Bezpieczeństwo informacji w małych i średnich przedsiębiorstwach
Bezpieczeństwo informacji w małych i średnich przedsiębiorstwach jest równie ważna jak w dużych korporacjach.
Do najważniejszych standardów bezpieczeństwa informacji należy instalacja odpowiedniego oprogramowania antywirusowego, regularna aktualizacja bazy definicji wirusów, instalacja uaktualnień do systemu operacyjnego i aplikacji, zasada stosowania tak zwanych silnych haseł (zawierających zarówno litery i cyfry, jak i znaki diakrytyczne) oraz ich regularnej wymiany, blokowanie komputera, gdy opuszcza się stanowisko pracy, reguła czystego biurka i czystego pulpitu.
Zasady są takie same, jednak różnica pomiędzy dużymi korporacjami a firmami z sektora małych i średnich przedsiębiorstw (MSP) tkwi w stosowanych metodach oraz narzędziach pozwalających osiągnąć cel, jakim jest bezpieczeństwo informacji.
Korporacje i duże przedsiębiorstwa stać na inwestycje w narzędzia wykonujące pewne zadania automatycznie (na przykład kontrola notebooka pod względem aktualizacji bazy definicji wirusów, poziomu poprawek systemu operacyjnego, dozwolonego przez firmę oprogramowania) bądź wymuszające na użytkownikach pewne zachowania (na przykład poprzez centralną administrację stacjami roboczymi).
Dla firm z sektora MSP zaawansowane narzędzia służące bezpieczeństwu informacji są często nie-osiągalne. Jednak wiele metod zabezpieczania jest dostępnych bez konieczności wydawania dużych pieniędzy.
Odnosząc się do podstawowych elementów składających się na bezpieczeństwo informacji, można racjonalnym kosztem stworzyć skuteczny system bezpieczeństwa według poniżej opisanych zasad.
Bezpieczeństwo technologiczne
W zakresie bezpieczeństwa technologicznego można zacząć od podstaw związanych z bezpieczeństwem sieci. Te podstawy to między innymi dobrze skonfigurowany i zarządzany firewall, podział sieci LAN na podsieci (czyli odpowiednia konfiguracja routerów), udostępnianie zasobów sieci LAN oraz aplikacji według ściśle określonych zasad i reguł, metodyczne zarządzanie uprawnieniami w sieci i aplikacjach, zapasowe połączenie z siecią WAN (Internetem).
Warto też pamiętać o racjonalnym w stosunku do potrzeb i możliwości przedsiębiorstwa wyposażeniu serwerowni (odpowiednio zabezpieczony dostęp, klimatyzacja, moc zasilania, jeżeli jest to zasadne, to zasilanie rezerwowe), właściwie zbudowanej strategii wykonywania (najlepiej nie w tym samym pomieszczeniu, które służy za serwerownię) i przechowywania kopii zapasowych systemów (najlepiej w przeznaczonym do tego sejfie, a na pewno poza serwerownią, w zabezpieczonym pomieszczeniu; czasami stosuje się odpowiednie skrytki w banku). Istotne jest też regularnie aktualizowanie i testowanie planów odtwarzania utraconych zasobów.
Działaj legalnie
W każdym przedsiębiorstwie ważne jest zadbanie o to, aby prowadzona działalność była zgodna z prawem. Nie można dopuścić do sytuacji, gdy na przy-kład podpisywane umowy zawierają niedozwolone klauzule.
Dobrą praktyką jest oczywiście weryfikowanie każdej umowy przez prawnika. Jednak ze względu na to, że koszt usług prawnych jest dość znaczny, warto stworzyć (jeżeli jest to możliwe) na przykład wzorce umów, które są zweryfikowane pod względem prawnym, i korzystać z nich podczas podpisywania kolejnych kontraktów.
Bardzo ważnym elementem, którego nie można zaniedbać, są umowy o poufności informacji zawierane z dostawcami usług (na przykład z firmą bądź osobą, która wykonuje dla nas usługi porządkowe).
Bezpieczeństwo fizyczne
Pod pojęciem bezpieczeństwa fizycznego kryje się dostęp do pomieszczeń biurowych i szafek. Jeżeli firma nie posiada własnych powierzchni biurowych, to przy wynajmowaniu należy zwrócić uwagę, czy i jak budynek jest chroniony, czy jest wyposażony w system kontroli dostępu.
Jeżeli korzystamy z własnych pomieszczeń, to weź-my pod uwagę, że instalacja systemu kontroli dostępu nie jest obecnie wysokim kosztem. Duże znaczenie ma tutaj kultura pracy. A zatem ważne jest zwrócenie uwagi, by pomieszczenia bądź szafki były zamykane, gdy pracownicy opuszczają miejsce pracy. Ważne jest też, by nie zostawiali poufnych informacji w łatwo dostępnym miejscu.
Bezpieczeństwo osobowe
Dostęp do informacji, a także do pomieszczeń biurowych, sieci LAN czy systemów informatycznych powinna mieć minimalna liczba osób, którym jest to naprawdę konieczne, i tylko w niezbędnym do wykonania powierzonych zadań zakresie.
System – i co dalej?
Zbudowanie systemu bezpieczeństwa to dopiero pierwszy krok. Aby system działał poprawnie, konieczne są przede wszystkim edukacja i kontrola. To, jak dane elementy funkcjonują, zależy od skali przedsiębiorstwa. W większych organizacjach zajmuje się tym dedykowana osoba lub wydzielony zespół ds. bezpieczeństwa informacji. W mniejszych zazwyczaj zadania te są częścią obowiązków wyznaczonego pracownika.
Warto, by osoby odpowiedzialne za zarządzanie systemem bezpieczeństwa miały możliwość wyciągania konsekwencji w stosunku do tych, którzy nie stosują przyjętych zasad.
Niezależnie od tego, jakie są możliwości danej organizacji, najważniejsza jest edukacja i świadomość pracowników, ponieważ w ten sposób tworzona jest kultura pracy danej firmy. Im wcześniej zacznie się ten proces, tym wyższy będzie poziom bezpieczeństwa i zarazem zmniejszy się opór pracowników przy wprowadzaniu kolejnych ważnych reguł i zasad.
Autor: Bartłomiej Janas, BCC sp. z o.o.