Dbałość o bezpieczeństwo infrastruktury IT i danych to nie czynność (ani nawet ich zbiór), ale długotrwały proces. Ma on na celu ochronę przedsiębiorstw przed różnego typu negatywnymi skutkami (pozwy sądowe, utrata reputacji) działań przestępczych lub awarii sprzętu czy oprogramowania, jak też przed utratą ciągłości pracy i świadczenia usług klientom. Dlatego firmy powinny chronić swoje dane i inne zasoby w sposób przemyślany i zaplanowany. Wszyscy eksperci ds. bezpieczeństwa rekomendują przedsiębiorstwom stworzenie dokumentu polityki bezpieczeństwa. Tymczasem, według różnych statystyk, obecnie ma go tylko niewielki odsetek firm.

Dbałość o bezpieczeństwo jest konieczna z różnych powodów. Przede wszystkim chodzi o zapewnienie poufności danych i ich ochronę przed udostępnieniem nieuprawnionym osobom w wyniku przypadkowego wycieku lub celowej kradzieży. Drugim, najczęściej wskazywanym powodem, jest zabezpieczenie danych przed ich utratą – w tym celu stosowane są różne metody wykonywania kopii zapasowych (snapshoty, backup na dyski i taśmy, replikacja do zapasowego centrum danych). Ale bezpieczeństwo to także zapewnienie nieprzerwanej dostępności do informacji, a więc troska o stabilne łącza sieciowe, internetowe itd. Administratorzy powinni dbać też o integralność przechowywanych danych, w tym zagwarantować brak możliwości wprowadzania nieautoryzowanych zmian.

Dużym wyzwaniem jest też wytłumaczenie klientom rzeczy pozornie nieoczywistych. Przede wszystkim tego, że nawet najlepszy sprzęt czy oprogramowanie nie spełni swojej roli, jeśli zawiedzie człowiek, a to on jest zazwyczaj najsłabszym ogniwem. Najłatwiej  go oszukać, wzbudzając niesłuszne zaufanie i przekonać do ujawnienia haseł czy innych tajnych informacji. Warto też podkreślać, że nie ma bezwzględnej miary bezpieczeństwa, a jego poziom można mierzyć tylko w odniesieniu do precyzyjnie określonych w tym zakresie wymagań stawianych systemowi IT. Nigdy też nie osiągnie się stuprocentowej pewności, że nie dojdzie do żadnego incydentu – trzeba wręcz przygotować się na to, że coś się wydarzy i zaplanować odpowiednie zasady postępowania. Niestety, faktem jest, że inwestycji w systemy ochronne dokonuje się dziś na bazie zaufania do dostawcy, a nie gwarancji skuteczności zabezpieczeń.

 

A jest co chronić, bo wśród ważnych informacji są nie tylko dane osobowe pracowników i klientów, ale również dokumenty związane z własnością intelektualną przedsiębiorstwa i stanowiące o jego przewadze konkurencyjnej. Łupem przestępców często padają również szczegółowe informacje o strukturze i funkcjonowaniu firmy, bo na ich podstawie łatwiej mogą przygotować atak socjotechniczny i wybrać np. pracowników stanowiących najsłabsze ogniwo.

Aspekty konieczne do uwzględnienia podczas tworzenia polityki bezpieczeństwa

Sprzętowo-programowe metody ochrony:

– określenie procedur korzystania z oprogramowania i sprzętu,

– stosowanie odpowiedniego oprogramowania systemowego i dodatkowego,

– właściwe konfiguracje sprzętowe (UPS, nadmiarowość najważniejszych rozwiązań),

– odpowiednie mechanizmy składowania danych,

– szyfrowanie informacji.

Metody ochrony fizycznej:

– systemy zasilania awaryjnego,

– kontrola dostępu do obiektów i pomieszczeń,

– zabezpieczenie przeciw włamaniom,

– systemy przeciwpożarowe.

Organizacyjne metody ochrony:

– regulaminy dla osób korzystających z systemów informatycznych,

– polityka zakupu sprzętu i oprogramowania.

Kadrowe metody ochrony:

– sprawdzanie pracowników dopuszczonych do danych o szczególnym znaczeniu,

– przestrzeganie odpowiednich procedur zwalniania i zatrudniania pracowników,

– motywowanie pracowników,

– szkolenia.

Reguły konieczne przy ustalaniu zakresu obowiązków:

– zasada wiedzy koniecznej: uprawnienia muszą wynikać z obowiązków,

– zasada minimalnego środowiska pracy: prawo dostępu tylko do pomieszczeń związanych z obowiązkami,

– zasada dwóch osób: funkcje, które mogą być wykorzystane do złamania zabezpieczeń, należy podzielić, a ich wykonanie przydzielić różnym osobom,

– zasada rotacji obowiązków: co pewien czas odpowiedzialność za szczególnie ważne funkcje powinna przechodzić na kolejne osoby.

