Czy dane w Twojej firmie są bezpieczne?

0

Początek roku jest dobrym momentem nie tylko na układanie planów rozwoju przedsiębiorstwa na najbliższych 12 miesięcy, ale i na przegląd stosowanych do tej pory rozwiązań. W dobie rosnących zagrożeń teleinformatycznych warto przede wszystkim sprawdzić, czy przechowywane przez nas informacje są bezpieczne – być może warto zastanowić się nad zmianą stosowanych procedur lub zmienić oprogramowanie zabezpieczające? Dobre decyzje na tym etapie uchronią nas przed poważnymi konsekwencjami w przyszłości.

Każda firma powinna zadbać o całościową ochronę przechowywanych danych. Chodzi nie tylko o zainstalowanie oprogramowania antywirusowego na wszystkich komputerach i serwerach, ale również o tworzenie kopii zapasowych cennych danych, czy ich ochronę przed wyciekiem. Wiele firm błędnie zakłada, że program antywirusowy to wszystko, czego potrzebują. Obecnie przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom – począwszy od hakerów, którzy usiłują wykraść dane kart kredytowych, poprzez pracowników, którzy przypadkowo tracą poufne dane, do klęsk żywiołowych, które mogą uszkodzić serwery z zapisanymi informacjami o klientach. Wielopoziomowe podejście do zagadnień bezpieczeństwa jest zatem niezwykle ważne.

Najważniejszy pierwszy krok – audyt bezpieczeństwa
Ocenę stopnia zabezpieczeń stosowanych w każdej firmie należy rozpocząć od audytu bezpieczeństwa. Jego efektem powinien być całościowy raport audytorski, który ułatwi menedżerom wyższego szczebla lub zarządowi przedsiębiorstwa zrozumienie realnych potrzeb działu IT, a co za tym idzie – ujęcie odpowiednich środków na jego działanie w budżecie firmy. Ważne jest uświadomienie sobie, że audyt nie jest wyłącznie domeną dużych firm. Powinien być przeprowadzony w każdym przedsiębiorstwie, bez względu na jego wielkość. Dziś bowiem poufne dane stały się na tyle istotne, że ich utrata może mieć istotne konsekwencje finansowe dla firmy, które będą równać się dużej części rocznych przychodów firmy.

Podstawowym zadaniem audytu jest wskazanie obszarów, które funkcjonują poprawnie oraz takich, które wymagają usprawnień z punktu widzenia bezpieczeństwa informacji. Dodatkowym celem audytu może być uzyskanie certyfikatu, poświadczającego odpowiedni poziom bezpieczeństwa danych w firmie. W takim wypadku należy być jednak przygotowanym na cykl takich przeglądów.

Warto, aby audytem zajął się niezależny specjalista, a nie pracownicy działu IT w firmie. Dział IT, monitorując codziennie pracę firmowego systemu, może nie zauważyć wielu słabych punktów, które z łatwością dostrzeże doświadczony audytor. Przed przystąpieniem do pracy, osoba ta powinna otrzymać pełny zestaw informacji na temat danych, które są dla firmy szczególnie ważne, a więc ich ochrona powinna być wzmożona. Ważne jest również zebranie w jednym raporcie wszelkich wydarzeń z przeszłości, istotnych dla bezpieczeństwa danych, np. wszelkiego rodzaju ataków za pomocą kodu destrukcyjnego (wirusy, robaki, konie trojańskie), wycieków danych itp. Pozwoli to audytorowi na dokładne zaplanowanie swojej pracy oraz określenie celów, jakie powinny zostać osiągnięte za pomocą przeglądu bezpieczeństwa danych.

Procedura przede wszystkim
Raport po wykonanym audycie jest znakomitym punktem wyjścia do utworzenia dokumentu, który powinien stać się podstawą ochrony danych w firmie, a jego przestrzeganie egzekwowane wśród pracowników. Chodzi o politykę bezpieczeństwa teleinformatycznego, czyli wytyczne dla ochrony danych w przedsiębiorstwie.

W dokumencie tym powinny znaleźć się informacje dotyczące zarówno codziennego postępowania, jak i zachowań w obliczu zagrożenia bezpieczeństwa danych. Polityka bezpieczeństwa ma stanowić wręcz przewodnik i zestaw dobrych praktyk, które ograniczą do minimum możliwość utraty danych.

Przygotowując taki dokument, możemy choćby skategoryzować firmowe dane i podzielić je na powszechnie dostępne oraz poufne. Dla każdej grupy danych ustalimy inne reguły postępowania oraz opiszemy, który z pracowników i na jakich zasadach może mieć do nich dostęp. Powinniśmy też określić zasady, np. tworzenia kopii zapasowych, korzystania z serwisów społecznościowych w czasie pracy czy wynoszenia danych poza firmę.

Ostatni z powyższych punktów może mieć niebagatelne znaczenie. Jak wynika z badań, prawie 60 proc. pracowników polskich firm i instytucji wynosi służbowe dane poza miejsce pracy bez zgody pracodawcy. Ponadto, jeden na czterech badanych przyznał, że korzysta w pracy z serwisów społecznościowych, mimo że pracodawca wyraźnie tego zabrania. Musimy pamiętać, że każde przenoszenie danych zawsze będzie się wiązać z narażeniem ich na dodatkowe niebezpieczeństwo, np. utratę lub kradzież. Szczególnie, że jedna trzecia ankietowanych przyznaje się do wynoszenia informacji z biura na niezabezpieczonych pamięciach USB.

Obliczanie ryzyka
Dla zobrazowania kosztów, na jakie może być narażone przedsiębiorstwo, które nie zabezpieczy odpowiednio komputerów i baz danych, specjaliści firmy Symantec przygotowali darmową aplikację w postaci „Kalkulatora ryzyka”. Konsekwencje przestojów systemów IT mogą być naprawdę poważne: przedsiębiorstwo korzystające na stałe z 20 komputerów, o rocznych przychodach w wysokości 1 mln zł, jest narażone na straty w wysokości 75 tys. zł i 35 godzin roboczych w skali roku.

Autor: Maciej Iwanicki, inżynier systemowy w firmie Symantec Polska

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