Używamy plików cookies. Korzystanie z serwisu oznacza zgodę na ich używanie.
Polityka bezpieczeństwa

Polityka bezpieczeństwa jest to zbiór reguł, sposobów i planów działania przyjętych w celu zapewnienia bezpieczeństwa zasobów. Wiele organizacji nie docenia jej znaczenia, dopiero w momencie poniesienia strat finansowych, menadżerowie zdają sobie sprawę z konieczności stosowania zasad zarządzania ochroną kluczowych danych firmy. Dotyczy to zarówno zasobów informacyjnych, jak i fizycznych, ludzkich lub takich jak reputacja organizacji.

Audyt bezpieczeństwa Szkolenia Konsulting Serwis
Systemy informatyczne

W tym przypadku mówić będziemy o bezpieczeństwie systemów informatycznych i ochronie danych. Każda nowoczesna firma, posiada zbiór informacji, którymi zarządza. Informacje te można podzielić na informacje publiczne i prywatne. W przypadku pierwszych - udostępnianych osobom z zewnątrz organizacji (może to być np. strona www) ważne jest zapewnienie integralności danych. Nikt nie życzyłby sobie, aby na stronie jego własnej organizacji znalazły się jakieś kompromitujące materiały. A co w przypadku sklepów internetowych? Co stałoby się w przypadku zamiany cen produktów na niższe, nawet pomyłkowej? Ktoś, kto zakupiłby produkt po zaniżonej cenie, mógłby ubiegać się w sądzie o sfinalizowanie transakcji. Atakująca osoba może także spowodować przerwy lub całkowicie zablokować usługi oferowane przez firmę. Przykładem może być atak DDoS na serwis internetowy, który jest głównym źródłem zysku firmy lub atak na serwer, który odbiera sygnały alarmowe od systemów zabezpieczających agencji ochrony mienia. Takich przykładów można by podać wiele.

Natomiast informacje prywatne firmy, są narażone na kradzież lub celowe zniszczenie. Wiele firm przechowuje dane osobowe swoich klientów, a polskie prawo zobowiązuje do ochrony takich danych. Ich utrata może być równie groźna, co ich wyciek, organizacja traci w ten sposób kontakt ze swoimi klientami. Oczywistego zabezpieczenia wymagają wszelkie materiały z których pracownicy korzystają oraz te, które tworzą. Każdy tydzień, czy nawet dzień pracy jest przecież cenny i nie warto ryzykować utraty czasu na odtwarzanie tego co już zostało zrobione.

Czynnik ludzki

Wydawać się może, że aktualnie stosowane zabezpieczenia są wystarczające i nie narażą organizacji na straty, jednak czy aby na pewno? To, że wykorzystywane jest specjalistyczne oprogramowanie, nie zapewnia bezpieczeństwa, istotny jest także czynnik ludzki. Administrator odpowiadający za kopie zapasowe może na przykład zapomnieć je wykonać lub jest nieobecny, a zastępca (jeśli w ogóle będzie przydzielony) nie dopełni obowiązku. A jeśli ktoś z wewnątrz organizacji, będzie chciał ją sabotować i specjalnie usunie kopie zapasowe innych użytkowników lub zniszczy nośniki, na których były one przechowywane? Takie i inne przypadki zawsze mogą się zdarzyć.

Należy uzmysłowić sobie rolę polityki bezpieczeństwa, która poprzez stworzenie i egzekwowanie określonych zasad ogranicza ryzyko do pewnego przyjętego poziomu. Zasady te, to konkretne określenie, kto jest za jakie działania odpowiedzialny oraz sposobu kontroli wykonania tych działań. Można przykładowo wyznaczyć osobę, która odpowiada za tworzenie kopii zapasowych w danym terminie określonym przez politykę bezpieczeństwa. To, że wszystko będzie się odbywać według określonego planu daje pewność, że kopie bezpieczeństwa, celowo zaplanowane na tą godzinę, zawsze wtedy zostaną wykonane. Czas wykonania kopii może mieć bowiem znaczenie, o czym osoba za to odpowiedzialna może nie wiedzieć. Polityka bezpieczeństwa określa jasno, że na danym komputerze musi być włączony firewall i antywirus oraz, że istnieje administrator, który sprawdza tą zasadę. Jasno określone powinno być tez, kto do jakich zasobów ma dostęp, a kto dostępu takiego nie posiada. Wprowadzanie pewnych ograniczeń i zabezpieczeń może być czasochłonne i utrudniać normalną pracę użytkowników, dlatego zazwyczaj określa się pewien stopień ryzyka akceptowalny w danych przypadkach. Chodzi o to aby pracownicy mogli działać sprawnie, nie obniżając wydajności pracy czy dochodów organizacji.

Audyt bezpieczeństwa

Tworzenie zasad polityki nie jest zadaniem łatwym - należy uwzględnić wiele czynników i rozumieć cały, często rozbudowany sposób komunikacji i przepływu informacji w firmie. Dlatego takie zadania często zlecane są firmom zewnętrznym, które przeprowadzają audyt bezpieczeństwa.

Firma wykonująca audyt, bada firmę klienta pod kątem znalezienia zagrożeń dla systemu oraz określenia ich ryzyka. Przewidywane są również ewentualne następstwa niepożądanego incydentu. Po przeprowadzeniu audytu, wystawiany jest szczegółowy raport. Firma audytująca może także zaoferować przygotowanie polityki bezpieczeństwa. Audyt jest nie tylko użytecznym dla kierownictwa wewnętrznym raportem organizacji ale może być także poświadczeniem dla klientów, iż organizacja przeszła pozytywnie jego proces i zapewnia dla nich maksimum bezpieczeństwa.

Więcej informacji

Jeśli jesteś zainteresowany tematem bezpieczeństwa swojej firmy, prosimy o kontakt z naszymi konsultantami tel. 0 801 011 395.

Ikaria.pl © Bezpieczeństwo danych, 94-251 Łódź ul. Omłotowa 12/14, tel. 801 011 395

Zobacz także: ESET | Avast | F-Secure | QuickHeal | Trend Micro | Panda | Avira | AVG | Kaspersky | G-Data | Symantec | eScan | gateProtect | MYSecurityCenter | MicroWorld | Total Defense | Endpoint Protector | mobile-security | Polityka bezpieczenstwa | Szkolenia | Helpdesk PRO