Wdrożenie specjalnej Polityki Bezpieczeństwa znacznie podnosi poziom zabezpieczeń danych firmowych przed nie autoryzowanym wykorzystaniem bądź zniszczeniem. Niemniej związane jest ono z poniesieniem dużych kosztów i rewolucją organizacyjną firmy.

Nie należy oczekiwać, że wszyscy menedżerowie lekką ręką będą dawać pieniądze na zabezpieczenia, choćby jak najbardziej potrzebne. Zabezpieczenia takie kosztują wiele, a ich wdrożenie może w gruntowny sposób zmienić firmę - co jest znacznie kosztowniejsze niż zabezpieczenia. Zarządy firm nie lubią wydawać pieniędzy, chciałyby zabezpieczać swoje korporacyjne zasoby nie wydając przy tym ani złotówki.

Właśnie dlatego taką popularnością cieszy się na Zachodzie pomysł skalkulowanego ryzyka (administrowania ryzykiem). Ponosząc mniejsze nakłady pozwala się, by część danych była po prostu nie chroniona, część chroniona lepiej, natomiast pozostałe przechodziły okresowe testy, pozwalające określić, czy należy wprowadzone mechanizmy (oprogramowanie, organizacja itd.) zmodyfikować. Wykonywane przez zespoły audytujące kontrolowane włamania pozwalają przygotować zestaw zaleceń dla działu ochrony, umożliwiający podniesienie poziomu zabezpieczeń, tak by odpowiadały aktualnie obowiązującym normom i potrzebom. Podstawowym kosztem, jaki musi ponieść zarząd firmy w takim wypadku, jest opłacenie okresowego audytu (test sieci, kontrolowane włamania, wynajęcie Tiger Team itp.).

Typowa polska firma (aczkolwiek istnieją chlubne wyjątki) wydaje pieniądze tylko na rozwiązania niezbędne. Zazwyczaj najwięcej na fizyczne zabezpieczenia budynków, gdyż w przeciwnym razie nie mogłaby uzyskać ewentualnych odszkodowań od firm ubezpieczeniowych. Najczęściej zatrudnia też administratora lub administratorów zapewniających serwis techniczny (od przypinania drukarek, pomagania użytkownikom, aż po obsługę sieciowego systemu operacyjnego), jego brak jest bowiem zbyt kosztowny, a jednocześnie stała obecność "złotej rączki" pozwala firmie zaoszczędzić na szkoleniach pozostałych pracowników. Podobnie jest z oprogramowaniem antywirusowym. Ze względu na zagrożenie, jakie przypisuje się wirusom komputerowym, dowolny, zwalczający je pakiet na pewno będzie zakupiony.

Ale na tym proces zabezpieczania zazwyczaj się kończy. Menedżerowie bowiem nie są świadomi istniejących zagrożeń, a jednocześnie uważają, że zabezpieczenia chroniące dane przechowywane w sieciach komputerowych są zbyt kosztowne.

Źródło zła wszelakiego

Internet postrzegany jest jako jedno z największych zagrożeń bezpieczeństwa w nowoczesnych korporacjach. Rozważa się więc różne możliwości istnienia w sieci międzynarodowej. Można się do niej nie podłączać w ogóle, ale wtedy pracownicy firmy zechcą to zrobić "po cichu" poprzez modemy zainstalowane przy poszczególnych komputerach. Koszty i zagrożenia wynikające z takiego sposobu korzystania z Internetu są często wielokrotnie większe niż w przypadku stałej umowy z dostawcą usług internetowych.

Jeżeli przedsiębiorstwo często wymienia korespondencję elektroniczną z klientami i kooperantami, musi mieć elektroniczny dostęp do aktualnych informacji (dotyczy to większości jego działów), to należy podłączyć sieć lokalną do Internetu z zachowaniem odpowiednich metod ochronnych, takich jak firewalle, strefy wydzielone wewnątrz przedsiębiorstwa i oprogramowanie aktywnie testujące sieć lokalną w celu wykrycia nieproszonych gości.

Jeżeli jednak firma nie potrzebuje aż tak częstego kontaktu z klientami, wygodniejsze może okazać się stworzenie oddzielnej minisieci włączonej do Internetu, ale nie połączonej z istniejącą siecią firmową (może to być nawet pojedyncza stacja robocza z modemem).

W każdym z przypadków istotne jest jednak zdefiniowanie i wdrożenie przepisów regulujących posługiwanie się zasobami informatycznymi firmy.

Regulamin sieci

Pierwszym działaniem w kierunku uregulowania zasad pracy użytkowników w sieci firmowej jest przekonanie zarządu firmy, że pozostawienie tej dziedziny bez zmian może prowadzić do utraty pieniędzy lub dóbr, nie mających nawet jasno określonej wartości finansowej - np. technologii produkcji itp.

W zależności od tego, czy zostaną opracowane jedynie organizacyjne zasady bezpiecznego korzystania z sieci komputerowej, czy też kompleksowe projekty rozwiązań bezpieczeństwa całej firmy, powstanie Regulamin pracy w sieci komputerowej (nazywany też Regulaminem Sieci) lub Polityka Bezpieczeństwa.