Kręte drogi bezpieczeństwa
-
- Artur Włodarczyk,
-
- Bogusław Fries,
- 21.09.1998
Niebezpieczny outsourcing
Przy wdrażaniu Polityki Bezpieczeństwa weryfikowanych jest wiele procedur uchodzących dotychczas za standardowe. Istotnych modyfikacji wymaga podejście do zagadnienia serwisu sprzętu komputerowego oraz oprogramowania istniejącego w firmie. W praktyce bowiem jest tak, że do sieci składającej się z kilkudziesięciu komputerów co najmniej raz w tygodniu przyjeżdża pracownik działu serwisowego i naprawia komputer na miejscu bądź zabiera go do serwisu. Z komputerem najczęściej wynosi z firmy także dane przechowywane na jego dysku lokalnym, co stanowi istotne naruszenie zasad Polityki Bezpieczeństwa.
Podobnie jest z oprogramowaniem i pozostałymi systemami teleinformatycznymi. Jeżeli ulegnie awarii centrala telefoniczna, nikt nie zabroni dać serwisantowi mały przyrząd, służący do podsłuchiwania rozmów telefonicznych wewnątrz firmy. Jeżeli zepsuje się stacja robocza, technik wkładający dyskietkę może wprowadzić wirusa.
Nie można jednak zrezygnować z serwisu firm zewnętrznych, gdyż konieczne byłoby natychmiastowe zatrudnienie w firmie kolejnych informatyków, co drastycznie podnosi koszty.
Jedynym rozwiązaniem jest wybór takich firm, które już mają wdrożone odpowiednie normy bezpieczeństwa. Warto, by w umowie serwisowej znalazły się także zapisy dotyczące bezpieczeństwa informacji przechowywanych w firmie.
Minimalizacja kosztów
Pierwsze pytanie, które zadają menedżerowie firm przygotowujących się do wdrożenie Polityki Bezpieczeństwa, dotyczy tego, czy można zredukować jej wysokie koszty. Jest to możliwe, ale nie pozwoli na osiągnięcie tak zaawansowanej ochrony, jak w przypadku kompleksowej realizacji.
W tym celu należy najpierw zgrupować posiadane zasoby według ich ważności, a co za tym idzie wartości finansowej. Następnie opracować taką Politykę..., która będzie gwarantowała ochronę tylko najważniejszych zasobów, pozostałe chroniąc słabiej lub w ogóle.
W efekcie w firmie może powstać wydzielona sieć komputerowa, osobno chroniona bardzo dobrym sprzę- tem i oprogramowaniem, z bardzo dobrze przeszkolonym administratorem i użytkownikami. Reszta sieci komputerowej przedsiębiorstwa, wraz z innymi zasobami, zostanie praktycznie nie zmieniona.
Wiedząc, że tylko pewną część danych powinno się chronić w specjalny sposób, tworzy się strefy chronione wewnątrz obszarów o standardowych zabezpieczeniach. Zwiększa się ryzyko w pozostałych strefach firmy, by je zmniejszyć w tych strefach, na których bezpieczeństwie kierownictwu zależy najbardziej.
Takie podejście określa się jako administrowanie ryzykiem. Przy konstruowaniu Polityki Bezpieczeństwa ten sposób może spowodować znaczną oszczędność finansową, doprowadzając do podniesienia w stosunkowo krótkim czasie poziomu bezpieczeństwa zasobów szczególnie "wrażliwych".
