu, marže, zmluvy, obchodné ponuky, 

• účtovníctvo, mzdy, fakturáciu, 

• prístupové údaje, API kľúče, administrátorské účty, 

• know-how a interné postupy. 

2. Definujte základné pravidlá práce s informáciami

Nemusí to byť komplikované. Dôležité je, aby to bolo pochopiteľné a použiteľné. 

V praxi pomáha: 

• čo sa smie posielať e-mailom a čo nie, 

• ako sa zdieľajú súbory a kto to schvaľuje, 

• aké údaje sa nesmú posielať cez neoverené kanály, 

• ako sa pracuje s prístupmi a heslami. 

3. Nastavte prístupy tak, aby dávali zmysel

Prístupy bývajú jedným z najčastejších zdrojov problémov. 

• Základ, ktorý sa oplatí mať: 

• MFA na kľúčových účtoch (e-mail, cloud, bankovníctvo), 

• princíp najmenších oprávnení (nie „všetci všetko“), 

• pravidelné prechádzanie prístupov (napr. kvartálne), 

• odoberanie prístupov pri odchode (hneď, nie „neskôr“). 

4. Zálohovanie a obnova – bez toho je dostupnosť ilúzia

Záloha je užitočná až vtedy, keď viete obnoviť. 

V praxi je dobré vedieť: 

• čo presne zálohujete (dáta, konfigurácie, účty), 

• ako často (RPO) a ako rýchlo viete obnoviť (RTO), 

• či ste obnovu reálne skúšali. 

5. Znížte riziko ľudských chýb

Ľudská chyba je normálna. Cieľom je, aby nebola fatálna. 

Pomáha: 

• krátke školenia (phishing, práca s dátami, schvaľovanie platieb), 

• dvojité overenie pri citlivých krokoch (napr. zmena čísla účtu dodávateľa), 

• jasné pravidlá pre zdieľanie a prácu s externými dodávateľmi. 

6. Zaveďte minimálny incidentový režim

Nemusíte mať veľký tím. Stačí vedieť: 

• kto rozhoduje, 

• koho kontaktovať (IT, dodávateľ, právne a compliance), 

• čo odpojiť, čo zablokovať, čo zálohovať, 

• ako komunikovať interne a navonok. 

Najčastejšie chyby v informačnej bezpečnosti 

• Pravidlá existujú, ale nikto nevie, kde sú a ako ich používať. 

• Prístupy sú nastavené historicky a nikto ich pravidelne nepreveruje. 

• Zálohy existujú, ale obnova sa nikdy netestovala. 

• Bezpečnosť je vnímaná ako úloha IT, nie ako celofiremné riadenie. 

• Riziká sa hodnotia pocitovo, bez jednotných kritérií. 

Čo by ste mali vedieť ukázať pri audite alebo kontrole 

Aj jednoduchý systém je obhájiteľný, keď máte poriadok v základoch: 

• čo považujete za kritické informácie a aktíva, 

• aké riziká sú pre vás najvýznamnejšie a prečo, 

• kto je vlastníkom rizík (zodpovednosť), 

• že riziká hodnotíte jednotne a viete ukázať vývoj v čase, 

• že viete pripraviť výstupy pre vedenie a audit. 

Ako s informačnou bezpečnosťou pomáha RiskMinder 

Keď sa o informačnej bezpečnosti rozhoduje vo firme, často narážate na dve veci: rozdielny pohľad IT a vedenia a potrebu mať pripravené výstupy pre kontrolu alebo audit. RiskMinder podporuje práve túto praktickú stránku riadenia rizík: 

• viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí, 

• používať jednotný risk scoring naviazaný na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001, 

• priraďovať vlastníkov rizík, navrhovať opatrenia a sledovať stav a vývoj riadených rizík (neriešené, znížené, zvyškové, akceptované), 

• využívať prednastavené katalógy a dopĺňať ich podľa vašich potrieb, 

• generovať audit-ready reporty pre vedenie a audítora, ktoré viete použiť aj pri dohľade NBÚ. 

Ak informačnú bezpečnosť postavíte na jasnom prehľade aktív a rizík, jednotnom hodnotení a pravidelnej revízii, budete vedieť robiť rozhodnutia rýchlejšie, konzistentnejšie a s lepšie obhájiteľnými výstupmi. 

FAQ