Wartość organizacji a bezpieczeństwo informacji

Wartość organizacji a bezpieczeństwo informacji
Kilka lat temu jednostki prowadzące działalność gospodarczą w Polsce
(w sektorze publicznym i prywatnym) nie zwracały szczególnej uwagi na
wartość informacji jakimi dysponowały.
W związku z powyższym bezpieczeństwo informacji nie było dla polskich
przedsiębiorstw priorytetem, a nierzadko podchodziły do tej tematyki po
macoszemu. Pojęcie Bezpieczeństwa informacji identyfikowane było z
zamkniętymi drzwiami biura, zamykaną na klucz szafą, alarmem
antywłamaniowym oraz gaśnicą. Istotna dokumentacja, w postaci
papierowej, składowano w szafach, sejfach, chronionych siedzibach, a
najistotniejsze w bankach. Tradycyjne sposoby zabezpieczeń nie podlegały
wnikliwej analizie w zakresie zaistnienia możliwych zagrożeń i były
dostosowane do zagrożeń fizycznych przede wszystkich pochodzących z
zewnątrz. Cyfryzacja oraz popularyzacja Internetu przyczyniły się do
powstania potrzeby zmiany podejścia do bezpieczeństwa informacji.
Informacja stała się jedną z wartości najbardziej cenionych w biznesie.
Rozwój technologii informacyjnej spowodował, że większość informacji
występuje w formie elektronicznej i przechowywana jest na
elektronicznych nośnikach danych. Organizacje są świadome jaką wartość
niosą informacje, stąd też priorytetem jest zapewnienie ich
bezpieczeństwa.
Popularność zyskują systemy zarządzania bezpieczeństwem informacji.
Informacje podlegają klasyfikowaniu, możliwe zagrożenia podlegają
analizie, dlatego dostosowuje się do nich właściwe narzędzia w celu
ochrony. Oszacowanie wartości informacji jest trudne, natomiast
bezsprzeczna jest teza, że pozyskana informacja, szczególnie chroniona
przed konkurencją, może być przyczyną poważnych strat finansowych dla
ich właściciela. W związku z tym szeroko pojmowana własność
intelektualna i know-how, strategie biznesowe będące tajemnicami
przedsiębiorstwa, a jednocześnie elementami budującymi przewagę
konkurencyjną stanowią informacje szczególnie strzeżone.
Należy zwrócić uwagę, że uporządkowany obieg dokumentów w działaniu
przedsiębiorstwa wpływa na oszczędność czasu i usprawnienie
funkcjonowania jednostki. Ważne to jest z punktu widzenia procesu
redukowania kosztów. Proces zastępowania dokumentu papierowego w
postać elektroniczną jest nieunikniony i w przyszłości wszystkie firmy,
urzędy i innego rodzaju jednostki będą stosować e-dokumenty.
Ochrona przed nadszarpnięciem czy utratą renomy motywuje podmioty
podejmujące się zapewnienia odpowiedniego zabezpieczenia posiadanych
informacji. Wzrost świadomości co do wartości informacji niesie za sobą
wzrost również świadomości potrzeby zapewnienia jej ochrony.
[Wybierz datę]
Zagrożenie bezpieczeństwa informacji
Brak reguł zapewniających bezpieczeństwo funkcjonujących w danym
podmiocie informacji, zaniechania w tym obszarze mogą spowodować
ujawnienie lub utratę informacji. Zdarzenia te mogą nastąpić również w
wyniku nieuczciwych praktyk podmiotów zewnętrznych. W przypadku, gdy
pozyskanie informacji, których źródła są niedostępne jest niezgodne z
przepisami prawa mamy do czynienia ze szpiegostwem gospodarczym.
Informacje objęte ochroną prawną lub fizyczną stanowią cel, do którego
pozyskania stosuje się niejawne, nielegalne, często noszące znamiona
przestępstwa metody. Mając na uwadze fakt, że większość informacji
występuje w postaci cyfrowej, istotnym ryzykiem dla zachowania
bezpieczeństwa informacji jest działalność cyberprzestępców.
Popularyzacja Internetu, przy równoległym zapewnieniu anonimowości,
odpowiada za działalność przestępczą o charakterze kryminalnym lub
ekonomicznym, w tym powiązanych z kradzieżą poufnych informacji.
