10 najčastejších bezpečnostných rizík, ktoré môže odhaliť bezpečnostný audit

30. 10. 2023

ČLÁNKY

10 najčastejších bezpečnostných rizík, ktoré môže odhaliť bezpečnostný audit

Bezpečnostný audit je proces zisťovania a odhaľovania bezpečnostných rizík v systéme ochrany osôb a majetku [1]. Bezpečnostný audit vykonávajú odborníci, ktorí presne kvalifikujú a kvantifikujú hrozby a riziká ohrozujúce chránený záujem [2] auditovanej jednotky.

Profesionálne vykonaný audit napomáha efektívne znižovať náklady na ochranu osôb a majetku auditovanej jednotky, vytvára dobrý predpoklad ochrany obchodného tajomstva[3] a napomáha budovaniu dobrej povesti auditovanej jednotky.

Výkon bezpečnostného auditu sa zameriava na celý rad relevantných skutočností akými sú napr:

počet chránených osôb,
hodnota chráneného majetku oceniteľná peniazmi,
počet osôb, ktoré prichádzajú do styku s chráneným záujmom,
možnosť úmyselného poškodenia majetku,
riziko krádeže,
pasívne a aktívne odpočúvanie,
poloha, umiestnenie a zabezpečenie majetku,
technické poruchy v systéme zabezpečenia,
ľudský faktor (vedomostná zložka, výcvik, školenie),
vyhodnotenie miery rizika ohrozenia chráneného záujmu (malá, stredná a veľká).

V nasledovných bodoch sú uvedené najčastejšie bezpečnostné riziká, ktoré môže bezpečnostný audit odhaliť:

1. Nedostatočná ochrana objektu z hľadiska fyzickej a technickej ochrany

Ide o prípad nedostatočnej alebo žiadnej ochrany [4] objektu prostredníctvom osôb poverených výkonom fyzickej ochrany, resp. o prípad nedostatočného zabezpečenia objektu zabezpečovacím systémom[5], poplachovým systémom [6] alebo iným technickým prostriedkom[7].

Oblasti, v ktorých sú často zistené nedostatočné technické zabezpečenia objektov sú nasledovné:

- nevhodne umiestnené prvky zabezpečovacieho systému,
- nefunkčné elektronické zámky,
- poškodené mechanické zábrany,
- poškodené mreže, bezpečnostné dvere, turnikety,
- neaktualizované systémy kontroly vstupov a neaktualizované systémy slúžiace na elektronické preukazovanie totožnosti),
- nevhodne navrhnutý poplachový systém
- necitlivé detekčné prvky, tiesňové systémy, hlásiče narušenia
- nevhodné navrhnutá kamerová zostava v rámci uzatvoreného televízneho okruhu (zlé umiestnenie kamery, absencia nočného videnia, neefektívna orientácia kamery.

2. Nevyhovujúce reakčné postupy v prípade narušenia chráneného záujmu

Čiastočná alebo úplná neprítomnosť „živej sily“ v podobe osôb poverených výkonom fyzickej ochrany vytvára priestor na predĺženie reakčného času fyzickej ochrany, ktorý je potrebný na vykonanie zásahu[8] proti narušiteľovi objektu. Uvedená skutočnosť negatívne vplýva na možnosť zabrániť ďalším hroziacim škodám a na možnosť obmedzenia osobnej slobody osoby, ktorá ohrozila alebo porušila chránený záujem. Podobná situácia môže nastať aj v prípadoch, ak posudzovaná organizácia nemá vypracované postupy pre prípad výskytu bezpečnostných hrozieb, iných ako určujú všeobecne záväzné právne predpisy na úseku ochrany zdravia pri práci[9] a protipožiarne predpisy [10].

3. Riziká v dopravnom systéme

Tu môže ísť o nebezpečné úseky, kde je vysoké riziko útoku alebo krádeže, nedostatočné osvetlenie prístupových ciest alebo nedostatočné zabezpečenie parkovacích miest. Napríklad, ak sú parkovacie miesta umiestnené v temných a izolovaných oblastiach, môže to zvýšiť riziko krádeže alebo dokonca útoku na zamestnancov či návštevníkov.

