Wartość organizacji a bezpieczeństwo informacji

Transkrypt

1 Wartość organizacji a bezpieczeństwo informacji Kilka lat temu jednostki prowadzące działalność gospodarczą w Polsce (w sektorze publicznym i prywatnym) nie zwracały szczególnej uwagi na wartość informacji jakimi dysponowały. W związku z powyższym bezpieczeństwo informacji nie było dla polskich przedsiębiorstw priorytetem, a nierzadko podchodziły do tej tematyki po macoszemu. Pojęcie Bezpieczeństwa informacji identyfikowane było z zamkniętymi drzwiami biura, zamykaną na klucz szafą, alarmem antywłamaniowym oraz gaśnicą. Istotna dokumentacja, w postaci papierowej, składowano w szafach, sejfach, chronionych siedzibach, a najistotniejsze w bankach. Tradycyjne sposoby zabezpieczeń nie podlegały wnikliwej analizie w zakresie zaistnienia możliwych zagrożeń i były dostosowane do zagrożeń fizycznych przede wszystkich pochodzących z zewnątrz. Cyfryzacja oraz popularyzacja Internetu przyczyniły się do powstania potrzeby zmiany podejścia do bezpieczeństwa informacji. Informacja stała się jedną z wartości najbardziej cenionych w biznesie. Rozwój technologii informacyjnej spowodował, że większość informacji występuje w formie elektronicznej i przechowywana jest na elektronicznych nośnikach danych. Organizacje są świadome jaką wartość niosą informacje, stąd też priorytetem jest zapewnienie ich bezpieczeństwa. Popularność zyskują systemy zarządzania bezpieczeństwem informacji. Informacje podlegają klasyfikowaniu, możliwe zagrożenia podlegają analizie, dlatego dostosowuje się do nich właściwe narzędzia w celu ochrony. Oszacowanie wartości informacji jest trudne, natomiast bezsprzeczna jest teza, że pozyskana informacja, szczególnie chroniona przed konkurencją, może być przyczyną poważnych strat finansowych dla ich właściciela. W związku z tym szeroko pojmowana własność intelektualna i know-how, strategie biznesowe będące tajemnicami przedsiębiorstwa, a jednocześnie elementami budującymi przewagę konkurencyjną stanowią informacje szczególnie strzeżone. Należy zwrócić uwagę, że uporządkowany obieg dokumentów w działaniu przedsiębiorstwa wpływa na oszczędność czasu i usprawnienie funkcjonowania jednostki. Ważne to jest z punktu widzenia procesu redukowania kosztów. Proces zastępowania dokumentu papierowego w postać elektroniczną jest nieunikniony i w przyszłości wszystkie firmy, urzędy i innego rodzaju jednostki będą stosować e-dokumenty. Ochrona przed nadszarpnięciem czy utratą renomy motywuje podmioty podejmujące się zapewnienia odpowiedniego zabezpieczenia posiadanych informacji. Wzrost świadomości co do wartości informacji niesie za sobą wzrost również świadomości potrzeby zapewnienia jej ochrony.

