Bezpieczeństwo danych i systemów IT czyli, co zarząd firmy powinien wiedzieć

Transkrypt

1 Bezpieczeństwo danych i systemów IT czyli, co zarząd firmy powinien wiedzieć

2 Autor: Przemek Szulecki Konsultant w obszarze bezpieczeństwa informatycznego i informacyjnego w grupie spółek Baker Tilly w Polsce W obliczu dostępności danych i informacji na wyciągnięcie ręki firmy muszą zadbać o bezpieczeństwo swoich danych. W związku z rozwojem technologii i coraz większą informatyzacją naszego życia stajemy przed pytaniem, czy nasze dane są bezpieczne oraz co zrobić, by takie były. Bazując na raporcie prawdopodobieństwa wystąpień ataków związanych z technologią informatyczną musimy działać tak, aby obniżyć współczynnik możliwości wystąpienia ataków. Poniżej przedstawiamy wyciąg kliku pozycji z tego raportu ukazujących prawdopodobieństwo wystąpienia ataków w skali od 1 do 5, gdzie 5 to bardzo wysokie prawdopodobieństwo wystąpienia, a 1 niewielkie. Phishing z wykorzystaniem poczty elektronicznej i serwisów www 4,67 Cyberkonflikty pomiędzy państwami 4,50 Ataki na systemy sterowania przemysłowego 4,33 Ataki DDoS 1 na podmioty komercyjne 4,28 Zagrożenia dla platformy Android 4,28 Wycieki baz danych zawierające dane osobowe 4,13 Ataki ukierunkowane na organizacje 4,13 Ataki na podmioty administracji państwowej 4,1 Ataki na urządzenia medyczne 4,05 Wykorzystanie gier sieciowych w atakach 2,98 Jakie dane należy chronić? Wszystkie. Oczywiście w granicach rozsądku i wg możliwości, jakie mamy. Należy pamiętać, że nie możemy danych w firmie klasyfikować jako ważne i mniej ważne. Dane pracownika, jego specjalizacja, certyfikaty i umiejętności są równie ważne, jak projekty produktów, czy patenty. Kto w firmie jest odpowiedzialny za bezpieczeństwo danych? Wszyscy. Każdy pracownik powinien chronić dane w swoim obszarze. Należy jednak pamiętać, że nie każdy z nich ma wiedzę niezbędną, aby zadbać o bezpieczeństwo w całej firmie. Zarząd firmy powinien powołać wykwalifikowaną osobę na stanowisko CSO / CISO (Chief Security Officer/ Chief Information & Security Officer), odpowiedzialną za bezpieczeństwo w firmie i będącą w bezpośrednim kontakcie z zarządem. Co należy rozumieć pod pojęciem bezpieczeństwa? To zależy od organizacji i charakterystyki jej działalności. Możemy rozdzielić stanowiska CSO i CISO, ale na pewno nie należy łączyć z nimi stanowiska CIO (Chief Information Officer/ Dyrektor 1 DDoS (ang. distributed denial of service, rozproszona odmowa usługi) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).

3 działu informatyki). Dyrektor departamentu informatyki odpowiada za utrzymanie i rozwój systemów informatycznych. Połączenie funkcji CIO z CSO lub CISO spowoduje brak niezależności strukturalnej dyrektora informatyki od dyrektora bezpieczeństwa. Należy zabezpieczać wszelakie dane, jakie są przetwarzane w firmie. Sposoby ich zabezpieczania zależą od specyfiki pracy i organizacji. Przede wszystkim należy podjąć wszelkie kroki w celu zabezpieczenia dobra ludzkiego, czyli pracowników. Żeby świadomie dbać o bezpieczeństwo dobrze jest zwizualizować zabezpieczenia na tarczy zabezpieczeń. Zabezpieczenia Fizyczne Zabezpieczenia Osobowe Zabezpieczenia Wycieków Wewnętrznych Zabezpieczenia Wycieków Zewnętrznych Zabezpieczenie Połączeń B2B Zabezpiecze nia Formalne Patrząc od zewnątrz należy dążyć do kręgu Zabezpieczeń formalnych, czyli do 100% bezpieczeństwa. 1. Zabezpieczenia fizyczne: Należy sprawdzić lokalizację firmy i zabezpieczenia budynku. Należy przeanalizować, czy z piętra, na którym znajduje się siedziba firmy można łatwo przeprowadzić ewakuację i jak szybko w przypadku niebezpieczeństwa pracownicy będą bezpieczni. Zawsze trzeba pamiętać, że to pracownicy stanowią prawdziwą wartość firmy. Sprawdzeniu podlegają również zagrożenia geologiczne i cywilizacyjne. Należy dokładnie sprawdzić, z jakich zabezpieczeń korzysta administrator budynku i przejrzeć raporty z przeprowadzonych planów ewakuacyjnych.