4. Nezabezpečená preprava finančných prostriedkov

Prípad prepravy finančných prostriedkov bez adekvátnej ochrany[11], predstavuje významné bezpečnostné riziko pre organizácie. Bez správneho zabezpečenia môže dôjsť k značnej

finančnej strate v dôsledku krádeže alebo lúpeže, pričom pri takomto protiprávnom konaní sa zamestnanci auditovanej spoločnosti môžu stať objektami priameho fyzického ohrozenia.

5. Nedostatočné kybernetické zabezpečenie

Ďalším rizikom je nedostatočné kybernetické zabezpečenie. Ak sú systémy zabezpečenia zastarané, alebo ak existujú slabé miesta v sieťovej infraštruktúre, môže to vytvoriť priestor pre kybernetické útoky. Kybernetická bezpečnosť[12] je v súčasnosti jednou z najdôležitejších oblastí bezpečnosti, pretože kybernetické útoky môžu mať pre organizácie ďalekosiahle a vážne následky. Následky kybernetických útokov môžu spôsobiť stratu dôvernosti údajov, zničenie údajov, narušenie integrity systému alebo ohrozenie bezpečnosti informácií.

6. Chyby v kontrolnej činnosti

Ak sú kontroly pri príchode alebo odchode osôb z chráneného objektu nedostatočné alebo neefektívne, môže dôjsť k neoprávnenému vstupu do chráneného objektu. Kontroly osôb, ktoré vstupujú do chráneného objektu by mali byť zamerané na to, aby vstup do objektu bol umožnený iba oprávneným osobám. Kontrolná činnosť v chránenom objekte by mala byť príslušnými režimovými opatreniami upravená tak, aby sa aj v mimopracovnom čase vykonávala kontrola pracoviska so zameraním na zisťovanie prítomnosti osôb v chránenom objekte. Kontrola priestorov vyplýva právnickým aj fyzickým osobám okrem iného aj z príslušných všeobecných záväzných platných noriem o požiarnej prevencii[13].

7. Nesprávne nastavené režimové opatrenia

Režimové opatrenia, ktoré určujú vstup osôb, vjazd vozidiel do chráneného objektu, rovnako aj ich odchod a výjazd, podmienky pohybu osôb a dopravných prostriedkov, povolený čas strávený v chránenom objekte, spôsob používania mobilných telefónov a iných technických zariadení v chránenom objekte, to všetko sú faktory, ktoré vplývajú na úroveň zabezpečenia objektu. Racionálnym nastavením bezpečnostných opatrení v pracovnom aj mimopracovnom čase sa značne eliminuje bezpečnostné riziko auditovanej jednotky, dochádza k úspore finančných prostriedkov, ktoré podnikateľ vynakladá na ochranu priorizovaných záujmov a dochádza k optimálnemu bezpečnostnému riešeniu, ktoré obsahuje prvky fyzickej a technickej bezpečnosti.

8. Nedostatočné školenie zamestnancov

Nesprávne, neúplne vyškolení zamestnanci v oblasti bezpečnosti, zvýšujú riziko vzniku bezpečnostných hrozieb. Ľudský faktor je častým zdrojom bezpečnostných hrozieb, preto je dôležité, aby zamestnanci mali dostatok vedomostí a zručností v oblasti bezpečnosti. Zamestnanec je osoba, ktorá má často prvú informáciu o hroziacom alebo prebiehajúcom útoku na chránený záujem podnikateľa. Nesprávnym vyhodnotením informácie, jej podcenením, nespracovaním a neoznámením často dochádza k zbytočným stratám v majetkovej sfére podnikateľa. Môže ísť o prípad nenahlásenia jednoduchých informácií o poškodenom zámku, vypnutom poplašnom systéme, premiestnení nábytku, zapnutých stolných počítačoch, hlásení o pokuse preniknúť do informačného systému, neoprávnenom použití dopravného prostriedku atď.