2 Zagrożenie bezpieczeństwa informacji Brak reguł zapewniających bezpieczeństwo funkcjonujących w danym podmiocie informacji, zaniechania w tym obszarze mogą spowodować ujawnienie lub utratę informacji. Zdarzenia te mogą nastąpić również w wyniku nieuczciwych praktyk podmiotów zewnętrznych. W przypadku, gdy pozyskanie informacji, których źródła są niedostępne jest niezgodne z przepisami prawa mamy do czynienia ze szpiegostwem gospodarczym. Informacje objęte ochroną prawną lub fizyczną stanowią cel, do którego pozyskania stosuje się niejawne, nielegalne, często noszące znamiona przestępstwa metody. Mając na uwadze fakt, że większość informacji występuje w postaci cyfrowej, istotnym ryzykiem dla zachowania bezpieczeństwa informacji jest działalność cyberprzestępców. Popularyzacja Internetu, przy równoległym zapewnieniu anonimowości, odpowiada za działalność przestępczą o charakterze kryminalnym lub ekonomicznym, w tym powiązanych z kradzieżą poufnych informacji. Przedsiębiorstwa borykają się z przestępstwami takimi jak hacking (nieuprawnione uzyskiwanie informacji), czy sniffing (podsłuch komputerowy), jak również przełamywanie zabezpieczeń, czy malware (złośliwe oprogramowanie). Proces wdrożenia zabezpieczeń skutkujący ochroną informacji zapobiega powstawaniu odpowiedzialności cywilnej, związanej z naruszeniem lub ujawnieniem interesów klientów/kontrahentów, jak również ponoszeniu szkód finansowych. Większość powyższych przypadków związane jest z brakiem przepisów odnoszących się do zapewnienia ochrony informacji i posiadania odpowiednich do nich narzędzi. W szczególności zagrożenia łączy się z pracownikami średniego szczebla, mających dostęp do ważniejszych, a nierzadko strategicznych informacji. Stąd też można wysnuć tezę, że największym zagrożeniem dla bezpieczeństwa informacji jest człowiek. Najbardziej zaawansowane technicznie systemy mogą zostać skompromitowane przez świadomą lub nieświadomą działalność człowieka. Najczęściej wykorzystywane są prywatne konta poczty pracowników, które często nie podlegają zabezpieczeniom sieci firmowej. Dostęp do prywatnego konta przy wykorzystaniu służbowego komputera skutkuje tym, że możliwe niebezpieczne załączniki mogą znaleźć się na serwerach firmowych z obejściem całej bazy zabezpieczeń. Kolejnym problemem stanowią podejmowane próby zainfekowania wewnętrznej sieci danego podmiotu za pomocą nośników fizycznych, takich jak pendrive, czy też inny nośnik danych. Człowiek działający świadomie, znający reguły funkcjonowania zastosowanego systemu bezpieczeństwa informacji, może podjąć próby doprowadzenia do ujawnienia lub kradzieży informacji podlegających ochronie. Sposoby zabezpieczeń W przedsiębiorstwach często wykorzystuje się właściwe zapisy o charakterze prawnym w stosunku do zapewnienia ochrony informacji. Najczęściej stosuje się klauzule zamieszczone w umowach o pracę (zakaz konkurencji, obowiązek zachowania poufności), czy w umowach zawartych z kontrahentami. Przedstawione zabezpieczenia o właściwym kształcie prawnym wpływa prewencyjnie, sygnalizuje następstwa niedopełnienia zobowiązań przez pracowników czy kontrahentów, a także daje możliwość lub usprawnia dochodzenia roszczeń przed sądem. Istotne jest funkcjonowanie szczegółowo opracowanych zasad procesu 1

