Bezpieczeństwo danych w firmie to poboczny problem, który w praktyce dotyczy wyłącznie dużych przedsiębiorstw. Czy aby na pewno?
Świadomość problemu
Każdy, kto uwierzył w tezę postawioną na początku niniejszego artykułu jest w grubym błędzie. Młode firmy są szczególnie narażone na problem utraty danych, gdyż bardzo często zapominają o temacie bezpieczeństwa skupiając się głównie na problemach sprzedażowych lub zmaganiach z konkurencją. Tymczasem już od samego początku nasze dane i dane naszych Klientów narażone są na niebezpieczeństwo kradzieży, ujawnienia czy też całkowitego zniszczenia.
Co tak na prawdę nam grozi?
Czy zastanawialiście się kiedykolwiek, co by się stało gdyby dane o Waszych Klientach i obrotach jakie generują przedostały się do konkurencji? Czy rozważaliście scenariusz fizycznej kradzieży głównego serwera, który znajduje się w pomieszczeniu biurowym? Czy ktoś z Waszej firmy jest świadomy co należy zrobić, w przypadku gdy zadzwoni Klient z żądaniem usunięcia swoich danych osobowych z wszystkich rejestrów firmy?
Co w takich przypadkach zrobić? Jak się ustrzec przed zagrożeniami?
Analiza ryzyka
Przede wszystkim nie wolno nam działać pochopnie i zabezpieczać wszystkiego na siłę. Wręcz przeciwnie, należy podejść do tematu bezpieczeństwa w sposób profesjonalny i zorganizowany. To co każda firma powinna zrobić na początku to gruntowna analiza ryzyka związanego z prowadzoną działalnością oraz identyfikacja potencjalnych zagrożeń na jakie narażone są nasze dane oraz dane naszych Klientów.
Od czego najlepiej zacząć?
Jedni organizują swoistą burzę mózgów, inni angażują specjalistów z zakresu bezpieczeństwa informacji, jeszcze inni sięgają do opracowań i literatury. Każda metoda jest dobra, pod warunkiem że została przeprowadzona w sposób dający konkretne rezultaty. To wyniki analizy ryzyka obnażą słabości naszych zabezpieczeń oraz potencjalne zdarzenia, które mogą spowodować nieodwracalne szkody w naszym przedsiębiorstwie na które nie jesteśmy przygotowani.
Poprawna analiza ryzyka powinna być poparta kategoryzacją danych jakie chronimy. Powinniśmy oddzielić te powszechnie dostępne od poufnych i chronionych prawnie, a wszystko to odnieść do rejestru aktywów informacyjnych, który musimy przygotować.
Plan postępowania z ryzykiem
Każda firma, która dba o bezpieczeństwo swoich danych powinna taki plan opracować. Jest to nic innego jak dopasowanie zabezpieczeń do ryzyk wyspecyfikowanych w poprzednim kroku. Należy dążyć do sytuacji, w której ryzyka osiągają pułap akceptowalny. W praktyce rzadko się to udaje – zazwyczaj ogrom nakładów jakie musielibyśmy ponieść na zabezpieczenia przewyższa koszt wystąpienia takiego ryzyka. Pozostaje nam tylko pogodzić się z istnieniem takiego ryzyka lub przenieść ryzyko na inny podmiot, ale o tym i innych tematach związanych z ryzykiem będziemy dyskutować na łamach osobnego artykułu.
Co jeszcze wpływa na bezpieczeństwo danych?
Niezwykle istotnym elementem jest podnoszenie świadomości wśród pracowników, szczególnie tych, którzy na co dzień mają do czynienia z informacjami wrażliwymi dla firmy, jak i danymi osobowymi, które objęte są z urzędu specjalnym nadzorem Głównego Inspektora Danych Osobowych. Dodatkowo, podstawowe zasady bezpieczeństwa w firmie powinny zostać spisane i udostępnione. Dla pracowników jest to często jedyny punkt odniesienia w sytuacji, w której muszą podjąć jakieś działanie.
Bezpieczeństwo fizyczne
Dobrze dobrane zabezpieczenia fizyczne pozwolą uchronić nas przed przykrymi konsekwencjami nieuprawnionego dostępu do pomieszczeń, w których przetwarzamy dane lub składujemy wartościowe dla firmy aktywa. Zabezpieczajmy się przed wystąpieniem takiej sytuacji.
Na czym skupić się najbardziej?
Powinniśmy zapewnić możliwość szybkiego odtworzenia krytycznych danych na innym urządzeniu na wypadek zepsucia lub zniszczenia podstawowego sprzętu. Nie bójmy się więc przeprowadzać testów symulujących wystąpienie takiej sytuacji – to tylko potwierdzi naszą gotowość. Zapewnijmy dodatkowe zasilanie na wypadek awarii w dostawie prądu oraz stosowne chłodzenie pomieszczenia, w którym utrzymujemy krytyczny sprzęt. Jako firma możemy rozważyć utrzymywanie naszych systemów w środowisku zdalnym w bezpiecznym ośrodku przetwarzania danych. Zdecydowanie podnosi to poziom bezpieczeństwa sprzętu oraz aplikacji z jakich korzystamy.
Oprogramowanie w firmie
Mało osób zdaje sobie sprawę z roli jaką odgrywają zabezpieczenia w systemie informatycznym. Każdy się już zdążył przyzwyczaić do systemowej formatki logowania, kłódki SSL na stronie www, albo blokady aplikacji, gdy odejdziemy od komputera. Niestety, ale zazwyczaj to wszystko co oferują obecne systemy CRM, aplikacje www i inne programy nastawione na “lekkość” pracy z nimi. Jest to bardzo niebezpieczny kierunek, który my szczerze odradzamy.
