Jak zdefiniować firmową politykę bezpieczeństwa

Bezpieczeństwo IT, najprościej rzecz ujmując, to zespół wszelkich zagadnień związanych z zapewnieniem integralności, poufności i dostępności obiegu informacji w systemach IT przedsiębiorstwa. Z kolei polityka bezpieczeństwa to strategiczny dokument pozwalający na efektywne i całościowe zarządzanie bezpieczeństwem informacji, które zgromadzone są w firmie, a w szczególności w jej systemach informatycznych.

Wprowadzenie Rozporządzenia o Ochronie Danych Osobowych okazało się punktem zwrotnym w dziedzinie zarządzania bezpieczeństwem w polskich firmach. Ta zmiana unijnych przepisów nie tylko w istotny sposób wpłynęła na politykę bezpieczeństwa IT w firmach, ale sprawiła również, że wiele przedsiębiorstw po raz pierwszy musiało opracować procedury i dokumenty realnie implementujące politykę bezpieczeństwa w organizacji. Z ubiegłorocznego badania „Computerworlda” wynika, że obecnie 82% polskich firm posiada udokumentowane polityki bezpieczeństwa, a procedury zachowania zgodności z RODO wdrożyło 87% przedsiębiorców.

Co to jest polityka bezpieczeństwa

Charakterystyczną cechą polityki bezpieczeństwa jest to, że dokument ten zawiera spisane cele, strategie oraz działania, które w jasny, ustrukturyzowany sposób określają, jak należy zarządzać zgromadzonymi danymi, jak je chronić i rozpowszechniać. Dokument ułatwia też zrozumienie celu istnienia procedur bezpieczeństwa i ma za zadanie podnosić świadomość pracowników na temat zagrożeń bezpieczeństwa i związanego z nimi ryzyka.

Zobacz również:

Polityka bezpieczeństwa powinna być dokumentem spisanym, który jest zrozumiały i dostępny dla każdego pracownika firmy oraz osób korzystających z jej informatycznych zasobów. Wymóg ten powinien dotyczyć również także i partnerów biznesowych, jeżeli jakimkolwiek stopniu korzystają w z firmowych zasobów IT. Polityka bezpieczeństwa nie jest pojęciem jednoznacznym, możemy mieć bowiem do czynienia z całościową polityką bezpieczeństwa, polityką bezpieczeństwa w rozumieniu Ustawy o Ochronie Danych Osobowych lub polityką bezpieczeństwa opisującą założenia tylko dla wybranego systemu IT lub zbioru danych.

Polityka bezpieczeństwa powinna zawierać jedynie ogólne, ale spójne założenia reguł i procedur dotyczących bezpieczeństwa dla danego obszaru. Szczegółowe zasady dotyczące zabezpieczeń, instrukcje reagowania na incydenty bezpieczeństwa czy opis sposobu korzystania z danych bądź przydzielania uprawnień dostępu powinny być opisane w oddzielnych dokumentach zawierających przyjęte w firmie standardy i procedury postępowania.

Opisany podział coraz częściej nie jest już tak wyraźny jak jeszcze kilka lat temu, zwłaszcza w małych i średnich firmach. Dlatego polityka bezpieczeństwa może obecnie stanowić połączenie klasycznego, nadrzędnego dokumentu z elementami standardów i procedur, które do niedawna niemal zawsze były oddzielnymi dokumentami.

Zawartość polityki bezpieczeństwa

Firmowa polityka bezpieczeństwa powinna zawierać zbiór spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje dane, dokumenty i zasoby informatyczne, zarządza nimi oraz je udostępnia. Określa też, które zasoby i w jaki sposób mają być chronione. Ponadto obejmuje opis możliwych rodzajów naruszenia bezpieczeństwa, m.in.: utraty danych, ich wycieku, nieautoryzowanego dostępu, a także scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu, z odesłaniem do szczegółowych procedur obowiązujących w firmie. Polityka bezpieczeństwa definiuje również poprawne i niepoprawne korzystanie z takich zasobów, jak konta użytkowników, dostęp do danych i oprogramowania.