Przedsiębiorstwa borykają się z przestępstwami takimi jak hacking
(nieuprawnione uzyskiwanie informacji), czy sniffing (podsłuch
komputerowy), jak również przełamywanie zabezpieczeń, czy malware
(złośliwe oprogramowanie).
Proces wdrożenia zabezpieczeń skutkujący ochroną informacji zapobiega
powstawaniu odpowiedzialności cywilnej, związanej z naruszeniem lub
ujawnieniem interesów klientów/kontrahentów, jak również ponoszeniu
szkód finansowych. Większość powyższych przypadków związane jest z
brakiem przepisów odnoszących się do zapewnienia ochrony informacji i
posiadania odpowiednich do nich narzędzi. W szczególności zagrożenia
łączy się z pracownikami średniego szczebla, mających dostęp do
ważniejszych, a nierzadko strategicznych informacji. Stąd też można
wysnuć tezę, że największym zagrożeniem dla bezpieczeństwa informacji
jest człowiek. Najbardziej zaawansowane technicznie systemy mogą
zostać skompromitowane przez świadomą lub nieświadomą działalność
człowieka. Najczęściej wykorzystywane są prywatne konta poczty e-mail
pracowników, które często nie podlegają zabezpieczeniom sieci firmowej.
Dostęp do prywatnego konta e-mail przy wykorzystaniu służbowego
komputera skutkuje tym, że możliwe niebezpieczne załączniki mogą
znaleźć się na serwerach firmowych z obejściem całej bazy zabezpieczeń.
Kolejnym problemem stanowią podejmowane próby zainfekowania
wewnętrznej sieci danego podmiotu za pomocą nośników fizycznych,
takich jak pendrive, czy też inny nośnik danych. Człowiek działający
świadomie, znający reguły funkcjonowania zastosowanego systemu
bezpieczeństwa informacji, może podjąć próby doprowadzenia do
ujawnienia lub kradzieży informacji podlegających ochronie.
Sposoby zabezpieczeń
W przedsiębiorstwach często wykorzystuje się właściwe zapisy o
charakterze prawnym w stosunku do zapewnienia ochrony informacji.
Najczęściej stosuje się klauzule zamieszczone w umowach o pracę (zakaz
konkurencji, obowiązek zachowania poufności), czy w umowach zawartych
z kontrahentami. Przedstawione zabezpieczenia o właściwym kształcie
prawnym wpływa „prewencyjnie”, sygnalizuje następstwa niedopełnienia
zobowiązań przez pracowników czy kontrahentów, a także daje możliwość
lub usprawnia dochodzenia roszczeń przed sądem.
Istotne jest funkcjonowanie szczegółowo opracowanych zasad procesu
1
[Wybierz datę]
przechowywania archiwizacji dokumentacji w formie tradycyjnej i cyfrowej
oraz dostępu osób upoważnionych do danych informacji. Popularność
zyskują systemy zarządzania bezpieczeństwem informacji, m.in. ISO/IEC
27001, norma o zasięgu międzynarodowym standaryzującą systemy
zarządzania bezpieczeństwem informacji.
Postęp uświadomił nam, że informacja stanowi jeden z najcenniejszych
aktywów, wystawionych na niebezpieczeństwo, w których wirus czy
złośliwe oprogramowanie nie są jedynymi narzędziami działania
przestępców. Coraz częściej wykorzystuje się socjotechniki, skłaniające
nas, aby za pomocą wiadomości e-mail, odwiedzić jego stronę internetową
lub odczytać przesłane załączniki. Skutkuje to przejęciem haseł i
zabezpieczeń, ujawnieniem lub kradzieżą informacji, a także
zahamowaniem funkcjonowania naszej działalności.
Norma ISO27001, jak i inne normy związane z zapewnieniem ochrony
informacji wskazuje na cztery obszary bezpieczeństwa:
1. Bezpieczeństwo użytkowników
Zagrożenia wewnętrzne, jak i zewnętrzne równoważą się. Cyberprzestępcy
posługując się pracownikami chcąc przechwycić dostęp do informacji
poufnych, wykorzystując socjotechnikę i podejmując próby zainfekowania
stacji roboczych, jako narzędzie pozyskania pozostałej bazy danych.
