Pet korakov do odpornega podjetja (1/5)
6. jul. 2026
Upravljanje informacijske infrastrukture
Pet korakov do odpornega podjetja (1/5): najprej morate vedeti, kaj sploh ščitite
Prvi del poletne serije o kibernetski varnosti
Večina podjetij v kibernetsko varnost vlaga na napačen način. Ne zato, ker bi kupila slaba orodja ali najela napačne ljudi, ampak zato, ker varnostne ukrepe postavlja, preden ima jasno sliko, kaj sploh ima. Požarni zid pred nepopisano infrastrukturo je kot alarm na hiši, za katero ne veste, koliko ima vrat.
Zato začenjamo serijo o kibernetski odpornosti tam, kjer se vsaka resna obramba dejansko začne. Pri popisu. V naslednjih petih izdajah vas bomo skozi poletje peljali skozi pet korakov, ki jih lahko podjetje izvede ne glede na velikost ali panogo. Vsak korak gradi na prejšnjem, zato priporočamo, da jih spremljate po vrsti.
| Korak 1: Popis sredstev in podatkov |
| Ne morete zaščititi nečesa, za kar ne veste, da obstaja. Cilj prvega koraka je preprost na papirju in zahteven v praksi: izdelati seznam vsega, kar v podjetju nosi vrednost ali tveganje. Strežniki, prenosniki, mobilne naprave, poslovne aplikacije, podatkovne baze, oblačne storitve, dostopi zaposlenih in dostopi zunanjih partnerjev. |
Zakaj prav popis in zakaj zdaj
Slovenska podjetja se letos prvič v večjem številu srečujejo z zahtevami Zakona o informacijski varnosti (ZInfV-1), ki v naš pravni red prenaša evropsko direktivo NIS2. Rok za doseženo skladnost za pomembne subjekte je 19. december 2026, kar pomeni, da poletje ni čas za odlašanje. Eden prvih konkretnih ukrepov, ki ga regulator pričakuje, je prav evidenca informacijskih sredstev in ocena tveganj. Brez popisa torej ni mogoče dokazati niti tega, da obvladujete lastno okolje.
Pri tem se pogosto pokaže neprijetna resnica. Podjetja imajo v povprečju precej več digitalnih sredstev, kot mislijo. Stara testna okolja, ki še vedno tečejo. Oblačne naročnine, ki jih je nekdo aktiviral pred leti. Dostopi bivših zaposlenih, ki nikoli niso bili ukinjeni. Vsaka od teh pozabljenih točk je odprta pot za napadalca.
Kako se popisa lotiti praktično
Popis razdelite na štiri sklope in ga obravnavajte kot živ dokument, ne kot enkratno opravilo:
| Strojna oprema |
Strežniki, delovne postaje, prenosniki, mobilne naprave, omrežna oprema. Kdo jo uporablja in kje fizično je. |
| Programska oprema |
Poslovne aplikacije, ERP, oblačne storitve, licence. Katere verzije tečejo in katere niso več vzdrževane. |
| Podatki |
Kje so osebni podatki strank, finančni podatki, intelektualna lastnina. Kako so razvrščeni po občutljivosti. |
| Dostopi |
Kdo ima dostop do česa. Zaposleni, zunanji izvajalci, sistemski računi, integracije med aplikacijami. |
Ko je seznam pripravljen, vsakemu sredstvu pripišite poslovno vrednost in oceno, kako kritično je za delovanje podjetja. Tako boste v naslednjih korakih vedeli, kje začeti. Vsega namreč ni mogoče zaščititi enako, zato je smiselno energijo najprej usmeriti tja, kjer bi izpad ali vdor podjetje najbolj prizadel.
| Prepogosta napaka: popis nastane v Excelu, se enkrat izpolni in nato nikoli več ne posodobi. Okolje podjetja se spreminja tedensko, zato določite odgovorno osebo in ritem posodabljanja. Evidenca, ki je stara pol leta, je v primeru incidenta skoraj neuporabna. |
Kaj sledi
Ko enkrat veste, kaj imate in kaj je za vas najbolj kritično, lahko začnete graditi obrambo. V naslednji izdaji se bomo posvetili drugemu koraku, ki naslavlja najpogostejši vstopni vektor sodobnih napadov: dostope in identitete. Govorili bomo o tem, zakaj geslo samo po sebi danes ne zadošča več in kako z razmeroma majhnim vložkom odpravite večino tveganj, povezanih s krajo poverilnic.
Če bi radi pri popisu sredstev in oceni tveganj imeli ob strani nekoga, ki je to izpeljal v podjetjih vaše velikosti, se oglasite. Skupaj postavimo evidenco, ki ne bo le ustrezala zahtevam ZInfV-1, ampak vam bo resnično koristila pri vsakodnevnem odločanju.
Kontaktirajte nas >