Eksploatowane dziś sieci korporacyjne mogą być jak twierdze: zabezpieczone firewallami, otoczone strefami zdemilitaryzowanymi, stosujące szyfrowanie przesyłanych danych, korzystające z oprogramowania antywirusowego i skanerów sieciowych wykrywających intruzów.

Jednak wszystkie te środki mogą zawieść, jeśli do firmy może bez większego problemu wejść pracownik konkurencji, usiąść przy dowolnym komputerze i z przyklejonej do monitora kartki spisać identyfikator i hasło użytkownika. W najbardziej zaniedbanych pod względem ochrony firmach taki intruz potrafi dotrzeć do serwerowni i zasiąść do konsoli serwera bądź po prostu wyjąć dyski z danymi.

Istnieją instytucje wykorzystujące zabezpieczenia sieci komputerowych na najwyższym poziomie i przy obecnej wiedzy włamanie się do nich z zewnątrz byłoby nieopłacalne. Wydawać by się mogło, że jakikolwiek wyciek informacji z takiej instytucji jest niemożliwy. Okazuje się jednak, że dane mogą ulatniać się w inny sposób. Firma nie ma odpowiedniej ochrony umożliwiającej kontrolowanie kto, kiedy i w jakim celu ją odwiedza, a także czy z niej wychodzi, nie wynosząc dysków twardych bądź urządzeń komputerowych. Nie dotyczy to wyłącznie gości zewnętrznych. Potencjalnym zagrożeniem mogą być również nie zawsze uczciwi pracownicy firmy, jak też zagrożenia zewnętrzne, typu awarie instalacji elektrycznych, powódź itp.

Przed ochroną

Firma, która dopiero buduje budynek lub zamierza wynająć powierzchnię biurową, znajduje się w tej luksusowej sytuacji, gdyż może dokładnie zaplanować lokalizację poszczególnych pomieszczeń biurowych i ich funkcję. Mniejsze możliwości działania mają instytucje, które zajmują już określone miejsce w konkretnym budynku. Mogą one jednak podjąć próbę zmiany organizacji firmy w ramach dostępnych możliwości, by podnieść poziom bezpieczeństwa posiadanych informacji.

Podstawą do dalszego działania jest sprecyzowanie, co będzie podlegało ochronie i przed czym mają być zabezpieczone poszczególne obiekty. Następnie należy skompletować bądź uzupełnić plany zajmowanego przez firmę lokalu. Powinny one uwzględniać wszystkie pomieszczenia, instalacje gazowe, wodne i elektryczne, lokalizację gniazdek sieciowych i telefonicznych, a także rozmieszczenie urządzeń alarmowych, detektorów dymu, gazu itp.

Mając dokładny plan, można określić docelową lokalizację serwerowni i pomieszczeń, w których będą znajdować się urządzenia sieciowe, jeśli firma zajmuje np. kilka pięter w dużym budynku. Zazwyczaj serwerownię umieszcza się w podziemiach lub na ostatnim piętrze, a lokalne punkty dystrybucyjne na poszczególnych piętrach w pionie nad bądź pod serwerownią. Należy zwrócić uwagę na to, aby dostęp do serwerowni i urządzeń sieciowych był jak najbardziej utrudniony dla potencjalnego intruza. Lokal warto więc podzielić na strefy, oddzielone drzwiami z zamkami na karty magnetyczne lub wymagającymi wpisania odpowiedniego kodu. Wejście do firmy od serwerowni powinna oddzielać możliwie największa liczba tak zabezpieczonych drzwi.

Podział firmy na strefy ogranicza dostęp do niektórych pomieszczeń nie tylko intruzom z zewnątrz, ale także nie uprawnionym pracownikom. Kompleksowa polityka bezpieczeństwa firmy powinna uwzględniać miejsca, gdzie należy zamontować zamki elektroniczne i częstotliwość zmiany w nich kodu. Ponadto niektóre strefy mogą być monitorowane z wykorzystaniem systemów telewizji przemysłowej.

Najsłabsze ogniowo

Nawet najbardziej wyszukane rozwiązania alarmowe, dokładne kontrole osobiste i inne środki bezpieczeństwa nie będą skuteczną zaporą przed kradzieżami informacji. Można bowiem np. przekupić strażnika, który ma dostęp do krytycznych pomieszczeń. W związku z tym niezwykle ważny jest odpowiedni dobór personelu. Należy bacznie kontrolować poczynania pracowników, którzy wydają się być niezadowoleni ze swojej pracy, zarobków, możliwości awansu itp. Mogą oni - często złośliwie - wykorzystywać sprzyjające sytuacje do działania na szkodę firmy.

Wszystkie osoby przebywające w firmie powinny mieć identyfikatory. Najlepiej, by ich kolory były różne w zależności od działu, w którym pracuje dana osoba. Oddzielny wzór lub kolor identyfikatora powinien być przeznaczony dla gości odwiedzających firmę, co pozwoli na szybkie rozpoznanie tej osoby i reakcję na jej podejrzane zachowanie.

Każda osoba wchodząca i wychodząca z budynku powinna być rejestrowana, natomiast wynosząca cokolwiek z firmy - sprawdzana. Utrudni to kradzieże (nie tylko sprzętu komputerowego) i uniemożliwi wejście osobom niepowołanym. Niestety, w praktyce najczęściej do firmy może wejść każdy i wynieść z niej cokolwiek (od pudełka z CD-ROM-ami, po komputer), podszywając się np. pod serwisanta.

Do budynku powinno być tylko jedno, główne wejście i wyjście, co ułatwi monitorowanie ruchu, oraz wyjścia awaryjne, z których nikt nie powinien na co dzień korzystać.

Należy przestrzegać stosowania się każdego pracownika firmy do wszystkich zdefiniowanych zasad - w takim samym stopniu np. przez sekretarkę, jak i prezesa zarządu. Raz określone zasady nie powinny być zbyt często modyfikowane, gdyż wprowadza to zamieszanie (niektórzy pracownicy nie nadążą za śledzeniem zmian i w rezultacie będą postępować według wcześniej określonych reguł).

Ochrona fizyczna pomieszczeń

Pojedyncze pomieszczenia lub cały budynek można chronić za pomocą systemów alarmowych, wzbogaconych o system telewizji przemysłowej i detektory dymu.

W Polsce niewiele osób reaguje na syrenę alarmową, warto więc zastanowić się nad wynajęciem ochrony i bezpośrednim podłączeniem systemu alarmowego do centrali firmy ochroniarskiej, skąd w awaryjnych przypadkach natychmiast zostanie wysłana brygada interwencyjna.

Lecz nawet najlepszy alarm nie wystarczy, by powstrzymać włamywacza, toteż należy zainstalować odpowiednie drzwi i zamki. Wprawdzie wytrawny złodziej często poradzi sobie z nimi, ale zajmie mu to czas, potrzebny brygadzie interwencyjnej na dojazd. W przypadku interwencji policji czas oczekiwania na jej przyjazd jest na tyle długi i nieprzewidywalny, że nie można na nią w pełni liczyć.