4 2 Zabezpieczenia osobowe: O podstawowe zabezpieczenia osobowe dba administrator budynku. Należy wydzielić strefy bezpieczeństwa w biurze i kontrolować przepływ pracowników. Pamiętać trzeba, że osoby w działach przetwarzania danych osobowych (dane poufne) podlegają rejestrowi osób z uprawnieniami do przetwarzania tych danych. Osoby bez takich uprawnień nie powinny mieć dostępu do pomieszczeń / obszarów gdzie dane te są przetwarzane. Dodatkowymi obszarami jakie można wydzielić są działy księgowości / IT / produkcji / koncepcyjne. Wszystko musi być dostosowane do wielkości i charakterystyki firmy. Należy rozważyć wewnętrzną ochronę fizyczną, niezależną od ochrony świadczonej przez administratora budynku. Bezpieczeństwo osobowe to także analiza osób, które zatrudniamy. Coraz powszechniejszym sprawdzaniem pracowników jest wymóg poświadczenia niekaralności. Koszty takiego poświadczenie często w ostatnim etapie rekrutacji (przed podpisaniem umowy) pokrywa pracodawca. Informuje się jednak potencjalnego pracownika o takim działaniu i otrzymuje się jego zgodę na pozyskanie takiego opisu. Potencjalni pracownicy często spotykają się z rekruterami, którzy przeprowadzają psychologiczne testy, mające określić stan emocjonalny przyszłego pracownika. Pracownicy powinni podlegać półrocznej / corocznej ocenie oraz, co bardziej popularne, ocenie 360 stopni, gdzie pracownicy anonimowo oceniają przełożonych. Poza zatrudnionymi pracownikami są jeszcze osoby, które zapraszamy do biura. Administrator budynku, który jest pierwszą linią ochrony, daje nam możliwość przyjmowania gości. Jeżeli prowadzimy działalność specyficzną i nietypową, tym bardziej powinniśmy zwracać uwagę na osoby, które odwiedzają nasze biuro. Jeżeli zaś prowadzimy działalność, która nie cieszy się powszechnym zaufaniem (np. firma windykacyjna) powinniśmy szczególnie dbać o bezpieczeństwo. Tym sposobem zabezpieczamy naszych pracowników. 3 Zabezpieczenia wycieków wewnętrznych Najczęstszym wyciekiem z firm jest kradzież danych dokonana przez pracowników niezadowolonych z pracy lub takich, którzy dostali ofertę na sprzedaż danych z ich firm. Powszechnie stosowany jest podział zabezpieczeń równoważny z podziałem fizycznym dostępu do biura. Zabezpieczenia klasy DLP (Data Leak/Leakage/Loss Protection/Prevention) również są coraz powszechniejsze. Pozwala to na kontrolę przepływu danych w organizacji. Możemy również znakować dokumenty i zarządzać uprawnieniami dostępowymi do nich. Po wdrożeniu DLP ma miejsce ograniczanie dostępu do powszechnego Internetu, a przynajmniej do portali i stron, które umożliwiają wysyłanie plików i danych. Należy pamiętać, że do czatu na portalach społecznościowych również można załączać pliki. Wprowadzanie drukowania na kody pracownicze lub karty jest z sukcesem wdrażane i realizowane przez firmy, które cenią sobie bezpieczeństwo danych. W ślad za drukowaniem dokumentów powinno iść oznaczanie dokumentów, których nie można drukować lub których drukowanie wymaga zgody odpowiednich osób. 4. Zabezpieczenia wycieków zewnętrznych: Coraz więcej firm na rynku oferuje wsparcie w zabezpieczeniu dostępu do naszych danych z zewnątrz, czyli obrony przed atakami hakerskimi. Po raz kolejny należy