Zabezpieczenie w tym zakresie, winno polegać na kontroli uprawnień,
zapewnienie ochrony przez uruchamianiem niedozwolonego
oprogramowania, a także systemy monitoringu zachowań pracowników
przetwarzających dane. Daje to podstawę do ich rozliczenia w razie
postępowań sądowych.
2. Bezpieczeństwo danych
Chroniąc dane należy przeanalizować, które informacje dla nas są
najważniejsze. Wiedza gdzie i jakimi informacjami dysponujemy oraz
przetwarzamy, umożliwia nam ich ochronę, co uchroni nas przed ich
utratą. Gwarantuje również pełną kontrolę, przestrzeganie przez
pracowników opracowanych wewnętrznych reguł porządkujące zagadnienia
przepływu i dostępu do danych, przekazując jednocześnie kompleksową
wiedzę mającą związek z podejmowanymi próbami złamania polityki
bezpieczeństwa danych. Uzupełnieniem tego typu rozwiązań jest edukacja
z zakresu bezpieczeństwa. Świadomość jest ważnym elementem w razie
postępowania odszkodowawczego.
3. Bezpieczeństwo aplikacji i infrastruktury
Stanowią istotę kontynuacji procesów biznesowych. Niezawodne działanie
systemu i aplikacji umożliwia rozwój firmy, natomiast przerwa w
funkcjonowaniu, będąca skutkiem praktyk cyberprzestępców powoduje
wzrost poniesionych wydatków w tym zakresie.
4. Informatyka śledcza
Stanowi dopełnienie standardowych narzędzi ochrony informacji.
Stosowana po incydencie, określająca motywy i przebieg danego
zdarzenia. W razie posądzenia pracownika lub zajścia incydentu
powiązanego z ochroną informacji można skorzystać z pomocy
profesjonalnych firm. Edukacja daje możliwość zdobycia dowodów,
akceptowanych przez sąd. Podstawą takiego działania jest także audyt o
2
[Wybierz datę]
charakterze prawnym umów zawartych z pracownikami w ramach
dochodzenia żądań w sądzie. Postęp technologiczny umożliwia kradzież
danych lub unieruchomienie systemu w ważnych postępowaniach
biznesowych, np. przetargi on-line.
Zapewnienie ochrony przed zagrożeniami wymusza konieczność
odstąpienia od wdrożonych prostych zabezpieczeń, w formie
bezskutecznych systemów antywirusowych, do takich, które
przeciwdziałają ryzyku. Podejście to należy brać pod uwagę podejmując
decyzje biznesowe.
Opracowanie procedur i standardów wewnętrznych, a także zwiększenie
świadomości pośród pracowników powinno minimalizować ryzyko i
wystąpienia zdarzenia. Wiedza w zakresie właściwej ochrony posiadanych
aktywów od strony informatycznej i prawnej jest już rozpowszechniona,
stąd też należy spełniać przyjętą tezę.
3
[Wybierz datę]
Cezary Stanek – ekspert z zakresu kontroli
zarządczej i ochrony danych osobowych,
wykładowca, audytor.
Wieloletni praktyk z kontroli zarządczej oraz
specjalista w zakresie postępowania
z ryzykiem, a w szczególności identyfikacji
ryzyka w administracji samorządowej
oraz ocenie prawidłowości i skuteczności zastosowanych
środków w zakresie ochrony przetwarzanych danych
osobowych.
Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku
Administracja Samorządowa oraz Podyplomowych Studiów Ochrony
Danych Osobowych Wydział Prawa i Administracji Uniwersytetu
Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w
zakresie ochrony danych osobowych oraz ekspert KRI.
Pasjonat wdrożeń systemów zarządzania oraz dostosowywania
procedur by były użyteczne i proste. Wdrożeniowiec systemy
ograniczającego odpowiedzialność dla administratorów danych oraz
pracowników – Kryptos24.
Inne umiejętności:
• audytor wewnętrzny systemów zarządzania bezpieczeństwem,
• główny specjalista bezpieczeństwa i higieny pracy,
Zapraszam do odwiedzenia naszej strony www.eszkolenie.eu
SELENE CONSULTING
Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa
Aleja Józefa Piłsudskiego 10a
44-335 Jastrzębie-Zdrój
tel.: 665-242-474
e-mail: [email protected]
4