 
Zadanie dla wszystkich

Dokument opisujący politykę bezpieczeństwa to przede wszystkim zbiór przepisów, zasad, wymagań i zaleceń regulujących sposób zarządzania, ochrony i udostępniania zasobów (z naciskiem na IT, ale nie tylko) w określonym środowisku. Jest to najczęściej zbiór administracyjnych, technicznych i fizycznych środków, dzięki którym zapewnia się poufność danych, a także ich integralność, dostępność i rozliczalność oraz ochronę pozostałych aktywów – sprzętu, oprogramowania, dokumentacji i personelu.

W skład komisji tworzącej dokument polityki bezpieczeństwa powinni wchodzić przedstawiciele wszystkich komórek organizacyjnych przedsiębiorstwa, nie tylko działu IT. Ich zadaniem będzie klasyfikowanie przepływających przez firmę danych, określenie stopnia ich utajnienia (ogólnie dostępne, poufne, tajne) oraz osób odpowiedzialnych za poszczególne procedury.

Tworzenie dokumentu polityki bezpieczeństwa to nie tylko zbiór zagadnień natury czysto informatycznej. Do tego konieczna jest także wiedza na temat tzw. inżynierii społecznej. Wiedzę tę z reguły potrafią wykorzystać osoby atakujące system. Starają się uzyskać jak najwięcej informacji o firmie lub jej pracownikach oraz spowodować, żeby działali oni w sposób oczekiwany przez atakującego. Niestety, naiwność ludzka w tej kwestii jest jeszcze bardzo duża – wystarczy prześledzić, jak wiele kampanii phishingowych odniosło szkodliwy skutek.

Podstawowymi zagadnieniami, które powinna obejmować polityka bezpieczeństwa, jest określenie osób lub komórek organizacyjnych odpowiedzialnych za jej realizację (dlatego nie może to też być dokument ogólnie dostępny), określenie zagrożeń (dostępu do sprzętu, oprogramowania, poziomu umiejętności pracowników, stopnia ich niezadowolenia z wykonywanej pracy) i możliwości przeciwdziałania nim.

Dokument polityki bezpieczeństwa może dotyczyć wszystkich zasobów przedsiębiorstwa albo tylko ich części, np. konkretnego zbioru danych czy systemu IT. Istnieją też specjalne rodzaje polityki bezpieczeństwa, np. dotyczące ochrony danych osobowych (wzór takiego dokumentu jest dostępny na stronie GIODO). Warto także pamiętać, że polityka bezpieczeństwa bardziej powinna być opisem strategii, a nie taktyki działania. Należy unikać w niej szczegółowych opisów konfiguracji serwerów czy instrukcji postępowania w przypadku wykrycia incydentu bezpieczeństwa – od tego są standardy i procedury, które również powinny być zdefiniowane przez poszczególne przedsiębiorstwa, a ich lista wyszczególniona właśnie w polityce bezpieczeństwa.

 
Zarobić na konsultacjach

Jak zgodnie podkreślają eksperci dokonujący audytów bezpieczeństwa w polskich firmach, poprawnie napisaną politykę bezpieczeństwa ma bardzo niewiele firm. Co gorsza, wśród tych, które jej nie mają, jest wiele placówek publicznych oraz podmiotów zobowiązanych do stworzenia takiego dokumentu chociażby ustawą o ochronie danych osobowych. Czasami zalążki takiego dokumentu istnieją, ale np. w regulaminie pracy.

Możliwość doradztwa w zakresie opracowania i późniejszego uaktualniania polityki bezpieczeństwa to idealna sytuacja dla integratorów. Powinni po pierwsze uświadomić swoim klientom konieczność uporządkowania kwestii związanych ze strategią zabezpieczania danych, a po drugie pomóc (oczywiście odpłatnie) w przygotowaniu odpowiedniego dokumentu oraz egzekwowaniu jego zapisów.

W wielu przypadkach w kolejnych krokach konieczne okaże się przeprowadzenie dodatkowych inwestycji w sprzęt lub oprogramowanie ochronne, aby załatać ujawnione w trakcie opracowywania polityki bezpieczeństwa luki. Finałem zaś powinno być szkolenie dla pracowników, a być może nawet kilka. Oczywiście przygotowane z uwzględnieniem piastowanych przez nich stanowisk, jako że przekazywane podczas szkolenia komunikaty będą różne dla zarządu czy pracowników odpowiedzialnych za ważne operacje, np. przelewy bankowe, oraz dla pozostałych osób.