Nie ma technologii, która byłaby w stanie zapewnić całkowitą ochronę firmowego środowiska IT. Dlatego menedżerowie działów informatycznych nie poprzestają na wdrażaniu systemów, dzięki którym łatwiej nie dopuścić do utraty danych. Ale opracowują również standardy, analizują ryzyko z uwzględnieniem tzw. czynnika ludzkiego i tworzą fizyczne zabezpieczenia pomieszczeń, w których przedsiębiorstwa przechowują wrażliwe informacji (np. instalacje przeciwwłamaniowe i przeciwpożarowe czy systemy kontroli dostępu). Tylko kompleksowe działania cechuje wysoka skuteczność.
![TAK BYĆ MUSI: W cyfrowym świecie opracowanie, wdrożenie i respektowanie polityki bezpieczeństwa informacji jest warunkiem podstawowym — mówi Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem w Deloitte. [FOT. TR]](http://images.pb.pl/filtered/2b46db4b-8dcf-4621-b4f6-c5568773c973/8aa68d4e-afdb-5234-9674-eb3131dd03ef_w_830.jpg "TAK BYĆ MUSI: W cyfrowym świecie opracowanie, wdrożenie i respektowanie polityki bezpieczeństwa informacji jest warunkiem podstawowym — mówi Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem w Deloitte. [FOT. TR]")
Zmiany wykluczają rutynę
— W powszechnej opinii ofiarami działających w sieci przestępców padają tylko korporacje, banki i instytucje finansowe. Tymczasem naruszenia danych mogą dotknąć nawet biznesowych mikrusów. Nikt dzisiaj nie jest bezpieczny — mówi Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem w Deloitte.
Jak uszczelniać firmową infrastrukturę? Zdaniem Krzysztofa Labiaka, administratora IT w spółce itelligence, odpowiedź zależy od wielu czynników, takich jak wielkość przedsiębiorstwa, zakres i specyfika działalności czy dostępność zasobów personalnych, technologicznych i finansowych.
— Warto korzystać z gotowych standardów w rodzaju ITSEC lub ISO 15408, które dość precyzyjnie określają podejście do bezpieczeństwa. Dodatkowo trzeba harmonizować swoje działania z przepisami obowiązującymi w danym kraju czy branży. Inne strategie stosuje się w placówkach medycznych, a inne w koncernach samochodowych czy bankach — wskazuje Krzysztof Labiak.
Wieloletnie doświadczenie w branży informatycznej i znajomość międzynarodowych norm niewątpliwie ułatwiają architektom bezpieczeństwa zadanie. Rutyna im jednak nie grozi. Powód? Metody, które sprawdzały się wczoraj, dzisiaj mogą być zupełnie nieefektywne. Powodem są ciągłe zmiany technologii i sposobów zarządzania danymi. A także to, że cyfrowi włamywacze stają się coraz bardziej przebiegli.
— Nie możemy stać w miejscu, kiedy świat idzie naprzód. Zapewnianie bezpieczeństwa to proces dynamiczny i ciągły, wymagający nieustannej nauki, elastyczności i niekonwencjonalnego podejścia — uważa specjalista itelligence.
Zagrożeń przybywa. Niektóre związane są z rosnącą popularnością urządzeń mobilnych i cloud computingu. Jeśli wierzyć badaniu przeprowadzonemu przez Fundację Bezpieczniejwsieci. org, firmowe dane w prywatnej chmurze przechowuje co czwarty ankietowany w Polsce. Najczęściej trafiają tam służbowe e-maile (51 proc.), robocze wersje dokumentów (38 proc.), zdjęcia, grafiki, tabele (31 proc.) oraz szablony dokumentów i prezentacji (30 proc.). Dane klientów, w tym dane kontaktowe, przetrzymuje w takich serwisach 16 proc. respondentów, a informacje finansowe, w tym wyniki firmy czy strategiczne wiadomości jak biznesplany — odpowiednio 9 i 8 proc. Zgodnie z badaniem TNS, około 44 proc. Polaków ma smartfona. Do 2015 r. będzie ich około 60 proc. Każde z tych urządzeń może być wykorzystywane również w celach firmowych. I nie ma w tym nic złego, jeśli przedsiębiorstwo zwiększy kontrolę nad tymi gadżetami. Jak się to robi w Polfie Tarchomin?
Producent leków z pomocą Integrated Solutions i Orange Polska wdrożył FancyFon FAMOC, system klasy MDM (mobile device management), pozwalający na wprowadzenie procedur zabezpieczających jak podwójne logowanie przy uruchamianiu sprzętu i pojedyncze przy jego „wybudzaniu”. Jeśli ktoś włoży do urządzenia nieprzypisaną mu kartę SIM, zostaną usunięte zapisane na nim dane i nastąpi automatyczne przywrócenie ustawień fabrycznych.
— Przedstawiciele medyczni Polfy mogą na tabletach instalować wyłącznie oprogramowanie pochodzące z własnego sklepu firmy. To jeszcze bardziej zwiększa bezpieczeństwo danych firmowych i urządzeń mobilnych — twierdzi Jarosław Modrzewski, dyrektor handlowy grupy produktowej w Integrated Solutions.
Czynnik ludzki najważniejszy
Procedury i technologie są ważne, ale najwięcej zależy od człowieka, jego podejścia i uczciwości. Dlatego nigdy dość przypominania pracownikom, jak powinni się zachowywać w cyfrowym świecie.
— Ważne, by w zapewnienie bezpieczeństwa informacji zaangażowani byli wszyscy — od kierowników, przez szeregowych pracowników, przedstawicieli terenowych, aż po firmy outsourcingowe, a nawet klientów. Jeśli ludzie nie czują się odpowiedzialni za przedsiębiorstwo, skuteczność nakazów i zakazów będzie połowiczna — sumuje Krzysztof Labiak.