Bezpieczeństwo traktowane kompleksowo

Informacje, w których posiadaniu jest każda firma, są jej największą wartością i podstawą funkcjonowania. Nawet ich częściowa utrata może prowadzić do spadku konkurencyjności, a czasami nawet większych problemów, nie wyłączając zaprzestania działalności. Dlatego każda firma powinna strzec posiadane informacje wszelkimi możliwymi sposobami.

Informacje, w których posiadaniu jest każda firma, są jej największą wartością i podstawą funkcjonowania. Nawet ich częściowa utrata może prowadzić do spadku konkurencyjności, a czasami nawet większych problemów, nie wyłączając zaprzestania działalności. Dlatego każda firma powinna strzec posiadane informacje wszelkimi możliwymi sposobami.

Ochrona powinna dotyczyć zarówno informacji przechowywanych w formie papierowej, jak i elektronicznej. Chronić trzeba zarówno fizyczny dostęp do informacji i ich nośników, jak i możliwość dostania się do nich w nie uprawniony sposób z wykorzystaniem komunikacji elektronicznej za pośrednictwem lokalnych sieci komputerowych i Internetu. Aby określić, jakie informacje powinny być poddane ochronie, w jaki sposób je chronić, jak kontrolować skuteczność ochrony oraz jakie konsekwencje powinno powodować naruszanie zasad bezpieczeństwa informacji, konieczne jest opracowanie polityki bezpieczeństwa firmy. Bez względu jednak na to, jak mały zestaw informacji chce się chronić ze szczególną troską, polityka bezpieczeństwa firmy powinna być kompleksowa i uwzględniać wszystkie sposoby dostępu do informacji i możliwości ich utraty. W przypadku polityki bezpieczeństwa złośliwie sprawdza się bowiem teoria łańcucha - zapewnia ona takie bezpieczeństwo, jak jej najsłabszy element. Trzeba więc tak się zabezpieczyć, aby wszystkie ogniwa łańcucha bezpieczeństwa były na tyle pewne, by nie dopuścić do jego łatwego przerwania.

Regulamin kontra polityka

Większość firm ma sprecyzowane w mniejszym lub większym stopniu zasady korzystania z zasobów wykorzystywanej przez nie sieci komputerowej, a także inne regulaminy dotyczące zachowania pracownika w miejscu pracy. W przeważającej mierze mają one jednak charakter informacyjny, a nie obligatoryjny, co oznacza, że nie można od pracowników wymagać postępowania lub niepostępowania w określony sposób. Aby regulamin był skuteczny, konieczne jest, by jasno definiował dozwolone i niedozwolone działania oraz by powszechnie znane były konsekwencje, jakie dotkną osobę nie przestrzegającą regulaminu.

Wycinkowe traktowanie problemu bezpieczeństwa i wycinkowe adresowanie potencjalnych problemów za pośrednictwem regulaminów nie gwarantują jednak bezpieczeństwa informacji i danych. Regulaminy pozwalają bowiem sprecyzować wyłącznie, w jaki sposób należy bądź nie należy korzystać z danych firmowych. Nie wskażą jednak, czy i jak budować systemy zabezpieczeń, jakie dane muszą być bezwzględnie chronione itp. Rzadko kiedy precyzują również jak postępować w przypadkach, w których intuicja każe użytkownikowi systemu informatycznego iść po najmniejszej linii oporu, np. czy zamiast czytać dokument oznaczony jako poufny w formie elektronicznej, można go wydrukować na ogólnodostępnej drukarce sieciowej i przeczytać w wersji papierowej. Jak w takim przypadku należy postąpić z wersją papierową po przeczytaniu dokumentu? Czy można ją wyrzucić do kosza, czy też należy ją zniszczyć?

Wszystkie te szczegóły powinna precyzować kompleksowa polityka bezpieczeństwa. Powinna ona kontrolować cały proces przygotowywania i gromadzenia informacji, a także korzystania z nich w przyszłości w taki sposób, by nie uległy przypadkowemu zniszczeniu i nie trafiły w niepowołane ręce.

