Elementarne działania zwiększające bezpieczeństwo informacji
Polityka bezpieczeństwa
Firma (zarówno duża, jak i mała) powinna posiadać zatwierdzoną przez kierownictwo politykę bezpieczeństwa. Polityka bezpieczeństwa musi:
- wyznaczać ogólny kierunek i zasady działania dotyczące bezpieczeństwa informacji;
- uwzględniać charakterystykę prowadzonej działalności tj. wymagania biznesowe oraz prawne lub o charakterze regulacyjnym, a także wynikające z umów;
- opisywać strategię postępowania dla oceny ryzyka i zarządzania ryzykiem;
- określać kryteria oceny ryzyka.
Polityka bezpieczeństwa powinna być utrzymywana i stale doskonalona. Z polityki bezpieczeństwa z reguły wynika konieczność wdrożenia różnych rozwiązań ochronnych w poszczególnych obszarach środowiska informatycznego.
W przypadku pracy hybrydowej polityka bezpieczeństwa powinna uwzględniać zarówno pracę w siedzibie pracodawcy, jak i w domu pracownika. Polityka bezpieczeństwa powinna opisywać sposoby ochrony przeciwko najpopularniejszym rodzajom ataków i precyzyjnie określać jakie działania należy wykonać w sytuacji, gdy już dojdzie do ataku.
Warto w polityce bezpieczeństwa zapisać obowiązek zgłaszania incydentów dotyczących naruszenia bezpieczeństwa, z zagwarantowaniem niewyciągania konsekwencji z działań pracownika, które zakończyły się naruszeniem bezpieczeństwa (analogicznie jak w lotnictwie). Ułatwia to analizę przyczyn powodzenia ataku, a w konsekwencji poprawienie funkcjonowania zabezpieczeń (np. wykrycie i usunięcie w istniejących procedurach luk, które umożliwiły atak). W polityce bezpieczeństwa należy też opisać sposób kontaktowania się ze specjalistą/ekspertem (wewnętrznym lub współpracującym z firmą w ramach outsourcingu) oraz sprecyzować jakiego rodzaju informacji będzie on oczekiwał od pracownika.
Polityka bezpieczeństwa to podstawowy dokument systemu zarządzania bezpieczeństwem informacji.
Analiza ryzyka
Rodzaj stosowanych zabezpieczeń powinien wynikać z analizy i oceny ryzyka. Analiza ryzyka uwzględnia wartość chronionych informacji oraz zidentyfikowane zagrożenia. By identyfikacja zagrożeń była jak najdokładniejsza, warto także określić podatności mające wpływ na zaistnienie różnych zagrożeń (np. dla zagrożenia jakim jest awaria zasilania serwera, podatnością mogą być odczuwalne wahania napięcia zasilania wynikające z pracy maszyn na hali produkcyjnej).
Analiza ryzyka jest jednym z elementów wdrożenia systemu zarządzania bezpieczeństwem informacji. Bez względu na to, czy firma zamierza wdrożyć system zarządzania bezpieczeństwem informacji, warto pamiętać o elementarnych działaniach zwiększających bezpieczeństwo informacji. Działania te, stosunkowo niewielkim kosztem (szczególnie w odniesieniu do wartości chronionych informacji oraz ewentualnych kosztów poniesionych strat), mogą istotnie zwiększyć poziom bezpieczeństwa.
Jak zabezpieczać
Do elementarnych działań zwiększających bezpieczeństwo informacji można zaliczyć:
- udostępnianie systemów informatycznych tylko i wyłącznie uprawnionych osobom,
- systemowe śledzenie czynności operacyjnych wykonywanych przez pracowników,
- regularne tworzenie oraz bezpieczne przechowywanie kopii zapasowych,
- okresowe kontrolowanie logów systemowych i przeciwdziałanie incydentom zarejestrowanym w tych logach,
- stosowanie ochrony antywirusowej oraz firewalli,
- przesyłane danych przy pomocy bezpiecznych połączeń szyfrowanych,
- segmentowanie sieci firmowej,
- stosowanie zasady wielokrotnej kontroli.
Zabezpieczenia sprzętowe
Zapewnienie odpowiedniego poziomu bezpieczeństwa może wymagać również zastosowania adekwatnych rozwiązań sprzętowych. Do najpopularniejszych należą:
- system zasilania awaryjnego,
- system przeciwpożarowy,
- system kontroli dostępu do wszystkich pomieszczeń,
- całodobowy monitoring (zewnętrzny oraz pomieszczeń) obiektu.
Na koniec warto zwrócić uwagę na jeszcze jeden aspekt bezpieczeństwa informacji – zapewnienie wysokiej niezawodności i dostępności systemów informatycznych. W zależności od wymaganego poziomu bezpieczeństwa, zabezpieczenia z tej grupy mogą przybierać postać różnych opcji dublowania infrastruktury informatycznej: od macierzy, poprzez klastrowanie, replikację, redundancję sprzętową, aż w przypadku danych strategicznych, do zabezpieczenia ciągłości działania w centrum zapasowym (za centrum podstawowe przyjmuje się miejsce, gdzie na bieżąco przetwarzane są i przechowywane dane firmy).