Innymi słowy, polityka bezpieczeństwa powinna odnosić się do tego, jakie dane muszą podlegać ochronie, jakie zasoby są krytyczne z punktu widzenia firmy i regulacji prawnych takich jak RODO. Należy też zdefiniować, jakie systemy IT są narażone na wyciek lub utratę danych, a w związku z tym jaki sprzęt musi podlegać szczególnej ochronie, ze szczególnym uwzględnieniem sprzętu mobilnego. Projektując mechanizmy ochrony informacji, należy również określić takie elementy, jak model bezpieczeństwa, mechanizmy kontroli dostępu, a także poziomy uprawnień – w tym jakie poziomy uprawnień istnieją obecnie oraz jakie są zasady ich przyznawania.

Należy też pamiętać o mechanizmach identyfikacji, autentykacji i zapewnienia autentyczności zarówno na poziomie fizycznym (dostęp do pomieszczeń, np. serwerowni), jak i poziomie systemów IT. Dodatkowo dochodzą do tego procedury związane ze śledzeniem zdarzeń w systemie, które obejmują same mechanizmy, a także programy czy procedury stosowane do śledzenia zmian w tychże systemach.

Definiowanie polityki bezpieczeństwa

Reguły dobrze zdefiniowanej polityki bezpieczeństwa

• jednoznaczne przypisanie uprawnień użytkownika do wykorzystywanej przez niego informacji;

• zdefiniowanie poziomu poufności informacji od chwili jej powstania aż do całkowitego usunięcia z obiegu;

• uprawniony sposób przetwarzania informacji elektronicznej (np. eliminacja BYOD);

• ograniczeni swobodnego wykorzystania obcych nośników informacji (np. dysków USB),

• klasyfikacja użytkowników, systemów, peryferii (np. zarządzanie drukiem w firmie) oraz oprogramowania pod względem ochrony przetwarzanych informacji;

• procedury zachowania poufności danych w przypadku kradzieży lub zagubienia nośników danych, laptopów bądź urządzeń mobilnych, na których znajdowały się wrażliwe informacje;

• wychwytywanie naruszeń polityki bezpieczeństwa;

• ewidencjonowanie dowodów naruszeń polityki bezpieczeństwa.

Dokument zawierający politykę bezpieczeństwa przedsiębiorstwa powinien obejmować również kwestie przetwarzania danych osobowych oraz zarządzania nimi zgodnie z wytycznymi RODO. Polityka bezpieczeństwa powinna być formułowana na podstawie zaleceń audytu, który identyfikuje i klasyfikuje dane, procedury i zagrożenia dotyczące bezpieczeństwa. Należy jasno zdefiniować zasady przydzielania uprawnień dostępu do poszczególnych klas danych oraz ustalić schemat obiegu informacji w firmie.

Do odpowiedniego zdefiniowania polityki bezpieczeństwa przeprowadzony audyt powinien podzielić infrastrukturę IT na kategorie, w których łatwiej będzie się przyjrzeć potencjalnym zagrożeniom. Podział powinien objąć takie grupy, jak: dane, systemy IT, systemy sieciowe i infrastruktura LAN, infrastruktura IT (w tym serwery) oraz ludzie.

W wypadku danych audytem należy objąć wszystkie istotne informacje wytwarzane lub przechowywane w przedsiębiorstwie. Nie wolno zapomnieć o danych, które znajdują się lub generowane są poza organizacją, np. w chmurze, lub o informacjach przekazywanych przez klientów przy składaniu zamówień za pośrednictwem zewnętrznych usług. Audyt musi dotyczyć zarówno danych księgowych, jak i danych personalnych, a także wszelkich danych gromadzonych automatycznie przez różne systemy IT związane z kontrola dostępu, nagraniami z kamer CCTV, statystykami, logami itp.