9. Neprimerane nastavené prístupové práva

Uvedené riziko sa týka neprimerane nastavených prístupových práv do vybraných miestností, dopravných prostriedkov, k vybraným technológiám alebo do informačných systémov. Príliš voľne nastavené prístupové práva, uľahčujú neoprávnený prístup k chráneným priestorom, technológiám a citlivým údajom. Je dôležité, aby boli nastavené tak, aby zamestnanci mali prístup výhradne len do priestorov, technológiám a informáciám, ktoré sú nevyhnutné pre vykonávanie ich práce.

10. Nedostatočná pravidelná kontrola a aktualizácia systémov

Veľmi častým rizikom je tiež nedostatočná pravidelná kontrola a aktualizácia bezpečnostných systémov (zabezpečovacích, poplachových, a iných technických - kamery). Ak sa bezpečnostné systémy pravidelne nekontrolujú a neaktualizujú, môže to vystaviť organizáciu riziku z dôvodu zastaraných alebo nesprávne fungujúcich zabezpečovacích zariadení. Je dôležité, aby organizácie pravidelne prehodnocovali a aktualizovali svoje bezpečnostné systémy, aby zabezpečili ich efektívnosť a spoľahlivosť.

Zmena kódových nastavení a hesiel sa vykonáva po inštalácii nových zabezpečovacích alebo poplachových systémov a iných technických prostriedkov, táto zmena je žiadúca po každej zmene zamestnancov, ktorí poznajú kódové nastavenia alebo heslá, alebo vždy, keď sa vyskytlo ohrozenie chránenej osoby alebo chráneného objektu. Odporúča sa kódové nastavenia a heslá sa ukladať u určenej osoby.

Riziká môžu byť rôzne a závisia od konkrétnej situácie a prostredia. Bezpečnostný audit je významným nástrojom, ktorý pomáha identifikovať tieto riziká a navrhnúť adekvátne riešenia pre ich elimináciu alebo aspoň minimalizáciu.

Kvalitne vykonaný bezpečnostný audit by mal byť preto súčasťou každej organizácie, ktorá chce chrániť svoj majetok a zamestnancov pred možnými hrozbami. Jeho význam sa v súčasnej dobe ešte viac zvyšuje, pretože svet je čoraz viac prepojený a digitálny, čo so sebou prináša aj nové typy rizík a bezpečnostných výziev pre zodpovedné podnikanie.

[1] Napr. § 3 písm. h) (vypracúvanie plánu ochrany) a § 4 písm. f) (získavanie údajov o protiprávnom konaní ohrozujúcom obchodné tajomstvo) zákona č. 473/2005 Z.z. o poskytovaní služieb v oblasti súkromnej bezpečnosti a o zmene a doplnení niektorých zákonov (zákon o súkromnej bezpečnosti) v znení neskorších predpisov (ďalej len “zákon o súkromnej bezpečnosti”)

[2] Chránený záujem môže predstavovať napr. život a zdravie chránených osôb, alebo majetok, ktorý má byť predmetom ochrany, chráneným záujmom môže byť i dodržiavanie poriadku na mieste zhromažďovania osôb atď., vo všeobecnosti možno povedať, že chráneným záujmom môže byť čokoľvek, čo neodporuje všeobecne záväzným právnym predpisom a dobrým mravom

[3] § 17 a nasl. Obchodného zákonníka

[4] § 48 a nasl. zákona o súkromnej bezpečnosti

[5] § 8 písm. g) zákona o súkromnej bezpečnosti

[6] § 8 písm. h) zákona o súkromnej bezpečnosti

[7] § 8 písm. i) zákona o súkromnej bezpečnosti

[8] § 8 písm. f) zákona o súkromnej bezpečnosti

[9] Napr. zákon č. 124/2006 Z.z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

