Ak organizácia nevie, aké aktíva využíva, akú majú hodnotu a kto za ne zodpovedá, len ťažko môže hovoriť o systematickom riadení bezpečnosti. Evidencia aktív preto nie je administratívna formalita ani vedľajšia technická agenda. Je to jeden zo základných predpokladov toho, aby organizácia vedela chrániť svoje informačné systémy, údaje aj služby zmysluplne, primerane a s jasne určenou zodpovednosťou. V praxi sa však stále často stretávame s tým, že evidencia aktív zostáva len neúplným zoznamom zariadení alebo aplikácií bez určenia vlastníka, bez vyhodnotenia ich významu a bez väzby na riziká a opatrenia.

Zoznam nestačí, organizácia potrebuje katalóg aktív

V mnohých organizáciách evidencia aktív stále funguje len ako jednoduchý zoznam zariadení, aplikácií alebo služieb. Takýto prehľad síce môže pomôcť pri orientácii, no spravidla nestačí na reálne riadenie bezpečnosti. Neodpovedá totiž na kľúčové otázky: ktoré aktíva sú pre organizáciu skutočne dôležité, kto za ne zodpovedá, aký dopad by malo ich zlyhanie a aké opatrenia ich chránia. Práve preto má mať evidencia aktív podobu katalógu aktív, teda živého riadiaceho nástroja, ktorý podporuje rozhodovanie o ochrane, prioritách, investíciách aj ďalšom rozvoji informačného prostredia.

Bez vlastníka sa zodpovednosť rozplýva

Jedným z najdôležitejších predpokladov kvalitnej evidencie je jednoznačné určenie vlastníka aktíva. Ak táto rola nie je určená, zodpovednosť sa rozdeľuje nejasne a rozhodovanie o bezpečnosti sa presúva do technickej roviny bez dostatočnej manažérskej opory. Vlastník aktíva pritom nemá byť chápaný len ako technický správca systému. Ide najmä o rolu, ktorá rozhoduje o primeranom používaní aktíva, schvaľuje významné zmeny, posudzuje jeho význam pre

organizáciu a nesie zodpovednosť za to, aby ochrana zodpovedala jeho hodnote a účelu. Práve cez vlastníka sa technické prostredie prepája s riadením organizácie.

Hodnota aktíva určuje, čo je naozaj priorita

Nie všetky aktíva majú rovnaký význam a rovnako ani ich ochrana nemôže byť nastavená jednotne. Organizácia preto potrebuje zrozumiteľný a opakovateľný spôsob, ako určovať hodnotu jednotlivých aktív. Pri hodnotení je potrebné zohľadniť najmä vplyv na poskytovanie služieb, právne a reputačné dôsledky, väzby na ďalšie systémy a údaje, ako aj následky narušenia dôvernosti, integrity alebo dostupnosti. Správne určená hodnota aktív umožňuje vedeniu lepšie stanovovať priority, zamerať opatrenia tam, kde prinášajú najväčší efekt, a rozhodovať o investíciách do bezpečnosti vecne a obhájiteľne.

Skutočný význam evidencie sa ukáže pri riadení rizík

Evidencia aktív má najväčší praktický prínos vtedy, keď je prepojená s riadením rizík a s bezpečnostnými opatreniami. Organizácia by mala vedieť ku každému významnému aktívu priradiť relevantné hrozby, zraniteľnosti, možné dopady aj existujúce opatrenia. Až v takomto prepojení je možné presne identifikovať, ktoré aktíva sú najviac exponované, kde vznikajú slabé miesta a ktoré opatrenia sú rozhodujúce pre zachovanie prevádzky a dôveryhodnosti služieb. Bezpečnosť sa tak nerieši všeobecne, ale konkrétne, adresne a na základe skutočného významu jednotlivých aktív.

Najlepšie preverenie prichádza pri audite alebo incidente

Pri audite, kontrole alebo bezpečnostnom incidente sa veľmi rýchlo ukáže, či organizácia evidenciu aktív naozaj riadi alebo ju len formálne vedie. V takých situáciách sa opakovane vracajú tie isté otázky: čo bolo dotknuté, kto za to zodpovedá, aké riziká boli s aktívom spojené a aké opatrenia boli zavedené. Organizácia, ktorá má evidenciu aktív vedenú systematicky a priebežne aktualizovanú, dokáže tieto odpovede poskytnúť rýchlo, vecne a bez zbytočného chaosu. To skracuje reakčný čas, zvyšuje dôveryhodnosť voči audítorom aj vedeniu a zároveň vytvára pevný základ pre ďalšie zlepšovanie bezpečnosti.

Nie je to len téma pre IT, ale pre vedenie organizácie

Z pohľadu vedenia organizácie je dôležité, aby evidencia aktív nebola vnímaná ako technická tabuľka spravovaná izolovane v IT. Vedenie by malo mať istotu, že každé významné aktívum má určeného vlastníka, že jeho hodnota a priorita boli stanovené podľa reálneho významu pre organizáciu, že riziká sú viazané na konkrétne aktíva a že opatrenia zodpovedajú ich dôležitosti. Rovnako podstatné je, aby bola evidencia aktuálna a použiteľná nielen pri bežnom riadení, ale aj pri incidente, audite a strategickom rozhodovaní.

Záver

Evidencia aktív patrí medzi najpraktickejšie a zároveň najčastejšie podceňované nástroje kybernetickej bezpečnosti. Ak je nastavená správne, nepredstavuje len prehľad o majetku, systémoch a službách. Tvorí základ pre riadenie rizík, určovanie priorít, nastavovanie opatrení aj preukazovanie zodpovedného prístupu organizácie. Bezpečnosť preto nezačína technológiami. Začína tým, že organizácia vie, čo používa, kto za to zodpovedá a čo je pre jej fungovanie skutočne kritické.