Dla systemów IT audyt musi zidentyfikować wszystkie aplikacje i programy, które mają dostęp do firmowych danych i mogą je przetwarzać, przesyłać czy gromadzić. W ramach audytu należy zgromadzić szczegółowe informacje na temat każdej aplikacji, programu czy systemu operacyjnego przetwarzającego dane, w tym nazwę i wersję aplikacji, producenta, a także informacje o legalności oprogramowania, jego licencjonowaniu i wsparciu.

W wypadku audytu infrastruktury LAN istotne jest, aby objął inwentaryzację wszystkich sieci komputerowych przedsiębiorstwa, zarówno sieci LAN, WLAN, jak i WAN, z uwzględnieniem technologii, w jakich pracują. Inwentaryzacja powinna obejmować modele urządzeń sieciowych, ich aktualną konfigurację i wersję firmware’u.

Audyt infrastruktury IT musi dotyczyć serwerów i urządzeń sieci informatycznych, w tym drukarek. Należy zgromadzić informacje na temat integralności urządzeń, ich stanu technicznego, sposobu podłączania do sieci LAN, sposobów zasilania, w tym obecności UPS-ów oraz lokalizacji poszczególnych urządzeń.

Oddzielną kategorię audytu muszą stanowić ludzie. Tu gromadzimy informacje o wszystkich osobach, także tych spoza firmy (np. serwisantach czy administratorach IT zarządzających naszymi danymi w chmurze u dostawcy usług), które mają dostęp do naszych danych i do systemów IT. Dzięki takiej bazie danych łatwo zweryfikować, czy każda z tych osób powinna mieć dostęp do konkretnej grupy danych, czy są jej przyznane odpowiednie uprawnienia pozwalające jej wykonywać powierzony zakres obowiązków.

Wdrożenie polityki bezpieczeństwa

Mając już szczegółowe dane z audytu, w kolejnym kroku projektowania polityki bezpieczeństwa należy uwzględnić, czy firma będzie w stanie ponieść koszty finansowe i organizacyjne związane z wprowadzaniem zamierzonego zakresu tej polityki w życie. Należy pamiętać, że podwyższanie poziomu bezpieczeństwa odbywa się niemal zawsze kosztem wygody, produktywności i efektywności działania. Dlatego polityka bezpieczeństwa musi być dostosowana ściśle do specyfiki firmy, tak aby nadać jej cechy ułatwiające zastosowanie jej w praktyce – inaczej nie będzie przestrzegana.

Polityka bezpieczeństwa musi obejmować wszystkie urządzenia wykorzystywane w procesie przetwarzania danych. Powinna zawierać również informacje dotyczące zasad edukacji pracowników w zakresie bezpieczeństwa i weryfikacji przestrzegania firmowych standardów bezpieczeństwa – ten aspekt jest niestety bardzo często pomijany i prowadzi wprost do tego, że dokument zawierający politykę bezpieczeństwa będzie tylko kolejnym, o którym wiadomo, że jest, ale nikt nie wie, co zawiera.

Wdrażając politykę bezpieczeństwa, należy uwzględnić również bieżące trendy, w tym powszechność mediów społecznościowych czy zdalną pracę mobilną. Gdy pojawią się nowe trendy, polityka musi być natychmiast modyfikowana. Co ważne, należy wówczas jak najszybciej przeprowadzić odpowiednie szkolenie dla pracowników i kadry menedżerskiej. Tego, jak szybko zmieniają się uwarunkowania, dowodzi istotny jeszcze kilka lat temu z punktu widzenia bezpieczeństwa firmowego trend BYOD (Bring Your Own Device), który praktycznie zniknął. Stało się tak za sprawą upowszechnienia się taniej i szybkiej mobilnej transmisji danych LTE. Pracownicy nie mają już potrzeby, aby logować się ze swoich prywatnych urządzeń do firmowej sieci LAN.