Aby jednak taką politykę bezpieczeństwa opracować i wdrożyć, konieczne jest uzyskanie poparcia kierownictwa firmy. Wdrożenie polityki bezpieczeństwa może bowiem powodować daleko idące zmiany organizacyjne, a niekiedy również kadrowe i prawne, które przy ich niewłaściwym wprowadzeniu mogą doprowadzić nawet do załamania ekonomicznego firmy. Bardzo istotna jest również współpraca zespołu projektującego i realizującego później wdrożenie polityki bezpieczeństwa z kierownictwem firmy. Wdrożenie takie wiąże się z dużymi kosztami, które muszą być zaaprobowane przez zarząd, a także dotyczą praktycznie każdego pracownika w firmie. Bardzo istotne staje się więc wyjaśnienie pracownikom celów wdrożenia polityki bezpieczeństwa, jej założeń, wynikających z nich powinności i konsekwencji czynów pracowników, a także przekonanie ich, że interes firmy związany z takim wdrożeniem jest w tym przypadku zgodny z interesem pracownika, chociaż nakłada na niego dodatkowe obowiązki.

Konstruowanie polityki

Pierwszym etapem realizacji kompleksowej polityki bezpieczeństwa powinna być identyfikacja wszystkich zagrożeń w stosunku do informacji będących w posiadaniu firmy. Identyfikacja ta powinna obejmować zarówno zagrożenia zewnętrzne, jak i wewnętrzne. Musi również uwzględniać zagrożenia powodowane wypadkami losowymi, takimi jak klęski żywiołowe, a także nieświadome bądź świadome działania ludzi. Im więcej zagrożeń wypunktowanych zostanie na tym etapie przygotowywania polityki bezpieczeństwa, tym większe bezpieczeństwo będzie ona zapewniać w swojej finalnej wersji.

Na tym etapie konieczne jest przeprowadzenie audytu wykorzystywanych przez firmę rozwiązań oraz zasobów, które mają być poddane ochronie. Niezbędne jest również opisanie sposobów, w jaki odbywa się dostęp do danych i dróg rozprzestrzeniania się informacji. Raport powstający po tym etapie powinien również odzwierciedlać procesy decyzyjne realizowane w firmie.

Po opisaniu wszystkich tych zależności oraz zidentyfikowaniu zagrożeń uczestnicy zespołu projektowego powinni wspólnie z zarządem firmy określić, na ile kompleksowo wdrożona ma być polityka bezpieczeństwa. Podczas tego etapu kierownictwo firmy musi odpowiedzieć na pytanie, jakie dane mają być objęte szczególną ochroną i czy zmianami ma być objęta cała firma czy tylko nieliczne jej działy. W zależności od tych informacji konieczne jest rozdzielenie polityki bezpieczeństwa na kilka oddzielnych części, za których realizację będą odpowiadać wyznaczone osoby, oddelegowane do opracowania szczegółowego planu wdrożenia polityki bezpieczeństwa. Osoby te odpowiadać mogą niezależnie np. za realizację fizycznego zabezpieczenia serwerowni przed ingerencją nie uprawnionych osób, wprowadzenie systemu identyfikacji pracowników firmy np. za pośrednictwem indywidualnych kart chipowych, realizację zabezpieczenia sieci przed atakami z Internetu, realizację systemu bezpiecznej archiwizacji danych, przechowywanych w systemie informatycznym, opracowanie procedur monitoringu nadużyć w sieci komputerowej, fizyczne zabezpieczenie pomieszczeń, w których przechowywane są krytyczne dane itp. Zadaniem tych osób będzie wybranie optymalnych rozwiązań umożliwiających podniesienie bezpieczeństwa określonego wycinka infrastruktury informacyjnej przedsiębiorstwa. Dopiero po zakończeniu tego etapu możliwe będzie przedstawienie szczegółowego kosztorysu realizacji kompleksowej polityki bezpieczeństwa, którego zatwierdzenie przez zarząd firmy jest konieczne do dalszego poprowadzenia prac.

