O zarządzaniu aktywami
Wiedza przedsiębiorców o posiadanych przez firmę zasobach, ich lokalizacji oraz osobach odpowiedzialnych za zarządzanie zasobami, stanowi podstawę, na której opierać się mogą wszystkie inne elementy zapewnienia bezpieczeństwa. Jednocześnie tworzy fundament, na którym można budować wszystkie inne filary bezpieczeństwa.
Podobnie jak w przypadku tworzenia kopii zapasowych danych, zarządzanie zasobami nie jest konkretnym wymaganiem Firmy Bezpiecznej Cyfrowo, ale jest wysoce zalecaną, podstawową składową bezpieczeństwa. Uwzględnienie tego tematu w wymaganiach FBC podkreśla znaczenie dobrego zarządzania aktywami.
Zarządzanie aktywami oznacza tworzenie i utrzymywanie dokładnych informacji o aktywach, co umożliwia przeprowadzanie codziennych operacji i skuteczne podejmowanie decyzji. Eksperci ds. bezpieczeństwa często określają zarządzanie aktywami jako podstawową praktykę cyberhigieny, która może pomóc organizacji w spełnieniu wszystkich pięciu wymagań FBC. Wiele poważnych incydentów bezpieczeństwa może być spowodowanych brakiem wiedzy organizacji, iż niektóre z ich ryzykownych zasobów wciąż pozostają podłączone do sieci pomimo, że tak być nie powinno. Skuteczne zarządzanie aktywami pomoże w monitorowaniu i kontrolowaniu urządzeń, które stanowią część Twojego przedsiębiorstwa.
Co to są aktywa?
Aktywa to zasoby lub przedmioty, które są własnością firmy lub są przez nią kontrolowane i stanowią wartość dodaną. Aktywa biznesowe mogą obejmować informacje (dane), sprzęt i oprogramowanie. Mogą to być również pojazdy, ludzie i infrastruktura (biura, elektryczność, klimatyzacja).
W kontekście FBC skupimy się na informacjach, sprzęcie i oprogramowaniu, a także stronach trzecich, takich jak dostawcy usług MSP (Managed Service Provider – dostawca usług zarządzanych) i dostawcy usług w chmurze.
W momencie, kiedy organizacja zlokalizuje swoje aktywa, ma możliwość uwzględnienia ich i skontrolowania w procesie identyfikacji ryzyka, analizy zagrożeń oraz podatności.
Czym jest rejestr aktywów?
Rejestr aktywów to dokument lub seria dokumentów, które zawierają listę i opis wszystkiego, co stanowi dla firmy wartość oraz wskazują osobę odpowiedzialną za ochronę poufności, integralności i dostępności każdego elementu. Pomimo, że inwentaryzacja aktywów jest czynnością czasochłonną, jest ona kluczowa dla wdrożenia środków cyberbezpieczeństwa.
Tworzenie i prowadzenie rejestru aktywów jest uważane za najlepszą praktykę w zakresie bezpieczeństwa i stanowi praktyczny pierwszy krok, który pomoże spełnić inne ważne wymagania. Kompleksowy rejestr aktywów jest zwykle ważnym elementem polisy ubezpieczeniowej, procesu księgowego lub zarządzania łańcuchem dostaw, a wraz z rozwojem organizacji w zakresie cyberbezpieczeństwa, będzie on stanowił podstawę oceny ryzyka, a także planu reagowania na incydenty.
Upewnij się, że wszystkie zasoby są uwzględnione w procesie zarządzania aktywami. Proces ten powinien obejmować zasoby fizyczne, wirtualne i chmurowe, a także obecność organizacji w Internecie w postaci kont w mediach społecznościowych, rejestracji nazw domen, przestrzeni adresów IP i certyfikatów cyfrowych. Kompleksowe zarządzanie aktywami pomaga uniknąć sytuacji, w której zasoby nie są skonfigurowane zgodnie z odpowiednimi wytycznymi bezpieczeństwa.
Wymagane jest również zapewnienie zgodności ze standardami oraz skanowanie podatności (dotyczy zaawansowanych użytkowników).