Polityka bezpieczeństwa - uwarunkowania prawne

Polskie firmy korzystają z powszechnie dostępnych standardów bezpieczeństwa i stosują je w praktyce, nawet jeśli nie przeprowadzają formalnej certyfikacji. Podstawową normą standaryzującą systemy zarządzania bezpieczeństwem informacji jest ISO 27001. Wyróżniono w niej i opisano 11 kluczowych obszarów bezpieczeństwa i obejmuje ona specyfikację Systemów Zarządzania Bezpieczeństwem Informacji (SZBI).

Popularność normy ISO 27001 wynika w dużej mierze z faktu, że w 2012 r. Rada Ministrów w drodze rozporządzenia przedstawiła wymagania i rekomendacje dla instytucji sektora publicznego odnośnie do polityki bezpieczeństwa zgodnej z międzynarodową normą ISO. Dla sektora komercyjnego brak zgodności z ISO 27001 może stanowić przeszkodę w realizacji określonych zleceń dla administracji publicznej.

Szkolenia z zakresu polityki bezpieczeństwa

Całościowe podejście do polityki bezpieczeństwa musi uwzględniać realne zachowania pracowników. Aby je usystematyzować i kontrolować, niezbędne jest prowadzenie cyklicznych szkoleń. Konieczność uaktualniania wiedzy związanej z bezpieczeństwem powinna być zawarta wprost w polityce bezpieczeństwa firmy. Wiedzę pracowników na temat cyberbezpieczeństwa należy stale uzupełniać i aktualizować. Powinna obejmować nie tylko procedury bezpieczeństwa, ale także sposób postępowania w relacjach z osobami spoza firmy.

Pracownicy muszą zostać uczuleni na potencjalne zagrożenia, tak aby ich nieświadome działania, np. w mediach społecznościowych, nie prowadziły do incydentów związanych z naruszeniem systemu bezpieczeństwa firmowych danych. Istotnym problemem jest łatwy i powszechny dostęp do aplikacji oraz dysków sieciowych, np. Dysku Google’a czy Dropboksu. Te zagadnienia również powinny być poruszane na szkoleniach.

Polityka bezpieczeństwa. Wyzwania dla menedżera

Największym problemem we wdrażaniu polityki bezpieczeństwa jest niewłaściwe podejście kadry menedżerskiej najwyższego szczebla i kadry zarządzającej do zagadnienia. Najczęściej popełniany błąd polega na tym, że odpowiedzialność za bezpieczeństwo bierze wyłącznie dział IT. Tymczasem za politykę bezpieczeństwa przede wszystkim musi odpowiadać zarząd firmy, gdyż dopiero wówczas można skutecznie ją kontrolować i wymusić jej stosowanie.

Drugim błędem jest pozostawanie kadry menedżerskiej częściowo lub całkowicie poza systemem bezpieczeństwa firmy, na zasadzie, że prezesowi czy właścicielowi wszystko wolno. Tymczasem to właśnie mobilna, pracująca o różnych porach i często logująca się do sieci spoza biura kadra menedżerska jest najbardziej narażona na ataki ze strony cyberprzestępców.

Co gorsza, ze względu na uprawnienia dostępu do kluczowych systemów mimowolne lub świadome naruszenie zasad bezpieczeństwa przez menedżerów najwyższego szczebla może przynieść firmie największe szkody. W wypadku instytucji finansowych dochodzi jeszcze niezerowe ryzyko szantażu lub operacyjnego działania służb wywiadowczych obcego państwa.

Jak widać, największym zagrożeniem bezpieczeństwa jest człowiek. To od jego zachowań i sposobu postępowania zależy, czy nawet najlepiej przygotowana polityka bezpieczeństwa będzie przestrzegana, czy będzie tylko jeszcze jednym, nikomu niepotrzebnym dokumentem. Ale wpływ czynnika ludzkiego na bezpieczeństwo firmowych danych to temat na inny artykuł.


TOP 200