Każda firma powinna zadbać o całościową ochronę przechowywanych danych. Chodzi nie tylko o zainstalowanie oprogramowania antywirusowego na wszystkich komputerach i serwerach, ale również o tworzenie kopii zapasowych cennych danych czy ich ochronę przed wyciekiem.

Wiele firm błędnie zakłada, że program antywirusowy to wszystko, czego potrzebują. Obecnie przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom – począwszy od hakerów, którzy usiłują wykraść dane kart kredytowych, poprzez pracowników, którzy przypadkowo tracą poufne dane, do klęsk żywiołowych, które mogą uszkodzić serwery z zapisanymi informacjami o klientach. Wielopoziomowe podejście do zagadnień bezpieczeństwa jest zatem niezwykle ważne.

Najważniejszy pierwszy krok – audyt bezpieczeństwa

Ocenę stopnia zabezpieczeń stosowanych w każdej firmie należy rozpocząć od audytu bezpieczeństwa. Jego efektem powinien być całościowy raport audytorski, który ułatwi menedżerom wyższego szczebla lub zarządowi przedsiębiorstwa zrozumienie realnych potrzeb działu IT, a co za tym idzie – ujęcie odpowiednich środków na jego działanie w budżecie firmy. Ważne jest uświadomienie sobie, że audyt nie jest wyłącznie domeną dużych firm. Powinien być przeprowadzony w każdym przedsiębiorstwie, bez względu na jego wielkość. Dziś bowiem poufne dane stały się na tyle istotne, że ich utrata może mieć istotne konsekwencje finansowe dla firmy, które będą równać się dużej części rocznych przychodów firmy.

Podstawowym zadaniem audytu jest wskazanie obszarów, które funkcjonują poprawnie oraz takich, które wymagają usprawnień z punktu widzenia bezpieczeństwa informacji. Dodatkowym celem audytu może być uzyskanie certyfikatu poświadczającego odpowiedni poziom bezpieczeństwa danych w firmie. W takim wypadku należy być jednak przygotowanym na cykl takich przeglądów.

Warto, aby audytem zajął się niezależny specjalista, a nie pracownicy działu IT w firmie. Dział IT, monitorując codziennie pracę firmowego systemu, może nie zauważyć wielu słabych punktów, które z łatwością dostrzeże doświadczony audytor. Przed przystąpieniem do pracy osoba ta powinna otrzymać pełny zestaw informacji na temat danych, które są dla firmy szczególnie ważne, a więc ich ochrona powinna być wzmożona. Ważne jest również zebranie w jednym raporcie wszelkich wydarzeń z przeszłości, istotnych dla bezpieczeństwa danych, np. wszelkiego rodzaju ataków za pomocą kodu destrukcyjnego (wirusy, robaki, konie trojańskie), wycieków danych itp. Pozwoli to audytorowi na dokładne zaplanowanie swojej pracy oraz określenie celów, jakie powinny zostać osiągnięte za pomocą przeglądu bezpieczeństwa danych.

Procedura przede wszystkim

Raport po wykonanym audycie jest znakomitym punktem wyjścia do utworzenia dokumentu, który powinien stać się podstawą ochrony danych w firmie, a jego przestrzeganie egzekwowane wśród pracowników. Chodzi o politykę bezpieczeństwa teleinformatycznego, czyli wytyczne dla ochrony danych w przedsiębiorstwie.

W dokumencie tym powinny znaleźć się informacje dotyczące zarówno codziennego postępowania, jak i zachowań w obliczu zagrożenia bezpieczeństwa danych. Polityka bezpieczeństwa ma stanowić wręcz przewodnik i zestaw dobrych praktyk, które ograniczą do minimum możliwość utraty danych.

Przygotowując taki dokument, możemy choćby skategoryzować firmowe dane i podzielić je na powszechnie dostępne oraz poufne. Dla każdej grupy danych ustalimy inne reguły postępowania oraz opiszemy, który z pracowników i na jakich zasadach może mieć do nich dostęp. Powinniśmy też określić zasady, np. tworzenia kopii zapasowych, korzystania z serwisów społecznościowych w czasie pracy czy wynoszenia danych poza firmę.

Ostatni z powyższych punktów może mieć niebagatelne znaczenie. Jak wynika z badania „Ryzyko w sieci” wykonanego na zlecenie firmy Symantec, prawie 60 proc. pracowników polskich firm i instytucji wynosi służbowe dane poza miejsce pracy bez zgody pracodawcy. Ponadto jeden na czterech badanych przyznał, że korzysta w pracy z serwisów społecznościowych, mimo że pracodawca wyraźnie tego zabrania. Musimy pamiętać, że każde przenoszenie danych zawsze będzie się wiązać z narażeniem ich na dodatkowe niebezpieczeństwo, np. utratę lub kradzież. Szczególnie, że jedna trzecia ankietowanych przyznaje się do wynoszenia informacji z biura na niezabezpieczonych pamięciach USB.

Obliczanie ryzyka

Dla zobrazowania kosztów, na jakie może być narażone przedsiębiorstwo, które nie zabezpieczy odpowiednio komputerów i baz danych, specjaliści firmy Symantec przygotowali darmową aplikację w postaci Kalkulatora ryzyka. Konsekwencje przestojów systemów IT mogą być naprawdę poważne: przedsiębiorstwo korzystające na stałe z 20 komputerów, o rocznych przychodach w wysokości 1 mln zł, jest narażone na straty w wysokości 75 tys. zł i 35 godzin roboczych w skali roku. Kalkulator dostępny jest pod adresem: www.emea.symantec.com/info/SB_risk_calculator/pl/pl/

Maciej Iwanicki

Autor jest inżynierem systemowym w firmie Symantec Polska, gdzie pracuje od 2006 roku. Zajmuje się przede wszystkim kwestią bezpieczeństwa serwerów oraz stacji końcowych, zabezpieczeniami antyspamowymi oraz rozwiązaniami dla ochrony danych przed wyciekiem.