[10] Napr. vyhláška Ministerstva vnútra Slovenskej republiky č. 121/2002 Z.z. o požiarnej prevencii

[11] § 48 a nasl. zákona o súkromnej bezpečnosti

[12] Podľa § 3 písm. h) zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov sa kybernetickou bezpečnosťou rozumie stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov

[13] Podľa § 11 ods. 2 vyhlášky Ministerstva vnútra Slovenskej republiky č. 121/2002 Z.z. o požiarnej prevencii poverené osoby vykonávajú pravidelné obchôdzky v objektoch a v priestoroch právnickej osoby a podnikajúcej fyzickej osoby; prvú obchôdzku vykonávajú bezprostredne po odchode zamestnancov z pracoviska po skončení pracovnej zmeny a ďalšie obchôdzky v čase určenom v písomnom pokyne štatutárnym orgánom právnickej osoby, podnikajúcej fyzickej osoby alebo jej zodpovedným zástupcom

Autor: D.I.SEVEN^®

Nastavení používání cookiesCookie settingsCookies EinstellungSetări cookie

Na webových stránkách používáme soubory cookies. Pro některé účely zpracování je vyžadován Váš souhlas, který vyjádříte volbou "Přijmout". Nastavení Cookies můžete změnit volbou "Zobrazit detaily".We use cookies on the website. For some processing purposes, your consent is required, which you will express by selecting "Accept". You can change the Cookie settings by selecting "More details".Diese Webseite verwendet Cookies. Für bestimmte Bearbeitungszwecke ist Ihre Einwilligung notwendig, der Verwendung von Cookies stimmen Sie mit der Auswahl "Bestätigen" zu. Um Ihre Einstellungen zu ändern, klicken Sie bitte auf "Einstellung".Website-ul foloseste cookie-uri. Pentru unele scopuri de prelucrare date este necesar consimțământul dumneavoastră, pe care îl veți exprima selectând "Accept". Puteți modifica setările cookie selectând "Mai multe detalii".Na webových stránkach používame súbory cookies. Na niektoré účely spracovania je vyžadovaný Váš súhlas, ktorý vyjadríte voľbou "Prijať všetko". Nastavenie Cookies môžete zmeniť voľbou "Nastavenia".

Nastavení cookies

Na webových stránkách používáme soubory cookies. Využíváme soubory cookies služby Google Analytics, při které mohou být Vaše osobní údaje odeslány do třetích zemí a tam zpracovány, což může mít vyšší rizika pro Vaše práva a svobody. Kliknutím na volbu „Povolit vše“ udělujete souhlas využívat všechny typy souborů cookies.

Své preference nastavení cookies vyjádříte zaškrtnutím pole a kliknutím na volbu „Povolit výběr“ (vyjádření souhlasu se zpracováním).

Nastavenie súkromia

My a vybrané tretie strany používame súbory cookies a podobné technológie na: poskytovanie a zlepšovanie online služieb; analýzu toho, ako sa naše služby používajú; poskytovanie funkcií sociálnych médií; zobrazovanie relevantného obsahu, produktov, služieb a reklamy pre vás. Naše používanie súborov cookies môže zahŕňať spracúvanie osobných údajov, ako je IP adresa či iné online identifikátory na právnom základe: zmluva, zákon, súhlas (ktorý máte právo kedykoľvek odvolať), oprávnený záujem (proti ktorému máte právo kedykoľvek namietať). Pri spracúvaní osobných údajov a zlepšovaní našich služieb spolupracujeme s tretími stranami, ktoré sa môžu nachádzať mimo EHP. Ďalšie informácie nájdete v našich Podmienkach spracúvania cookies.

Svoje preferencie nastavenia cookies vyjadríte zaškrtnutím poľa a kliknutím na voľbu „Povoliť výber“ (vyjadrenie súhlasu so spracovaním).