3 przechowywania archiwizacji dokumentacji w formie tradycyjnej i cyfrowej oraz dostępu osób upoważnionych do danych informacji. Popularność zyskują systemy zarządzania bezpieczeństwem informacji, m.in. ISO/IEC 27001, norma o zasięgu międzynarodowym standaryzującą systemy zarządzania bezpieczeństwem informacji. Postęp uświadomił nam, że informacja stanowi jeden z najcenniejszych aktywów, wystawionych na niebezpieczeństwo, w których wirus czy złośliwe oprogramowanie nie są jedynymi narzędziami działania przestępców. Coraz częściej wykorzystuje się socjotechniki, skłaniające nas, aby za pomocą wiadomości , odwiedzić jego stronę internetową lub odczytać przesłane załączniki. Skutkuje to przejęciem haseł i zabezpieczeń, ujawnieniem lub kradzieżą informacji, a także zahamowaniem funkcjonowania naszej działalności. Norma ISO27001, jak i inne normy związane z zapewnieniem ochrony informacji wskazuje na cztery obszary bezpieczeństwa: 1. Bezpieczeństwo użytkowników Zagrożenia wewnętrzne, jak i zewnętrzne równoważą się. Cyberprzestępcy posługując się pracownikami chcąc przechwycić dostęp do informacji poufnych, wykorzystując socjotechnikę i podejmując próby zainfekowania stacji roboczych, jako narzędzie pozyskania pozostałej bazy danych. Zabezpieczenie w tym zakresie, winno polegać na kontroli uprawnień, zapewnienie ochrony przez uruchamianiem niedozwolonego oprogramowania, a także systemy monitoringu zachowań pracowników przetwarzających dane. Daje to podstawę do ich rozliczenia w razie postępowań sądowych. 2. Bezpieczeństwo danych Chroniąc dane należy przeanalizować, które informacje dla nas są najważniejsze. Wiedza gdzie i jakimi informacjami dysponujemy oraz przetwarzamy, umożliwia nam ich ochronę, co uchroni nas przed ich utratą. Gwarantuje również pełną kontrolę, przestrzeganie przez pracowników opracowanych wewnętrznych reguł porządkujące zagadnienia przepływu i dostępu do danych, przekazując jednocześnie kompleksową wiedzę mającą związek z podejmowanymi próbami złamania polityki bezpieczeństwa danych. Uzupełnieniem tego typu rozwiązań jest edukacja z zakresu bezpieczeństwa. Świadomość jest ważnym elementem w razie postępowania odszkodowawczego. 3. Bezpieczeństwo aplikacji i infrastruktury Stanowią istotę kontynuacji procesów biznesowych. Niezawodne działanie systemu i aplikacji umożliwia rozwój firmy, natomiast przerwa w funkcjonowaniu, będąca skutkiem praktyk cyberprzestępców powoduje wzrost poniesionych wydatków w tym zakresie. 4. Informatyka śledcza Stanowi dopełnienie standardowych narzędzi ochrony informacji. Stosowana po incydencie, określająca motywy i przebieg danego zdarzenia. W razie posądzenia pracownika lub zajścia incydentu powiązanego z ochroną informacji można skorzystać z pomocy profesjonalnych firm. Edukacja daje możliwość zdobycia dowodów, akceptowanych przez sąd. Podstawą takiego działania jest także audyt o 2

4 charakterze prawnym umów zawartych z pracownikami w ramach dochodzenia żądań w sądzie. Postęp technologiczny umożliwia kradzież danych lub unieruchomienie systemu w ważnych postępowaniach biznesowych, np. przetargi on-line. Zapewnienie ochrony przed zagrożeniami wymusza konieczność odstąpienia od wdrożonych prostych zabezpieczeń, w formie bezskutecznych systemów antywirusowych, do takich, które przeciwdziałają ryzyku. Podejście to należy brać pod uwagę podejmując decyzje biznesowe. Opracowanie procedur i standardów wewnętrznych, a także zwiększenie świadomości pośród pracowników powinno minimalizować ryzyko i wystąpienia zdarzenia. Wiedza w zakresie właściwej ochrony posiadanych aktywów od strony informatycznej i prawnej jest już rozpowszechniona, stąd też należy spełniać przyjętą tezę. 3

5 Cezary Stanek ekspert z zakresu kontroli zarządczej i ochrony danych osobowych, wykładowca, audytor. Wieloletni praktyk z kontroli zarządczej oraz specjalista w zakresie postępowania z ryzykiem, a w szczególności identyfikacji ryzyka w administracji samorządowej oraz ocenie prawidłowości i skuteczności zastosowanych środków w zakresie ochrony przetwarzanych danych osobowych. Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku Administracja Samorządowa oraz Podyplomowych Studiów Ochrony Danych Osobowych Wydział Prawa i Administracji Uniwersytetu Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w zakresie ochrony danych osobowych oraz ekspert KRI. Pasjonat wdrożeń systemów zarządzania oraz dostosowywania procedur by były użyteczne i proste. Wdrożeniowiec systemy ograniczającego odpowiedzialność dla administratorów danych oraz pracowników Kryptos24. Inne umiejętności: audytor wewnętrzny systemów zarządzania bezpieczeństwem, główny specjalista bezpieczeństwa i higieny pracy, Zapraszam do odwiedzenia naszej strony SELENE CONSULTING Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa Aleja Józefa Piłsudskiego 10a Jastrzębie-Zdrój tel.: info@eszkolenie.eu 4