V oblasti kybernetické bezpečnosti se často hovoří o hrozbách, útocích a ochraně dat. Ještě předtím, než lze cokoli chránit, je však nutné mít přehled o tom, co vlastně organizace vlastní nebo používá. A právě zde vstupuje do hry Asset Management, tedy správa aktiv. Možná nezní tak dramaticky jako „ransomware“ nebo „phishing“, ale ve skutečnosti tvoří jeden z nejzásadnějších pilířů každé bezpečnostní strategie.
Co je Asset Management?
Asset Management představuje proces identifikace, sledování a správy všech technologických prostředků, které organizace vlastní nebo ke kterým má přístup. Může se jednat o fyzická zařízení – servery, pracovní stanice, tiskárny – stejně jako o digitální aktiva, jako jsou software, přístupové účty, cloudové služby nebo kryptografické klíče.
V kontextu kybernetické bezpečnosti hraje správa aktiv klíčovou roli při ochraně infrastruktury. Umožňuje totiž:
znát všechna IT aktiva,
mít přehled o tom, kdo a jak k nim přistupuje,
pochopit jejich hodnotu a míru citlivosti,
nastavit adekvátní úroveň ochrany.
Proč je správa aktiv tak důležitá?
Pokud má být IT infrastruktura chráněna před kybernetickými hrozbami, je nutné nejprve znát její kompletní rozsah. Bez důkladné správy aktiv hrozí, že některé systémy nebo zařízení zůstanou mimo dohled – a právě tyto „slepé skvrny“ bývají často cílem útočníků.
Zabezpečení nelze budovat na základě domněnek. Zapomenutý server, neaktualizovaná aplikace nebo neregistrované zařízení představují potenciální vstupní body pro kybernetické útoky.
Jak Asset Management přispívá k bezpečnosti?
Efektivní správa aktiv umožňuje organizacím:
včas identifikovat zranitelná nebo neautorizovaná zařízení,
lépe řídit aktualizace a opravy (patch management),
přesně reagovat na bezpečnostní incidenty díky znalosti zasažených aktiv,
sledovat a spravovat přístupová práva,
dodržovat zákonné a regulatorní požadavky (např. GDPR, ISO 27001, NIS2).
Jinými slovy: nemůžete chránit něco, o čem nevíte, že existuje.
Co by měla zahrnovat kvalitní správa aktiv?
Moderní Asset Management by měl pokrývat nejen hardware, ale i softwarová a datová aktiva. Kromě klasických zařízení, jako jsou počítače a servery, je nutné evidovat:
Mobilní zařízení včetně těch využívaných v režimu BYOD (Bring Your Own Device),
Softwarové licence a nainstalované aplikace,
Uživatelské účty, přístupové údaje a oprávnění,
Cloudové služby, virtuální servery a síťové prvky,
Kryptografické klíče, certifikáty a API tokeny.
Důležitá je nejen samotná evidence, ale i pravidelná aktualizace těchto informací, ideálně pomocí nástrojů, které proces automatizují a integrují s dalšími systémy organizace (např. antiviry, monitorovací platformy, identity management apod.).
Nepřetržitý proces, nikoliv jednorázová aktivita
Správa aktiv není jednorázový projekt, ale kontinuální proces. S každou změnou v infrastruktuře – ať už jde o nástup nového zaměstnance, nasazení nové aplikace nebo migraci do cloudu – se seznam aktiv mění. Bez jasné strategie a vhodných nástrojů může rychle vzniknout chaos, který komplikuje nejen správu IT, ale především jeho zabezpečení.