5 pamiętać o stosowaniu zabezpieczeń odpowiednich do wielkości firmy, jak i danych w naszym posiadaniu. Jeżeli nasi pracownicy mają możliwość pracy zdalnej należy pamiętać o zabezpieczeniu połączeń VPN i tego, do czego pracownik korzystający z takich połączeń powinien mieć dostęp. Dbajmy o niezależność sieci WiFi dla gości od sieci do użytku wewnętrznego firmy. Należy ukryć wewnętrzną sieć WiFi i konfigurować ją poprzez zdalne nadawanie polityk z AD / LDAP 2. 5 Zabezpieczenia połączeń B2B: Zabezpieczenia formalne (o tym więcej w kolejnym punkcie). Zabezpieczenia wspólnych interesów - każda firma, z którą nawiązujemy kontakt to potencjalne źródło wycieku danych. Dlatego firmy powinny stosować kolejne zabezpieczenia: Zabezpieczenia połączeń danych Nie należy mieć obaw przed sprawdzeniem firm, z którymi chcemy nawiązać współpracę. Podstawą jest sprawdzenie ksiąg firmy (płynność finansowa, ubezpieczenie, zabezpieczenia finansowe). Jeżeli ktoś powierza dane do przetwarzania (dane pracowników lub kontrahentów), nic dziwnego, że chce wiedzieć, czy są one bezpieczne i czy nie wyciekną informacje wrażliwe z punktu widzenia powierzającego. Sprawdzanie danych na nasz wniosek i w określonym zakresie dokonują audytorzy. Inny specyficznym łączem wymiany danych B2B są wszelakie usługi w chmurze. Dostrzegam coraz więcej korzyści z takiego rozwiązania, choć ciągle bardziej popularna jest usługa SaaS (Software as a Service), typ chmury prywatnej. Niestety wraz z rozwojem technologii i przyrostem informacji musimy sobie zadać pytanie, czy jej przechowywanie powierzamy wewnętrznym działom IT i archiwum, czy skorzystamy z usług przechowywania na zewnątrz. Należy zwrócić szczególną uwagę na rodzaj chmury i to, co właściwie kupujemy od dostawcy. Możliwe, że chmura, którą chcemy kupić nie jest publiczna (większy plus dla nas) tylko prywatna i mamy większą kontrolę nad tym, gdzie przechowywane są nasze dane. Ważnym elementem w usługach typu cloud jest lokalizacja danych. Jako właściciele danych musimy dopełnić starań, aby dowiedzieć się gdzie nasze dane są składowane i czy przypadkiem nie w krajach spoza regionu EOG. Lokalizacja danych dotyczy również centrów zapasowych do serwerów pierwotnych. 6 Zabezpieczenia formalne: Na każdym etapie zabezpieczeń powinniśmy przygotowywać odpowiednią dokumentację tego co, zrobiliśmy. Mając spisaną instrukcję nadawania dostępów do biura i zaleceń postępowania z danymi i ich przetwarzania, powinniśmy stworzyć politykę bezpieczeństwa. To podstawowy dokument przygotowywany wraz z zarządem firmy. Stworzenie takiego dokumentu to pierwszy krok do rozpoczęcia wdrażania Zintegrowanego Systemu Zarządzania Bezpieczeństwem, który możemy certyfikować w normie ISO Systemy wspierające autentykację użytkowników.

6 Dokumentacja to także wydanie stosownych pozwoleń przez Administratora Bezpieczeństwa Informacji (ABI) na przetwarzanie danych poufnych, czy też samą rejestrację zbiorów. O bezpieczeństwie i jego jakości świadczy wiedza o tym, co dzieje się w organizacji. Inwentaryzacja sprzętu jest jednym z takich działań. Ewidencjonujemy wszystkie maszyny dla użytkowników, gdyż to one są oknem na świat z sieci firmowej. Całościową dokumentację do każdego obszaru należy tworzyć w grupach roboczych, które są odpowiedzialne za poszczególne obszary. Pełną pieczę nad dokumentacją powinien sprawować CSO / CISO wraz z kancelarią prawną. Zaprezentowana tarcza bezpieczeństwa to jeden ze sposobów podejścia do systemu bezpieczeństwa. Istnieje szereg działań i sposobów, jakie można podjąć w celu zabezpieczenia firmy pod kątem danych i bezpieczeństwa fizycznego. Wszystko zależy od organizacji i jej wielkości oraz świadomości zagrożenia. Brak zabezpieczeń i co dalej? Nie trudno sobie wyobrazić, czym może skutkować lekceważenie bezpieczeństwa i zasad, jakie są wymagane przez standardy i normy międzynarodowe. Utrata danych to najmniejszy z naszych problemów. Brak bezpieczeństwa naszych pracowników (czyli głównego pionu naszych firm) grozi zachwianiem stabilności firmy. Trzeba sobie zadać pytanie, na jakie ryzyko związane z bezpieczeństwem jesteśmy gotowi, jaki poziom utraty danych akceptujemy oraz co możemy stracić w przypadku naruszenia bezpieczeństwa. Wszystko należy rozpatrywać przez pryzmat wielkości i specyfiki firmy. Nie bójmy się korzystać z wiedzy specjalistów. Posumowanie O ile nie opieramy na IT całości działania swojej firmy pamiętajmy, by nie bać się zainwestować w zabezpieczenia organizacji. Zaplanujmy bezpieczeństwo swoje, swoich pracowników i firmy przy udziale specjalistów. Zaufajmy im i czujmy się bezpieczni w obliczu zagrożeń.