Cookie settings

We use cookies on the website. We use cookies from the Google Analytics service, during which your personal data may be sent to third countries and processed there, which may have higher risks for your rights and freedoms. By clicking on the "Accept all" option, you give your consent to use all types of cookies.

You can express your cookie settings preferences by checking the box and clicking on the "Accept selected" option.

Cookies Einstellung

Diese Webseite verwendet Cookies von Google Analytics. Bei der Analyse können Ihre persönliche Angaben in Dritt-Länder übertragen und dort bearbeitet werden. Dies kann für Ihre Rechte und Freiheit ein erhöhtes Risiko bedeuten. Indem Sie auf die Auswahl „Alles bestätigen“ klicken, stimmen Sie der Verwendung von allen Cookies zu.

Ihre eigenen Cookies können Sie durch Auswahl „Auswahl bestätigen“ einstellen.

Setări cookie

Website-ul foloseste cookie-uri. Folosim cookie-uri de la serviciul Google Analytics, timp în care datele dumneavoastră cu caracter personal pot fi trimise în țări terțe și prelucrate acolo, ceea ce poate prezenta riscuri mai mari pentru drepturile și libertățile dumneavoastră. Făcând clic pe opțiunea "Accept toate", vă dați acordul pentru utilizarea tuturor tipurilor de cookie-uri.

Vă puteți exprima preferințele privind setările cookie-urilor bifând caseta și făcând clic pe opțiunea "Accept selectat".

Technické súbory cookies (nie je možné meniť)
Tieto súbory cookies sú nevyhnutné na zabezpečenie základnej funkčnosti webových stránok

Technické soubory cookies (nelze měnit)
Tyto soubory cookies jsou nezbytné pro zajištění základní funkčnosti webových stránek

Technical cookies (cannot be changed)
These cookies are necessary to ensure the basic functionality of the website

Technisch notwendige Cookies
Diese Cookies ermöglichen grundlegende Funktionen der Webseite und können nicht deaktiviert werden.

Cookie-uri tehnice (nu pot fi modificate)
Aceste cookie-uri sunt necesare pentru a asigura funcționalitatea de bază a site-ului web

Analytické soubory cookies
Tyto soubory cookies analyzují návštěvnost webových stránek a na co nejvíce návštěvníci klikají.

Analytické súbory cookies
Tieto súbory cookies analyzujú návštevnosť webových stránok a na čo najviac návštevníci klikajú.

Analytical cookies
These cookies analyze website traffic and click on as many visitors as possible.

Analytische Cookies
Diese Cookies ermöglichen die Analyse der Nutzung von der Webseite und Benutzersverhaltens.

Cookie-uri analitice
Aceste cookie-uri analizează traficul site-ului și dau clic pe cât mai mulți vizitatori.

Marketingové soubory cookies
Tyto soubory cookies se používají pro sledování návštěvníků na webových stránkách. Záměrem je zobrazit reklamu, která je relevantní a zajímavá pro jednotlivého uživatele a tímto hodnotnější pro vydavatele a inzerenty třetích stran.

Marketingové súbory cookies
Tieto súbory cookies sa používajú na sledovanie návštevníkov na webových stránkach. Zámerom je zobraziť reklamu, ktorá je relevantná a zaujímavá pre jednotlivého používateľa a týmto hodnotnejšia pre vydavateľa a inzerentov tretích strán.

Marketing cookies
These cookies are used to track visitors to the website. The intent is to show an ad that is relevant and interesting to the individual user and thus more valuable to third-party publishers and advertisers.

Marketing Cookies
Diese Cookies wurden zum Verfolgung von Besuchern der Webseite zwecks personalisierter Online-Werbung, die relevant und interessant für einzelne Nutzer und damit wertvoll für Drittanbieter und Interessenten ist.

Cookie-uri de marketing
Aceste cookie-uri sunt folosite pentru a urmări vizitatorii site-ului web. Intenția este de a afișa un anunț care este relevant și interesant pentru utilizatorul individual și, prin urmare, mai valoros pentru editorii și agenții de publicitate terți.