Kręte drogi bezpieczeństwa

Wdrożenie i nadzór

Zadaniem, jakie często stawia się przed zespołem opracowującym Politykę Bezpieczeństwa, jest uzdrowienie firmy. Jest niewiele zespołów, które to potrafią, zadanie to wymaga bowiem od osób projektujących Politykę... znajomości zagadnień znacznie wykraczających poza bezpieczeństwo i informatykę.

W początkowej fazie wdrażania zatwierdzonego projektu następuje powołanie i przeszkolenie osób zajmujących nowe funkcje administracyjno-kierownicze. Jednocześnie przygotowywane są zakupy sprzętu i oprogramowania. Następnie przystępuje się do przeszkalania pozostałych pracowników i wdrożeń sprzętowo-programowych. Końcowy etap przejścia firmy na nowy podział kompetencji może odbywać się stopniowo, kolejno różne działy lub też w skali całej firmy jednocześnie.

Po formalnym zakończeniu wdrożenia Polityki Bezpieczeństwa rozpoczyna się ciągły proces wewnętrznego i zewnętrznego nadzoru pracy całej sieci teleinformatycznej, który firma może wykonywać samodzielnie lub zlecić zewnętrznym audytorom. Bez względu na to, kto będzie prowadził stały nadzór, zalecane jest, aby okresowo zatrudniać zewnętrznych specjalistów, którzy będą przeprowadzać pełne testy całej sieci lub jej wskazanych zasobów.

Często do takich testów angażuje się Tiger Teamy - grupy profesjonalistów, które przeprowadzają kontrolowane włamanie, posługując się wszystkimi dostępnymi środkami. Zaletą tej metody jest uzyskanie pewności, czy można złamać zabezpieczenia. Wadą tego działania jest możliwość destabilizacji pracy systemów lub sieci. Metodę tę więc poleca się wyłącznie tam gdzie wiadomo, że w razie załamania zabezpieczeń systemu czy sieci pracownicy będą mogli usunąć uszkodzenia. Podczas przeprowadzania wszystkich testów tworzone są dokładne raporty, na podstawie których można określić stopień użyteczności istniejących przepisów wobec powstających zagrożeń.

W ramach nadzoru mieści się również rola doradztwa prawno-informatycznego. Częste są sytuacje, kiedy nie wiadomo, jakie mogą być konsekwencje prawne incydentu i czy będzie potrzebna pomoc techniczna specjalistów, mających większą wiedzę i doświadczenie niż lokalni administratorzy. Przedsiębiorstwo może zażyczyć sobie od firmy obsługującej ją w tym zakresie, by powiadamiała je natychmiast o nowo powstających zagrożeniach i sposobach zapobiegania im.

Zadzwoń do specjalisty

Kiedy firma zdecyduje się na realizację Regulaminu Sieci czy Polityki Bezpieczeństwa, musi wybrać firmy lub osoby, które będą opracowywały i wdrażały jej projekty. Najczęściej już na tym etapie kierownictwo firmy popełnia kilka błędów.

Pierwszym jest wiara, że Politykę Bezpieczeństwa można opracować wyłącznie przy pomocy własnych administratorów i innych osób odpowiedzialnych za informatykę w przedsiębiorstwie. Nic nie stoi na przeszkodzie, by uczestniczyły one w takim projekcie, jednak to nie administrator czy programista powinni go opracowywać i realizować.

Najlepiej jeżeli robi to zespół ludzi, specjalistów z wielu dziedzin: informatyki, prawa i organizacji, a także specjaliści od bhp, ochrony przeciwpożarowej, systemów zabezpieczeń itp. Konieczne będzie bowiem kompleksowe podejście do problemu: zmodyfikowanie schematu zależności służbowych, sformułowanie nowych przepisów zgodnie z kodeksem pracy, a także instalacja nowych lub usprawnienie działania już istniejących zabezpieczeń.

Dodatkowym powodem, dla którego tym projektem nie powinni zajmować się zakładowi informatycy, jest ich zaangażowanie w inne zadania informatyczne realizowane w firmie. Jeśli Politykę... mieliby wdrażać w wolnym czasie, to zapewne projekt taki trwałby znacznie dłużej. Lokalni informatycy nie mają także tak dużej mocy sprawczej, jak zewnętrzny konsultant.

Niestety, w Polsce działa niewiele firm oferujących usługi opracowywania i wdrażania Regulaminu Sieci czy Polityki Bezpieczeństwa. Jeszcze mniej jest takich, które mają wieloletnią praktykę w realizacji tego typu projektów. Zachodnich firm doradczych jest znacznie więcej, lecz niezmiernie ważnym faktem jest znajomość polskich realiów i polskiego prawa.

Firmę doradczą, oferującą tworzenie projektów bezpieczeństwa, można wybrać w drodze przetargu. Powinna ona zapewniać zarówno prawną stronę opracowania dokumentów bezpieczeństwa, jak i szkolenia pracowników, odpowiedni poziom przeprowadzanego audytu (wykonywanego w pierwszym etapie Polityki Bezpieczeństwa) i późniejszy ewentualny nadzór nad wdrożoną już Polityką... Ze względów bezpieczeństwa wskazane jest także, by całość prac zlecić jednej firmie.


TOP 200