Zakres odpowiedzialności

Nieodzownym elementem planowania polityki bezpieczeństwa jest weryfikacja aktualnych zależności służbowych pomiędzy pracownikami firmy, ich zakresu kompetencji oraz praw dostępu do informacji przechowywanych zarówno w formie elektronicznej, jak i papierowej. Przy tworzeniu raportu przedstawiającego takie zależności konieczne jest zweryfikowanie, czy zakresy odpowiedzialności poszczególnych pracowników wzajemnie się nie pokrywają. Wystąpienie takiego pokrywania się odpowiedzialności jest bowiem niedopuszczalne w przypadku, gdy pracownik rozliczany będzie z zachowania poufności powierzanych mu informacji. Jeśli takie konflikty interesów nie zostałyby wyeliminowane, mogłoby się okazać, że po naruszeniu bezpieczeństwa informacji trudne jest jednoznaczne wskazanie osoby winnej zaistniałej sytuacji. Niedopuszczalne jest również wzajemne wykluczanie się kompetencji pracowników lub też, w określonych sytuacjach, zaistnienie braku kompetencji. Zmodyfikowany plan zależności służbowych oraz powinności pracowników powinien tak szeregować zatrudnione w firmie osoby, by każda z nich odpowiadała za bezpieczeństwo w zakresie ściśle związanym z jej obowiązkami służbowymi. Jednocześnie należy ograniczyć dostęp pracowników do wszelkiego typu informacji, które nie są niezbędne do wykonywania ich obowiązków.

Wdrożenie polityki

Chociaż wdrożenie polityki bezpieczeństwa po jej wcześniejszym dokładnym zaplanowaniu jest procesem długotrwałym i wymagającym dużego zaangażowania, zarówno uczestników zespołu wdrożeniowego, jak i wszystkich innych pracowników firmy, to samo w sobie nie powinno nastręczać problemów.

Nieodzownym elementem każdego takiego wdrożenia powinno być opracowanie programu szkoleń dla pracowników firmy, którym wyjaśnić trzeba wszystkie niuanse związane z kompleksową implementacją polityki ochrony danych. Bardzo czasochłonna w implementacji może być zmiana wzajemnych zależności służbowych pracowników oraz ich zakresów kompetencyjnych.

Formalne zakończenie wdrożenia polityki bezpieczeństwa jest jednocześnie punktem wyjścia do rozpoczęcia złożonego procesu monitoringu bezpieczeństwa informacji w firmie i stałego aktualizowania polityki bezpieczeństwa. Podobnie jak ewoluuje firma, w której powstają nowe działy i nowe zespoły robocze, tak samo powinna ewoluować polityka ochrony danych. Brak jej aktualizacji może bowiem prowadzić do powstania luk w systemie zabezpieczeń zwiększających zagrożenie wycieku informacji.

Firmy, które chcą sprawdzić, na ile szczelne są stosowane przez nie systemy zabezpieczeń, powinny zatrudnić zespół zewnętrznych specjalistów ds. bezpieczeństwa, który wszelkimi możliwymi sposobami przeprowadzi próbę złamania systemu zabezpieczeń i kradzieży danych. Raport z działania takiej grupy pomocny będzie w "łataniu" luk w polityce bezpieczeństwa.

Polityka a pracownik

Wdrożenie polityki bezpieczeństwa nie może odbywać się bez równoległego komunikowania pracownikom firmy zmian, jakie ona implikuje. Nie wystarczy przekazywać użytkownikom informacji dotyczących wdrożenia oraz nakazów i zakazów dotyczących wykorzystania sieci komputerowej i informacji dostępnych w innych miejscach firmy. Konieczne jest uzmysłowienie im, jakie korzyści firma odnosi z faktu, że dane są dobrze zabezpieczone i przekonać ich, że przekłada się to także na korzyści dla pracowników, np. bezpieczeństwo ich zatrudnienia w firmie (w przypadku utraty danych firma mogłaby bowiem znaleźć się w niebezpiecznej sytuacji na konkurencyjnym rynku). Pracownicy muszą identyfikować się z celami, jakie zamierza osiągnąć kierownictwo firmy, a będzie to możliwe tylko wtedy, gdy rozumieć będą zasadność osiągnięcia tych celów.

