Pomimo stale rosnącej świadomości dotyczącej konieczności ochrony informacji, wiele firm kojarzy ten proces z dużymi nakładami finansowymi, nowoczesnymi technologami i drogim sprzętem. Oczywistym jest, że firmy z branży informatycznej, telekomunikacyjnej czy bankowej, w których główna działalność opiera się o rozbudowane systemy informatyczne, przetwarzające ogromne ilości danych nakłady na bezpieczeństwo informacji i zabezpieczenia systemów będą bardzo duże, zapewnienie bezpieczeństwa na odpowiednio wysokim poziomie wymagane jest od nich również przez nadzorców rynku.

Dziś chcielibyśmy przedstawić kilka praktycznych rad i rozwiązań, od których powinno zacząć się budować system bezpieczeństwa informacji w organizacji  i przekonać, że koszty z tym związane nie muszą być wysokie.

Niedawno prezentowaliśmy artykuł poświęcony socjotechnice, w którym staraliśmy się uzmysłowić, że nie wszystkie ataki i próby naruszenia bezpieczeństwa informacji zaczynają się od włamania do systemów informatycznych. Od dawna mówi się, że największym zagrożeniem dla bezpieczeństwa informacji jest człowiek. Dlatego proces budowy systemu zarządzania bezpieczeństwa informacji należy zacząć od budowania świadomości.

Normy ISO z grupy 27000 dotyczące bezpieczeństwa informacji wprowadzają w tym obszarze podział na cztery kategorie: bezpieczeństwo organizacyjne, bezpieczeństwo osobowe, bezpieczeństwo fizyczne oraz bezpieczeństwo teleinformatyczne. Kierując się tym podziałem można zbudować system ochrony informacji w każdej oragnizacji. W tym artykule szczególną uwagę poświęcimy pierwszym trzem kategoriom.

Bezpieczeństwo organizacyjne to nic innego jak sformalizowane pisemne procedury i zasady dostępne dla wszystkich członków organizacji, określające sposoby zachowania  w konkretnych sytuacjach, rodzaje informacji i metody ich ochrony. Przykładami takich dokumentów są: Polityka Bezpieczeństwa Informacji czy Polityka Ochrony Danych Osobowych. Ważnym jest aby tworzone regulacje odzwierciedlały rodzaj  i specyfikę działania danej organizacji. W internecie można znaleźć wiele gotowych dokumentów z tego obszaru ale przed skorzystaniem z nich warto jest się zastanowić czy odpowiadają one naszym potrzebom, tworzenie procedur, które będą oderwane od rzeczywistości, w której funkcjonuje organizacja spowoduje tylko powstanie martwych zapisów, które nie będą mogły być realnie stosowane. Bezpieczeństwo organizacyjne to również Umowy o zachowaniu poufności podpisywane przez pracowników oraz kontrahentów, z którymi zawieramy umowy o współpracy. Umowa taka zawsze określa informacje, które bezwzględnie podlegają ochronie, stanowią tajemnice przedsiębiorstwa i jego know-haw czyli najczęściej to, co daje organizacji przewagę konkurencyjną i nie powinno zostać ujawnione. Umowy tego rodzaju precyzują także zakres odpowiedzialności w przypadku naruszenia zapisów umowy oraz wskazują kary finansowe z tytułu naruszenia.

Bezpieczeństwo osobowe to innymi słowy ludzie, którzy mają realny wpływ na bezpieczeństwo i nawet najlepiej napisane procedury jeżeli nie będą miały zrozumienia w pracy każdej osoby w organizacji, to nie przyniosą rezultatu. Budowanie świadomości bezpieczeństwa w pracownikach to jedna z kluczowych zasad bezpieczeństwa informacji. Podnoszenie świadomości i tworzenie kultury organizacyjnej nastawionej na konieczność ochrony informacji to sposób do sukcesu. Wprowadzenie prostych zasad takich jak: zasada czystego biurka, która mówi o konieczności przechowywania istotnych dokumentów w zamkniętych szafach i nie pozostawiania ich w widocznych miejscach na stanowisku pracy, zasady ochrony haseł do systemów i nie pozostawiania ich w łatwo dostępnych miejscach, często spotykamy hasła przyklejone do monitorów komputerowych bądź do spodu klawiatury. Zasady dotyczące trwałego niszczenia dokumentów np. za pomocą niszczarek.

