Analýza rizik - základní dotazník pro vyhodnocení

Přesvědčivě vypadající phising tvářící se jako zpráva z banky, poskytovatele hostingu anebo exekutora. Sociální inženýrství je způsob k získání neoprávněného přístupu k informacím a IT systémům prostřednictvím sociální akce. V sociálním inženýrství je zneužíváno lidských vlastností, jako je Např. vstřícnost, důvěra, strach nebo respekt k autoritě. V důsledku toho mohou být zaměstnanci zmanipulováni tak, že jednají nepřípustným způsobem.

Škodlivý software je software vyvinutý s cílem provedení nežádoucí a často škodlivé operace. Typické druhy škodlivého softwaru jsou viry, červy a trojské koně. Škodlivý software působí obvykle tajným způsobem, bez vědomí uživatele nebo jeho souhlasu.

Pro všechen software platí: čím je složitější, tím je větší pravděpodobnost, že dojde k chybě. Dokonce i po intenzivním testování ne všechny chyby jsou obvykle zjištěny před dodáním zákazníkovi. Pokud softwarové chyby nejsou zjištěny včas, mohou mít následné dalekosáhlé následky jako jsou například nesprávné výsledky výpočtů, špatná rozhodnutí na úrovni managementu nebo zpoždění workflow podnikových procesů.

V zásadě každé rozhraní IT systému zahrnuje nejen možnost legálně používat určité služby tohoto IT systému, ale také riziko neoprávněného přístupu k IT systému přes toto rozhraní.

Špionáž je definována jako útoky zaměřené na sběr, vyhodnocování a prezentaci informací o společnosti, lidech, produktech nebo jiných cílových objektech. Uvedené informace pak mohou být zneužity, například, s cílem poskytovat určité konkurenční výhody pro jinou společnost, k vydírání lidí, nebo k okopírování produktu. Kromě různých technicky složitých útoků, jsou často také mnohem jednodušší metody pro získávání cenné informace, například tím, že se spojí informace z různých veřejně dostupných zdrojů. Vzhledem k tomu, že důvěrná data často nejsou dostatečně chráněna, mohou být často zachyceny vizuální, akustickou nebo elektronickou cestou.

Existuje celá řada příčin, které mohou vést ke ztrátě zařízení, paměťových médií nebo dokumentů. Ale může to také znamenat, že důvěrné informace se dostanou do špatných rukou, pokud nebylo paměťové médium zcela šifrováno. Výměnou zařízení nebo paměťových médií vznikají náklady, obzvláště v případě, že se tak děje opakovaně a informace mohou být prozrazeny, nebo na tato media mohou být umístěny nežádoucí programy. Mobilní koncová zařízení a mobilní média pro ukládání dat mohou byt velice snadno ztracena. Dnes, na malých paměťových kartách, lze uložit gigantické množství dat. Nicméně, také se stává znovu a znovu, že vytištěné dokumenty jsou neúmyslně někde zapomenuty, například v restauracích nebo ve veřejné dopravě.

Bez vhodných mechanismů pro vstup, přístup a řízení přístupu, nelze neoprávněnému užívání zařízení a systémů prakticky ani zabránit ani ho detekovat. Základním mechanismem přístupu do IT systémů je identifikace uživatele a jeho ověřování. Ale i v oblasti IT systémů se silnými mechanizmy identifikace a autentizace je neoprávněný přístup stále myslitelný, v případě, že se odpovídající funkce zabezpečení (hesla, čipové karty, žetony, atd.) dostanou do nesprávných rukou. Také při přidělování a správě oprávnění může být uděláno mnoho chyb, například pokud jsou povolení udělena příliš liberálně, nebo je uděleno neautorizovaným osobám, nebo pokud nejsou pravidelně aktualizovány.

Nedostatek klíčových zaměstnanců může mít významný vliv na běh procesů organizace.

Pokud informace, software nebo používané zařízení pochází z nespolehlivých zdrojů, nebo jejichž původ a správnost nebyly dostatečně ověřeny, může jejich nasazení představovat vysoké riziko. To může vést k ukládání obchodních informací ve vadné databázi, může docházet k chybným výpočtům a následným nesprávným rozhodnutím. Také tím může být ovlivněna integrita a dostupnost IT systémů. Pokud jsou aktualizace nebo záplaty staženy a nainstalovány z nedůvěryhodných zdrojů, může to vést k nežádoucím vedlejším účinkům. Tím je zvýšená hrozba, že se IT systémy nakazí škodlivým kódem, pokud původ softwaru není ověřen.

V závislosti na rolích a úkolech, jsou lidem poskytovány odpovídající oprávnění a přístupová práva. Tímto způsobem je přístup k informacím, na jedné straně řízen a monitorován, a na druhé straně, lidé mohou vykonávat určité úkoly. Zneužití oprávnění nastane, když jsou záměrně legálně či nelegálně získané oprávnění použito mimo rozsah zamýšleného použití. Cílem je získat osobní prospěch, nebo poškodit konkrétní osobu či instituci.