Na co zwracać uwagę?
Planując zakup oprogramowania zwracajmy większą uwagę na jego możliwości w zakresie definiowania ról uprawnień i nadawania dostępu na bardzo niskim poziomie. Wybierajmy produkty, które są konfigurowalne w zakresie adekwatnym do potrzeb jakie posiadamy lub będziemy posiadać. Unikajmy zabezpieczeń bazujących wyłącznie na ręcznej zmianie hasła. Znacznie bezpieczniej będzie, gdy system sam wymusi taką zmianę i nie pozwoli wprowadzić hasła o prostej konstrukcji.
Unikajmy wszelkich nośników informacji typu pendrive! Użytkownicy zazwyczaj nie usuwają z nich danych po zgraniu do komputera, a mały rozmiar tych urządzeń powoduje, że często są po prostu gubione. Dane w firmie możemy wymieniać w bezpieczniejszy sposób np. poprzez zabezpieczony udział sieciowy lub FTP.
Wreszcie kopie bezpieczeństwa – twórzmy i testujmy je cyklicznie, ale adekwatnie do ważności danych jakie się w nich znajdują. Kopie należy przechowywać w bezpiecznym miejscu – najlepiej w odrębnej lokalizacji. Pamiętajmy, że kopie logów systemu przechowywane na nośnikach to również zapisany dowód, który nie jest łatwy do podważenia.
Zaczynamy działać…
Wdrożenie i utrzymanie procesów opisanych powyżej nie jest prostym zadaniem. Przede wszystkim wymaga poświecenia sporej ilości czasu na rozpisanie i przeprowadzenie właściwych kroków w procesie. Dlaczego więc nie zautomatyzować tych wszystkich czynności? Z pomocą przychodzi Baseline™.
Praktyczne wykorzystanie możliwości Baseline™
Praktycznie rzecz biorąc Baseline™ przydaje się już na początku drogi związanej z podnoszeniem poziomu bezpieczeństwa w firmie. Elastyczny moduł Dokumenty umożliwia zamodelowanie procesu analizy i postępowania z ryzykiem. Moduł Środków trwałych to w części również rejestr aktywów z wyszczególnionymi kategoriami takimi jak serwery, nośniki danych czy systemy informatyczne. Jeżeli posiadamy w organizacji komercyjne oprogramowanie to skorzystajmy z funkcjonalności ewidencji licencji programów – da nam to pogląd na bieżącą sytuację oraz pomoże w procesie cyklicznej inwentaryzacji.
Każde zdarzenie, każdy incydent bezpieczeństwa jest rejestrowany w kontekście środka trwałego. Dzięki temu możemy przechowywać pełną historię zmian dla każdego z elementów rejestru. Jest to o tyle ważne, że dokumentujemy działania związane z kontrolą i poprawą bezpieczeństwa danych w firmie – czyli realizujemy już to o co nam od początku chodziło.
Kolejną rzeczą jest uruchomienie w Baseline™ procesu zarządzania zmianą. Nic prostszego – wystarczy wgrać elektroniczny formularz zmiany i nadać mu schemat obiegu. Zyskujemy praktycznie nieograniczoną dowolność w modelowaniu przepływu informacji w firmie.
Moduł Baza Wiedzy to idealne miejsce w systemie, gdzie będziemy przechowywać szkice lub finalne wersje procedur i polityk bezpieczeństwa. To również centralne repozytorium dla instrukcji wchodzących w skład Księgi jakości. Dzięki temu każdy będzie mógł w prosty i szybki sposób zapoznać się z dokumentami obowiązującymi w firmie. Repozytorium w łatwy sposób umożliwia segregację dokumentacji na wzór drzewa katalogów.
Bezpieczeństwo danych w Baseline™
System Baseline™ od wielu lat przechodzi regularną certyfikację w zakresie bezpieczeństwa i ochrony danych czego dowodem jest uzyskany certyfikat TUV “Dane chronione”. Z technicznego punktu widzenia oprogramowanie Baseline™ posiada szeroką gamę mechanizmów i zabezpieczeń, aby jak najefektywniej chronić dane jakie są przetwarzane w systemie. Przykładowo administrator może wymusić automatyczną zmianę haseł użytkowników po upływie danego okresu czasu. Można kontrolować siłę haseł oraz okres bezczynności, po którym system automatycznie wyloguje użytkownika z sesji. Prawa dostępu do danych są bardzo mocno rozbudowane po to, aby sprostać nawet najwyższym wymaganiom przetwarzania danych. Integracja z domeną Active Directory to kolejny mechanizm umożliwiający lepszą kontrolę i podniesienie poziomu bezpieczeństwa w organizacji.
Baseline™ posiada wbudowane mechanizmy automatycznego tworzenia kopii bezpieczeństwa oraz przeprowadzania konserwacji systemowych. Wszystko to powoduje, że system w dużym stopniu wspiera nas i wyręcza w rutynowych czynnościach administracyjnych. Zdalny dostęp do Baseline™ opiera się na mechanizmie SSL-owym z walidacją tzw. certyfikatu klienta. Oznacza to tylko tyle, że nasze dane są podwójnie zabezpieczone pomimo konieczności użycia dostępu zdalnego.