Polityka bezpieczeństwa

Transkrypt

1 Polityka bezpieczeństwa Projektowanie i wdraŝanie w MSP Radek Michalski

2 Agenda Czym jest polityka bezpieczeństwa i czy warto ją mieć (spisaną)? Zasięg polityki bezpieczeństwa Norma WdraŜanie kilka wskazówek Problemy przy wdroŝeniach Wnioski

3 Informacja w firmie Jak postępujemy z naszą informacją: co gromadzimy (biznes) co musimy gromadzić (prawo) czy potrafimy chronić czy wiemy gdzie powstaje czy wiemy do kogo powinna naleŝeć czy potrafimy właściwie zabezpieczyć jak długi jest cykl Ŝycia

4 Moc informacji Bez właściwej ochrony informacji w całym cyklu Ŝycia realizacja strategicznych celów firmy moŝe okazać się niemoŝliwa: zwiększenie przewagi konkurencyjnej zachowanie ciągłości działania generowanie i maksymalizowanie zysku

5 Czym jest polityka bezpieczeństwa? Reguły postępowania z zasobami informacyjnymi organizacji Cechy: spójność kompletność precyzyjność zgodność z prawem

6 Informacja a dane Polityka bezpieczeństwa dotyczy informacji w firmie, nie danych w systemach informatycznych, ale... konieczność ochrony danych wynika z ochrony informacji

7 Polityka bezpieczeństwa - zasięg PB powinna obejmować kaŝde miejsce powstawania i przetwarzania informacji w firmie Dlatego nie moŝe powstać bez współpracy zarządu firmy: podjęcie decyzji określenie działań i osób odpowiedzialnych budŝet na stworzenie i na utrzymanie PB

8 Zarząd brakujący element Bez pełnego przekonania zarządu firmy wdroŝenie PB jest niemoŝliwe Jednak zarząd moŝe nie zrozumieć problemu: Konieczny wydatek nakłady na bezpieczeństwo jako ubezpieczenie miary jakościowe rynek konkurenci juŝ mają Zmiany organizacyjne PB jako proces decyzja długofalowa

9 Własne praktyki a standardy ISO w głowie standard nie jest konieczny, ale prawie zawsze jest przydatny Odniesienie do dobrych praktyk rynkowych Uniknięcie pominięcia istotnych z punktu widzenia PB obszarów Wspólny język

10 ISO wymagania dla systemu zarządzania bezpieczeństwem informacji określenie zasobów analiza ryzyka wdroŝenie / ulepszanie zarządzania audyt wewnętrzny certyfikacja / audytowanie

11 ISO Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji Lipiec 2007 roku ISO 17799:2005 -> ISO 27002:2005 zbiór wytycznych dot. SZBI (ścisły związek z 27001)

12 Wytyczne ISO Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskiwanie, rozwój i utrzymanie systemów informatycznych Zarządzanie incydentami związanymi z bezpieczeństwem informacji Zarządzanie ciągłością działania Zgodność

13 WdraŜanie polityki bezpieczeństwa Członek zarządu/pełnomocnik zarządu jako osoba odpowiedzialna Budujemy na miarę, odpowiednio do specyfiki ZaangaŜowani kluczowi pracownicy oraz IT Bazujemy na tym co mamy, nie sięgamy po nic na siłę (jeśli prawo nie stanowi inaczej): zestaw niepisanych praktyk karty stanowiskowe pracy relacje firmy z otoczeniem Analiza i usprawnianie procedur

14 Problemy przy wdroŝeniach (I) Nie ma osób, które mogą ogarnąć cały proces funkcjonowania firmy nawet na bardzo ogólnym poziomie Jeśli juŝ zidentyfikujemy obszary trudno przypisać odpowiedzialność w sposób jednoznaczny (styk) Decyzje imperatywne problem z ludźmi Niedostateczna motywacja osób wdraŝających

15 Problemy przy wdroŝeniach (II) Zakończenie tematu często równoznaczne jest z wydaniem PB - przynajmniej tak sądzą niektórzy potrzeba audytu i sprawnego obiegu informacji Nieznajomość przepisów prawnych okazuje się czasem boleśnie dotkliwa (ochrona danych osobowych) Nie wszystkie aspekty polityki muszą być znane wszystkim pracownikom Zarząd stawia się ponad zapisami PB

16 Problemy przy wdroŝeniach (III) Zarząd firmy zmienia zdanie lub nie wykazuje konsekwencji działania: utrata kluczowych osób drugi raz nie podejmą próby bez skutecznej motywacji Zbyt duŝy nacisk na otoczenie bez dostatecznej analizy wnętrza firmy Technologia robi się zbyt wyrafinowana w stosunku do umiejętności pracowników konieczne szkolenia Zbyt ogólne plany działania DRP znaczące opóźnienie reakcji na problem

17 Problemy przy wdroŝeniach (IV) Dlaczego dział IT nie powinien prowadzić wdroŝenia na poziomie koncepcyjnym: niezrozumienie specyfiki firmy i jej kluczowych obszarów orientacja na dane nieumiejętność oszacowania wagi informacji brak odpowiedniej wiedzy (metodologie) manipulacja kto strzeŝe straŝników?

18 Skutki wdroŝenia PB Zwiększenie bezpieczeństwa organizacji tylko w przypadku konsekwencji w działaniu Większa przejrzystość Lepsza świadomość pracowników dot. wagi informacji, z którą mają do czynienia (plusy i minusy) Wzmocnienie wizerunku jako sposób na zwiększenie przychodów Poprawia samopoczucie zarządu i inwestorów

19 Pytania i uwagi? radek@smartsystems.pl