Udokumentowanie wszystkich aktywów jest pierwszym krokiem w kierunku przeglądu i zrozumienia skutków ich utraty, kradzieży lub uszkodzenia. Po określeniu, które zasoby są najważniejsze (najcenniejsze) dla Twojej firmy, możesz zastosować odpowiednią ochronę i zaplanować odpowiedni budżet na ich bezpieczeństwo.
Oznacz swoje zasoby
Rejestr aktywów powinien zawierać kilka kluczowych informacji, aby ułatwić śledzenie i identyfikację zasobów. Rozważ opracowanie systemu unikalnych numerów ID dla każdego elementu w inwentarzu, co może zapobiec nieporozumieniom związanym z nakładającymi się technologiami lub wieloma identycznymi elementami. Do oznaczenia urządzeń fizycznych mogą posłużyć etykiety.
Dla każdego zasobu dokumentacja musi zawierać co najmniej:
- nazwę kategorii, która grupuje podobne typy zasobów;
- szczegóły lokalizacji (należy pamiętać o wszelkich zasobach, które zmieniają swoje miejsce).
Ustal lokalizację zasobów
Czy aktywa znajdują się na komputerze lokalnym, w chmurze, w mediach społecznościowych, na komputerze pracownika, na nośniku pamięci USB, w bazie danych czy w szafce na dokumenty? Czy znajdują się w domu, głównym biurze czy w magazynie? Jeśli zasób jest na stałe w jednej lokalizacji, zapisz ją.
Aktywa mobilne: jeśli zasób jest mobilny, odnotuj, kto używa go na co dzień i gdzie jest zwykle używany; aktywa mobilne mogą być regulowane bardziej przez przypisanie do osoby niż lokalizacji. Możliwe jest również monitorowanie zasobów przenośnych za pomocą oprogramowania do zarządzania urządzeniami mobilnymi (MDM).
Ocena ważności aktywów: względna wartość i skutki utraty zasobu mogą być rejestrowane przy użyciu systemu oznaczeń ochronnych. Powszechne systemy rejestrowania ważności to: „wysoki, średni, niski”, „publiczny, poufny, tajny” lub „czerwony, żółty, zielony”.
Właściciel zasobu: imienne przypisanie właściciela do każdego aktywa zapewnia, że ktoś jest odpowiedzialny za działania zapewniające jego bezpieczeństwo. Właściciele aktywów informacyjnych ustalą zasady dotyczące danych, takie jak klasyfikacja, uprawnienia dostępu i okres przechowywania.
Zarządzanie starszym oprogramowaniem
Każde oprogramowanie i sprzęt w końcu stają się przestarzałe. Dalsze korzystanie z produktów po tym okresie, wiąże się ze zwiększonym ryzykiem lub zwiększonymi kosztami w celu złagodzenia tego ryzyka. Zarządzanie aktywami może pomóc organizacjom określić, kiedy dane systemy przestaną być wspierane i, dzięki temu, planować z wyprzedzeniem związane z nimi działania.
Korzystanie z własnych urządzeń (BYOD)
Jeśli organizacja zezwala pracownikom na korzystanie z urządzeń osobistych, takich jak telefony komórkowe, do celów służbowych, urządzenia te będą musiały zostać zatwierdzone przez organizację i monitorowane, ale ponieważ nie są własnością organizacji, nie zostaną uwzględnione w rejestrze aktywów.
Usuwanie aktywów
Aktywa usunięte z majątku firmy muszą zostać usunięte z rejestru aktywów i zutylizowane w bezpieczny sposób.
Przegląd rejestru aktywów
Po utworzeniu rejestru aktywów należy zapewnić jego regularny przegląd i aktualizację informacji. Kiedy kupujesz nowy sprzęt, pamiętaj, aby zarejestrować go w rejestrze aktywów, a kiedy coś przenosisz lub wyrzucasz, zaktualizuj swoją listę. Wartość Twojej listy aktywów zależy od dbałości w księgowaniu i dokumentowaniu każdego zasobu. Warto o to zadbać, ponieważ rejestr aktywów zapewnia przejrzystość i odpowiedni poziom świadomości odnośnie wielu innych praktyk i wymagań w organizacji.