Kolejnym elementem jest bezpieczeństwo fizyczne składające się na strefy bezpieczeństwa i kontrole dostępu oraz monitoring. Każdy pracownik w organizacji ma określoną funkcję, do której przypisany jest zakres jego zadań, kierując się zakresem zadań możemy założyć do jakich pomieszczeń powinien mieć możliwy dostęp. Obecnie większość firm stosuje karty dostępu dla pracowników ale większość z nich wykorzystuje je jedynie do kontroli czasu pracy, a takie karty można również po odpowiednim zaprogramowaniu wykorzystać jako przepustki do odpowiednich stref dostępu. Zdecydowana większość firm stosuje monitoring wizyjny, jednakże samo zamontowanie systemu kamer to nie wszystko, warto zwracać uwagę na to, co dana kamera ma nam pokazywać i co zarejestrować w razie potrzeby. Kilkukrotnie mając okazję rozmawiać z Kolegami zajmującymi się audytami bezpieczeństwa fizycznego spotkałam się z opinią, że o ile firma była wyposażona w system monitoringu często bardzo nowoczesnego, to okazywało się, że zapisy z kamer bywał bezużyteczny bo kamery były ustawione w taki sposób, że nie rejestrowały najbardziej istotnych miejsc lub w prosty sposób można było zasłonić jej pole widzenia np. przez pozostawienie otwartych drzwi do pomieszczenia.

Ostatnim elementem jest bezpieczeństwo teleinformatyczne inaczej bezpieczeństwo systemów informatycznych. Bezpieczeństwo informacji często kojarzone jest tylko z tym elementem i koniecznością inwestycji dużych nakładów finansowych. Nie zawsze jednak musi tak być, jeżeli działalność firmy nie opiera się tylko i wyłącznie na sprawnym i niezakłóconym działaniu systemów, za pomocą których świadczymy usługi Klientom to sposób ich zabezpieczania będzie inny niż w przypadku firm których funkcjonowanie opartej jest tylko i włączenie o takie systemy. Chyba nikt nie jest wstanie wyobrazić sobie w obecnych czasach sprawnego działania Banku bez systemów informatycznych. Ponieważ bezpieczeństwo teleinformatyczne jest bardzo rozległą dziedziną, której można by poświęcić kilka osobnych artykułów, tylko pokrótce przytoczę kilka podstawowych zasad jakie można wykorzystać w tym obszarze.  Pierwszą z takich zasad jest wymóg stosowania bezpiecznych haseł, dodatkowo można wymagać od użytkowników systematycznej zmiany haseł, która będzie wymuszana przez system, co określoną ilość dni. Inną ważną zasadą jest stosowanie loginów przypisanych do konkretnych osób, korzystanie z jednego loginu przez więcej niż jedną osobę powinno być niedopuszczalne, ponieważ uniemożliwia to kontrolę nad działaniami wykonywanymi w systemach. Większość systemów informatycznych dostępnych na rynku bez problemu pozwoli na takie nimi zarządzanie aby wprowadzić powyższe zasady do funkcjonowania organizacji.

Powyższe rozwiązania mogą w prosty sposób pomóc i zachęcić do dbania o bezpieczeństwo informacji w każdej organizacji.  Jeszcze raz należy podkreślić, że zawsze należy zaczynać od budowania świadomości dlatego jako firma zajmująca się tym obszarem zapraszamy na Konferencję "Kreator Bezpieczeństwa - potrzeby i możliwości", która odbędzie się w dniach 19-20 stycznia 2017 r. w Warszawie, na której postaramy się przedstawić jeszcze więcej rozwiązań pozwalających kompleksowo zadbać o ten obszar.

Jeżeli zainteresował Państwa ten temat, zachęcamy do zapoznania się z informacjami o wydarzeniu dostępnymi pod adresem: http://successpoint.pl/kreator_bezpieczenstwa

Monika Kamińska
Specjalista ds. bezpieczeństwa informacji i danych osobowych