Strzeż swoich informacji

Alina Treptow
opublikowano: 21-06-2010, 00:00

Ujawnienie strategicznych danych może zwiększyć zyski, ale i doprowadzić do poważnych kłopotów finansowych.

Błędy ludzi są najczęstszą przyczyną wycieku newralgicznych dla firmy danych

Ujawnienie strategicznych danych może zwiększyć zyski, ale i doprowadzić do poważnych kłopotów finansowych.

Informacja jest na rynku pożądanym produktem. Dla przedsiębiorców stanowi strategiczny element działalności, który należy zabezpieczyć.

— To, jakie informacje wymagają szczególnego zabezpieczenia, zależy od branży i rodzaju przedsiębiorstwa. I tak na przykład: w sektorze usług bankowych są to wszelkiego rodzaju kody dostępu do kont oraz dane osobowe i finansowe zarówno klientów detalicznych, jak i instytucjonalnych. A w obszarze nowych technologii szczególnie newralgiczna jest informacja o najnowszych rozwiązaniach — wymienia Artur Świątczak, regionalny kierownik sprzedaży z Bureau Veritas Certification Polska.

Zagrożeń jest wiele. Mogą one wynikać z nieprawidłowości wewnątrz firmy oraz zależeć od czynników zewnętrznych. Wśród tych, na które przedsiębiorca ma większy wpływ, Krzysztof Sierański, niezależny ekspert ds. zarządzania ryzykiem i bezpieczeństwem informacji, wymienia niedozwolone działania pracowników — zamierzone i przypadkowe, np. nieprawidłowe użytkowanie przenośnych nośników pamięci (pendrive, karty pamięci). Bardzo niebezpieczna jest niewiedza pracowników i brak zdefiniowanych wymagań dotyczących ochrony informacji. Wśród zewnętrznych zagrożeń wymienia przerwy w dostawie kluczowych usług, np. telekomunikacyjnych, ryzyko związane z włamaniami do sieci czy wirusami komputerowymi oraz związane z rodzajem wykorzystywanej technologii.

Błędy ludzi

Głównym zagrożeniem dla bezpieczeństwa informacji okazują się ludzie, a nie nowe, niesprawdzone technologie czy różnego rodzaju systemy informatyczne.

— Dwie trzecie incydentów dotyczących ujawnienia informacji osobom nieuprawnionym wynika z błędów ludzi. Zalicza się do nich np. rozmowa prowadzona przez telefon komórkowy w miejscu publicznym, pozostawienie dokumentów na kserokopiarce czy zagubienie poza miejscem pracy teczki z ważnymi dokumentami albo nośnika pamięci lub pozostawienie bez opieki laptopa. Zdarza się również, że pracownik celowo udostępnia informacje konkurencji — przestrzega Jacek Sadowski, kierownik sekcji systemów zarządzania bezpieczeństwem i higieną pracy oraz bezpieczeństwem informacji firmy TUV Rheinland Polska.

To, w jaki sposób można chronić informację w firmie, szczegółowo opisuje między innymi norma PN-ISO/IEC 27001 z 2005 r. Jest ona nie tylko najbardziej popularna, ale i najbardziej kompleksowa.

— Zgodnie z normą zarządzanie bezpieczeństwem informacji opiera się na analizie i ocenie ryzyka związanego z utratą poszczególnych zasobów informacyjnych oraz na podejmowaniu działań, które zmniejszają to ryzyko. Poza podejściem typowo systemowym (regularna aktualizacja analizy ryzyka czy audyty wewnętrzne) norma podaje również katalog zabezpieczeń, które przedsiębiorca może zastosować. Dotyczą one między innymi odpowiedniej polityki bezpieczeństwa, zarządzania aktywami oraz kontroli dostępu. Wprowadzenie systemu może polegać na zastosowaniu rozwiązań technicznych zabezpieczających informacje przed utratą lub nieuprawnionym dostępem. System powinien też uwzględniać rozwiązania organizacyjne (odpowiednie polityki, instrukcje, regulaminy) bądź działania związane z przeniesieniem ryzyka poza firmę (zlecenie pewnych czynności na zewnątrz, ubezpieczenie) — dodaje Jacek Sadowski.

Innym, trochę mniej popularnym standardem jest brytyjska norma BS 25999-2 określająca wymagania dla systemu zarządzania ciągłością działania. Jak podkreśla Krzysztof Sierański, koncentruje się ona na dostępności informacji. Dodaje, że nie można zapomnieć o przepisach prawa, które nakładają na przedsiębiorców określone obowiązki (ochrona danych osobowych, dostępność i integralność danych księgowych). W Polsce obowiązuje kilkadziesiąt aktów prawnych, które nakładają na firmy obowiązek zapewnienia bezpieczeństwa informacji.

Za ile

— Na koszty systemowego podejścia do informacji składa się kilka składników. Pierwszy to koszt wprowadzenia systemu zarządzania, (zależnie od wielkości organizacji — od kilkudziesięciu tysięcy złotych do kilku milionów). Drugi składnik to koszt wdrożenia zabezpieczeń (dostosowanych po poziomu ryzyka w organizacji — procedur, zabezpieczeń technicznych, organizacyjnych, zmiany w kontraktach z dostawcami itp.). Trzeci to koszt utrzymania systemu zarządzania poprzez monitorowanie, audyty oraz przeglądy. Czwarty to ewentualny koszt certyfikacji — czyli potwierdzenia przez niezależną jednostkę, że firma wdrożyła system zarządzania, który działa poprawnie. Ten składnik kosztuje kilka do nawet kilkuset tysięcy złotych — wylicza Krzysztof Sierański.

Korzyścią z wprowadzenia systemu zarządzania bezpieczeństwem informacji jest także wzrost jej wiarygodność wobec kooperantów. Korzystają na tym wszyscy.

— Zapewnione jest bezpieczeństwo danych klientów, udziałowców oraz współpracowników. Ponadto zmniejsza się ryzyko finansowe organizacji (minimalizacja wycieków informacji dotyczących kontraktów i ofert handlowych) — wskazuje Artur Świątczak.

Inwestując w bezpieczeństwo informacji, firma zabezpiecza się przed stratami i zapewnia sobie możliwość uzyskania dodatkowego dochodu. Sprawia ponadto, że w znacznie mniejszym stopniu na szwank narażona jest jej reputacja, której odbudowanie może być najtrudniejsze.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Alina Treptow

Polecane

Inspiracje Pulsu Biznesu