Kierownictwo firmy nie może także pozostawiać kwestii przestrzegania wymogów polityki bezpieczeństwa wyłącznie wolnej woli pracowników. W ramach wdrażania polityki bezpieczeństwa każda z umów o pracę zawierana przez firmę z pracownikami powinna być tak zweryfikowana, by uwzględniała również obowiązki pracownika w dziedzinie zachowania poufności danych. Nie ma bowiem powodu, by zachowanie bezpieczeństwa danych traktować inaczej niż dochowanie innych obowiązków wynikających z umowy o pracę. Tym, co powinno odróżniać obowiązek zachowania poufności informacji od innych obowiązków, jest stosowanie bardziej dotkliwych kar za jego niedotrzymanie. Uzasadnione jest to tym, że firma ma dużo więcej do stracenia w przypadku ujawnienia poufnych informacji niż w przypadku każdego innego zaniedbania ze strony pracownika.

Osobą odpowiedzialną za weryfikowanie, w jaki sposób pracownik wykorzystuje dostęp do powierzonych mu informacji, powinien być kierownik działu, w którym pracuje dana osoba. Podobnie jak rozlicza on pracownika z innych obowiązków, tak samo traktować powinien zagadnienia dotyczące bezpieczeństwa danych, do których pracodawca udzielił dostępu użytkownikowi. Kierownik działu powinien również okresowo uświadamiać pracownika o jego powinnościach w stosunku do firmy - w tym również tych dotyczących zachowania bezpieczeństwa informacji. Zobowiązany jest również do przekazywania wszystkim nowym pracownikom informacji dotyczących wymagań firmy w dziedzinie bezpieczeństwa - już na etapie pierwszej rozmowy z nowo zatrudnianą osobą.

Rodzaje zagrożeń

Liczba zagrożeń, które trzeba przeanalizować w przypadku konstruowania polityki bezpieczeństwa, jest różna w każdej firmie. Generalnie istniejące zagrożenia dzieli się na będące wynikiem przypadku, nieszczęśliwego trafu, zagrożenia powodowane sabotażem bądź też innym świadomym działaniem osób, którym zależy na uzyskaniu dostępu do informacji firmy wszelkimi możliwymi sposobami.

Podstawowymi miejscami, którym należy zapewnić odpowiednie zabezpieczenie, są w każdej firmie serwerownia lub centrum przetwarzania danych oraz odpowiadające mu funkcją archiwum dokumentów przechowywanych w formie papierowej. W obu przypadkach zabezpieczenia przede wszystkim muszą chronić przed klęskami żywiołowymi, takimi jak pożary, powodzie itp. W zależności od lokalizacji firmy (w pobliżu akwenów wodnych, stref wokół lotnisk) istotne staje się umieszczenie krytycznych pomieszczeń na wyższych bądź niższych kondygnacjach budynku. Powinny mieć one również zabezpieczenia przeciwpożarowe i gaśnicze (zarówno w przypadku archiwum dokumentów, jak i serwerowni nie może to być gaszenie wodą), zabezpieczenia dostępu wraz z systemem logowania dostępu i czasami również (w zależności od wymagań firmy) systemy monitorowania z wykorzystaniem kamer przemysłowych. W przypadku systemów, w których krytyczny jest nieprzerwany dostęp do aplikacji biznesowych, konieczne jest również wdrożenie rozwiązań pozwalających podtrzymywać awaryjnie napięcie w razie przerw w dostawie energii elektrycznej, a także zainstalowanie generatorów prądu, które będą zabezpieczać przed jego długotrwałymi przerwami.

Informacja przechowywana w formie elektronicznej jest przetwarzana nie tylko w serwerowni, ale również na komputerach użytkowników. Istotne staje się więc odpowiednie zabezpieczenie stacji roboczych, które powinny być wyposażone w rozwiązania uniemożliwiające przejęcie kontroli nad stacją podczas chwilowej nieobecności użytkownika (np. wygaszacze ekranu z hasłami bądź też bardziej zaawansowane rozwiązania, wykorzystujące indywidualne karty chipowe), zabezpieczenie przed wirusami i "końmi trojańskimi", które mogą być podrzucane użytkownikowi przez osoby, którym zależy na destabilizacji funkcjonowania sieci, wypracowanie mechanizmów powodujących, że przetwarzane przez użytkownika informacje i dokumenty nie będą w rzeczywistości przechowywane na lokalnych dyskach twardych stacji roboczych, ale centralnie - na znacznie trudniej dostępnych serwerach.

