Informačni bezpečnost podniku
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
P
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta podnikatelská
Abstract
Kvalitní zabezpečení citlivých dat a klíčových aktiv se dnes stává pro firmu jakéhokoliv zaměření a velikosti naprostou nutností. Historie vývoje informační bezpečnosti začala především v prostředí velkých organizací, které zpracovávaly značné množství dat. Je logické, že právě větší a často bohatší firmy měly dostatek prostředků na investice do zabezpečení svých aktiv. Kromě toho, poměrně velké procento malých a středních firem má o svém informačním zabezpečení poněkud mylné informace. Stále více útočníků se zaměřuje na organizace střední velikosti, které jsou nedostatečně chráněny a je daleko snazší se dostat k jejich citlivým datům. Malé a střední firmy se často brání zavádění certifikovaných norem. Důvodem je obava z přílišné formální administrativy, která je u certifikací často vyžadována a která je především u malých firem zbytečná a zatěžující. U organizací střední velikosti (50-250 zaměstnanců) je už jistá administrativa spojená s informační bezpečností nutností. Zaměstnanci se podobně jako u malých firem většinou osobně znají, ale již zde existuje určitá míra anonymity, která může být impulsem k tomu, že někteří zaměstnanci se budou snažit bezpečnostní procedury obcházet, zejména, když nebudou přesně definovány a jejich dodržování nebude pravidelně kontrolováno. Závisí na více okolnostech, zda je pro danou organizaci vhodnější certifikace nebo zavedení vlastní interní metodiky pro bezpečnost informací. Metodika vyvážené informační bezpečnosti, kterou se zabývá tato dizertace, je navrhována především pro malé a střední firmy. Jejím cílem je definovat nejdůležitější a naprosto nutná kritéria informační bezpečnosti tak, aby celý systém splňoval podmínku určitého komplexního řešení dané problematiky. Na druhou stranu se snaží minimalizovat administrativní zátěž pro tyto organizace, což je, jak bylo výše zmíněno, jedním z hlavních důvodů, proč firmy zastávají odmítavý postoj k nejvíce rozšířeným certifikacím. Metodika definuje čtyři hlavní oblasti systému řízení informační bezpečnosti podniku. Její součástí je audit, který stanoví, na jaké kvalitativní úrovni se nachází řešení informační bezpečnosti jednotlivých oblastí v podniku. Pokud je některá ze studovaných oblastí shledána nedostatečně chráněnou, jsou nabízena efektivní opatření, jak tuto situaci vylepšit. Konečným řešením je stav systému, kdy všechny klíčové oblasti informační bezpečnosti organizace jsou na odpovídající úrovni a celý systém se dá považovat za vyvážený.
Quality security of sensitive data and key assets becomes now a question of absolute necessity for a company of any size and orientation. History of evolution of information security began particularly in environment of large organizations, that processed a large amount of data. It is logical that it was larger and richer companies which often have sufficient resources to invest in the security of their assets. Moreover, relatively large percentage of small and medium-sized businesses have about the security of its information somehow faulty ideas. More and more attackers are focusing on mid-sized organizations, which are insufficiently protected and they find it much easier to get to their sensitive data. Small and medium-sized companies are often preventing the implementation of certified standards. The reason is the fear of heavy formal administration, which is often required for certification, but is mainly for small businesses unnecessary and burdensome. For medium-sized organizations (50-250 employees), the certain administration associated with information security is a necessity. Employees, as in small businesses, are familiar with each other, but already there is a certain degree of anonymity, which may trigger the fact that some employees will not respect security procedures, especially if they are not precisely defined, and compliance will not be regularly checked. It depends on several circumstances, whether the certification is appropriate for the organization or the establishment of their internal methodology for information security. Methodology of balanced information security, which is the subject of this article is primarily proposed for small and medium-sized businesses. Its aim is to define the most important and absolutely necessary criteria for information security so that the system meets the requirements of a comprehensive solution of the issue. On the other hand, it seeks how to minimize the administrative burden for these organizations, which is, as mentioned above, one of the main reasons, why companies hold a negative attitude to the most widespread certifications. The methodology identifies four main areas of information security management system in a company. It includes an audit which specifies the quality level of particular areas of information security in the organization. If any of the studied areas is found insufficiently protected, effecitve measures are offered to improve the situation. The ultimate solution is a condition of a system where all the key areas of information security management of the organization are at the appropriate level and the system can be considered balanced.
Quality security of sensitive data and key assets becomes now a question of absolute necessity for a company of any size and orientation. History of evolution of information security began particularly in environment of large organizations, that processed a large amount of data. It is logical that it was larger and richer companies which often have sufficient resources to invest in the security of their assets. Moreover, relatively large percentage of small and medium-sized businesses have about the security of its information somehow faulty ideas. More and more attackers are focusing on mid-sized organizations, which are insufficiently protected and they find it much easier to get to their sensitive data. Small and medium-sized companies are often preventing the implementation of certified standards. The reason is the fear of heavy formal administration, which is often required for certification, but is mainly for small businesses unnecessary and burdensome. For medium-sized organizations (50-250 employees), the certain administration associated with information security is a necessity. Employees, as in small businesses, are familiar with each other, but already there is a certain degree of anonymity, which may trigger the fact that some employees will not respect security procedures, especially if they are not precisely defined, and compliance will not be regularly checked. It depends on several circumstances, whether the certification is appropriate for the organization or the establishment of their internal methodology for information security. Methodology of balanced information security, which is the subject of this article is primarily proposed for small and medium-sized businesses. Its aim is to define the most important and absolutely necessary criteria for information security so that the system meets the requirements of a comprehensive solution of the issue. On the other hand, it seeks how to minimize the administrative burden for these organizations, which is, as mentioned above, one of the main reasons, why companies hold a negative attitude to the most widespread certifications. The methodology identifies four main areas of information security management system in a company. It includes an audit which specifies the quality level of particular areas of information security in the organization. If any of the studied areas is found insufficiently protected, effecitve measures are offered to improve the situation. The ultimate solution is a condition of a system where all the key areas of information security management of the organization are at the appropriate level and the system can be considered balanced.
Description
Citation
KRÁL, D. Informačni bezpečnost podniku [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2010.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Řízení a ekonomika podniku
Comittee
prof. Ing. Mária Režňáková, CSc. (předseda)
doc. Ing. Josef Dobřický, CSc. (člen)
prof. Ing. Petr Dostál, CSc. (člen)
doc. Ing. Vladimír Chalupský, CSc., MBA (člen)
prof. Ing. Vojtěch Koráb, Dr., MBA (člen)
doc. Ing. Marek Zinecker, Ph.D. (člen)
prof. Ing. Jiří Dvořák, DrSc. (člen)
prof. Ing. Emil Svoboda, CSc. (člen)
Date of acceptance
2010-07-02
Defence
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení