Týká se nás všech? Ano, někdo informační bezpečnost řeší dokonce každý den. K jakým informacím nechcete, aby se nepovolaná osoba dostala? Co třeba PIN k Vaší platební kartě, heslo k e-mailu nebo přístupové údaje k internetovému bankovnictví?
Je zřejmé, že potřeba chránit informace se netýká pouze našeho profesního prostředí, ale také našich osobních informací. Ochrana informací je totiž více než soubor organizačních a technických opatření, je to způsob, jakým myslíme a zejména jak se chováme.
Vraťme se přeci jen na půdu našeho zaměstnání či podniku a podívejme se na jak zjistit, které informace jsou pro nás opravdu důležité. Každá oblast činnosti je regulována a dohledována nějakým nadřízeným orgánem, například u finančních institucí je to Česká národní banka (ČNB). ČNB vydává požadavky na zajištění bezpečnosti informací, které jsou závazné pro finanční instituce. Hlavním záměrem opatření a nařízení vydávané ČNB, je zajistit očekávanou úroveň služeb pro klienty finančních institucí v České republice. Neodmyslitelnou vlastností jakékoliv služby (například možnost si vybrat hotovost z bankomatu, nebo na pobočce dané finanční instituce) je její dostupnost, tedy jistota toho, že služba je dostupná v době, kdy ji chceme využít. Obdobně si každý regulátor svou oblast reguluje dle potřeb, které reflektují specifika dané regulované oblasti.
Dostupnost je jen jednou ze tří vlastností informací, kterou v rámci bezpečnosti informací musíme zajišťovat a vymáhat. Další dvě oblasti jsou důvěrnost a integrita. Důvěrnost je vlastností, kdy se k chráněné informaci dostanou pouze oprávnění lidé – uživatelé (např. náš PIN k platební kartě) a integrita je jistota, že informace mají správnou vypovídací hodnotu (např. výpis zůstatku na našem účtu ukazuje správnou částku). Nicméně, žádná ochrana není stoprocentní. V dnešní době útočníci již neútočí přímo na informační systémy, ale jejich, mnohdy nejslabší místa, jejich uživatele. Některé způsoby útoku na nás jsou totiž založeny na znalosti některých informací, které můžeme o sobě sdělovat my samy, například na sociálních sítích. Statistiky naznačují, že většina útoků na prostředí firem je v dnešní době vedena přes uživatele, nikoliv útoky na ICT infrastrukturu (zdroj https://aag-it.com/the-latest-cyber-crime-statistics/). Znamená to tedy, že pouze odpovědný a neustálý přístup ke vzdělávání uživatelů je nejlepší prevencí pro zajištění bezpečnosti informací. Vzdělávání uživatelů je však jednou, nikoliv však jedinou cihlou v pomyslné ochranné zdi oddělující vnější a vnitřní svět jakékoliv organizace.
Ať už jde o útoky v podobě snahy o odcizení naší identity, nebo jiné snahy uvést nás v omyl ve snaze dostat z nás citlivé informace, všechny pokusy mají stejný cíl a totiž naše citlivé a chráněné informace. Stejně jako se chováme obezřetně k informacím v zaměstnání, měli bychom se chovat k informacím i v našem osobním životě, a naopak.
Obecně je tedy mylnou představou, že jakmile opustíme prostory našeho zaměstnavatele, můžeme se chovat méně obezřetně v rámci ochrany informací. Je také mylnou představou to, že v zaměstnání si můžeme „dovolit“ v systémech operace, které bychom doma na svém osobním počítači neprováděli. Tato mylná představa má kořeny v přesvědčení, že přeci prostředí našeho zaměstnavatele je lépe chráněné než naše domácí prostředí.
Jak již bylo řečeno, informační bezpečnost je souborem organizačních a technických opatření vhodně zvolených na základě kontextu organizace a pravidelně prováděných analýz rizik, dopadů a auditů informační bezpečnosti. V ochraně informací bychom neměli polevovat, spíše bychom měli neustále objevovat svá slabá místa. Jen tak svým proaktivním přístupem můžeme minimalizovat útočníkovu příležitost zmocnit se dat našich osobních, nebo dat našeho zaměstnavatele.