Gdy serwery i stacje robocze będą dobrze zabezpieczone przed dostępem nie autoryzowanych osób, istotnym wymogiem może być również zabezpieczenie dostępu do sieci. W firmach, w których dostęp do pomieszczeń firmy jest kontrolowany z wykorzystaniem kart dostępu, ma to mniejsze znaczenie. Jeśli jednak zewnętrzny użytkownik ma szansę bez problemu wpiąć swój komputer przenośny do dowolnego gniazdka sieciowego bez konieczności przechodzenia przez bramki kontrolujące dostęp do firmy, konieczne jest zabezpieczenie transmisji sieciowych. Potencjalnie ma on bowiem możliwość podsłuchiwania ruchu w sieci za pośrednictwem oprogramowania przechwytującego wszystkie przesyłane pakiety. Aby zabezpieczyć się przed takim zagrożeniem, zarówno ze strony zewnętrznego intruza, jak i nadużywającego swoich uprawnień pracownika firmy, może być konieczny podział sieci na kilka niezależnych podsieci, obejmujących poszczególne chronione działy. Ważne jest, by podział ten odzwierciedlał fizyczny podział firmy na strefy wymagające oddzielnych praw dostępu. W celu zabezpieczenia komunikacji pomiędzy wszystkimi stacjami roboczymi i serwerami wymagane może być wdrożenie zaawansowanych technologii szyfrujących realizowane transmisje, np. z wykorzystaniem protokołu IPSec.

Polityka bezpieczeństwa powinna również określać zasady kopiowania dokumentów firmowych, precyzować, czy pracownicy mają prawo zabierać je ze sobą do domu czy też może w wyjątkowych sytuacjach powinni więcej czasu spędzić w firmie, kończąc aktualnie realizowaną pracę. Istotnym, wiążącym się z wynoszeniem dokumentów z firmy zagrożeniem dla bezpieczeństwa informacji jest zastosowanie komputerów przenośnych. Z racji swojej specyfiki umożliwiają one użytkownikowi przechowywanie wielu niezbędnych do wykonywania jego pracy informacji na dysku lokalnym. Osoby realizujące wdrożenie polityki bezpieczeństwa powinny opracować sposoby zabezpieczania tych informacji przed wykorzystaniem przez nie uprawnione osoby, np. po kradzieży notebooka.

Inny, podobny problem dotyczy serwisowania sprzętu komputerowego, wykorzystywanego przez firmę. Zespół wdrożeniowy musi opracować procedury regulujące zarówno zasady serwisowania sprzętu przez zewnętrzną firmę wewnątrz firmy wdrażającej politykę bezpieczeństwa, jak i zasady przekazywania komputerów do zewnętrznego serwisu, np. każdorazową konieczność wyjęcia z komputera przed przekazaniem go serwisowi dysku twardego z danymi użytkownika.

Niebezpieczna sieć globalna

Jednym z najważniejszych źródeł potencjalnych zagrożeń bezpieczeństwa danych korporacyjnych jest połączenie firmy z Internetem. Dlatego też polityka bezpieczeństwa powinna określać, jakie działania muszą być podjęte, aby zabezpieczyć połączenie z Internetem i stale monitorować efektywność funkcjonowania zabezpieczeń oraz reagować na mogące wystąpić złamania istniejących zabezpieczeń.

Jeśli Internet jest wykorzystywany nie tylko jako nośnik poczty elektronicznej i dostęp do stron internetowych, ale również jako sposób komunikacji z partnerami handlowymi firmy, konieczne jest wdrożenie rozwiązań, które będą gwarantować poufność tej komunikacji, np. technologii VPN. Docelowo wszystkie połączenia wychodzące z firmy poza jej sieć lokalną powinny być szyfrowane - również komunikacja między routerami, pracującymi w ramach korporacyjnej sieci WAN. Dotyczy to nawet takich sytuacji, gdy komunikacja jest realizowana po dedykowanych, dzierżawionych łączach. Szczegółowo problem zabezpieczenia styku firmowej sieci lokalnej z Internetem opisany jest w artykule Mur pomiędzy sieciami.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200