Analýza stavu bezpečnosti

Řešíte ve vaší organizaci problematiku informační bezpečnosti, ale „ztrácíte se v ní“? Nevíte, na které oblasti se zaměřit a jaká bezpečnostní opatření implementovat? Potřebujete se zorientovat, ale komplexní formální analýza rizik je pro vaši organizaci přílišným luxusem?

Optimálním řešením této nebo podobné situace může být analýza stavu bezpečnosti.

Tento typ analýzy přináší organizaci detailnější pohled na slabá místa v jejím zabezpečení, než je tomu u bezpečnostního screeningu organizace. Přístup k provádění analýzy stavu bezpečnosti je podobný, jako u formální analýzy rizik s tím rozdílem, že je vynechána nebo velmi zjednodušena fáze identifikace aktiv organizace a formulace rizik. Analýza směřuje přímo k identifikaci a popisu konkrétních bezpečnostních nedostatků v rámci jednotlivých oblastí bezpečnosti. Využívá k tomu takové nástroje, jako jsou např.

• vybrané technické a penetrační testy cílené na identifikaci stavu technického zabezpečení informačního systému;
• interview s odpovědnými zaměstnanci;
• studium interní dokumentace;
• další aktivity směřující k identifikaci stavu organizační bezpečnosti a bezpečnosti v rámci jednotlivých obchodních a podpůrných procesů organizace.

Analýza stavu bezpečnosti může být u malých a středních organizací použita jako efektivní náhrada formální analýzy rizik. Výstupem analýzy je zpráva, která obsahuje přehled identifikovaných nedostatků a návrh doporučení na jejich odstranění, který je dále využitelný při plánování následných kroků budování informační bezpečnosti organizace.

Mezi hlavní přínosy analýzy stavu bezpečnosti patří:

• posouzení aktuálního stavu bezpečnosti organizace nezávislou stranou;
• identifikace nedostatků a zranitelných míst v zabezpečení;
• vytvoření předpokladů pro zvýšení úrovně bezpečnosti organizace;
• určení dalšího směru budování informační bezpečnosti organizace.