Strategia ochrony informacji w sieci przedsiębiorstwa

We współczesnym świecie zdalnych pracowników, partnerów handlowych, klientów systemów e-commerce i wewnętrznych hakerów ochrona polegająca na ustawieniu zapór ogniowych wyznaczających okrężną linię obrony – z zaufanymi użytkownikami w środku i niezaufanymi poza nią – nie wystarcza. Po prostu nie da się jednoznacznie określić strefy ochronnej.

We współczesnym świecie zdalnych pracowników, partnerów handlowych, klientów systemów e-commerce i wewnętrznych hakerów ochrona polegająca na ustawieniu zapór ogniowych wyznaczających okrężną linię obrony – z zaufanymi użytkownikami w środku i niezaufanymi poza nią – nie wystarcza. Po prostu nie da się jednoznacznie określić strefy ochronnej.

Efektywna strategia ochrony musi być dużo bardziej elastyczna i bardziej wymyślna niż postawienie "strażnika" przy bramie wejściowej do sieci. Nowy model bezpieczeństwa sieci musi chronić dane niezależnie od tego, gdzie się znajdują.

Zalecanym podejściem jest klasyfikacja danych na podstawie ich znaczenia i w konsekwencji ustanowienie różnych poziomów ochrony. To samo dotyczy użytkowników. Ich uprawnienia powinny być sklasyfikowane pod względem roli użytkownika w organizacji i jego potrzeby dostępu do specyficznych aplikacji. Samą sieć należy podzielić na strefy oparte na poziomach poufności.

Wiele różnych narzędzi służy do zapewniania bezpieczeństwa: programy antywirusowe, oprogramowanie kryptograficzne, VPN itp. Hasła, karty czipowe i oprogramowanie wymuszające przestrzeganie reguł polityki bezpieczeństwa mogą chronić serwery i strefy sieci przed nieautoryzowanym dostępem. Lepszą, ale też droższą broń można znaleźć w bezpiecznych ("utwardzonych") serwerowych systemach operacyjnych.

Polityka bezpieczeństwa

Techniki informatyczne są stosowane do obróbki olbrzymich wolumenów informacji. Ponieważ dane mają różny typ i znaczenie, musi być możliwe ich elastyczne obrabianie i ochrona. Nieefektywne jest wymaganie, aby wszystkie były obsługiwane w ten sam sposób lub podlegały tym samym procedurom ochronnym.

Polityka bezpieczeństwa systemu informatycznego określa poprawne i niepoprawne (w sensie bezpieczeństwa) sposoby wykorzystywania zasobów i danych przechowywanych w systemie. Określaniem polityki bezpieczeństwa zajmuje się zarząd organizacji i osoby odpowiedzialne za bezpieczeństwo, w ścisłej współpracy z administratorami systemu informatycznego, jak również użytkownikami.

Polityka bezpieczeństwa powinna być spisana i udostępniona wszystkim pracownikom organizacji używającym systemu komputerowego. Nowi pracownicy powinni obowiązkowo zaznajamiać się z dokumentem opisującym politykę bezpieczeństwa.

Najlepszym miejscem do publikowania zasad jest firmowa intrasieć. Wysyłanie do wszystkich pracowników okresowo wiadomości elektronicznych zawierających dokumenty opisujące zasady przyjętej polityki jest jedną z możliwych metod.

Nawet najlepiej opracowana polityka bezpieczeństwa stanie się bezużyteczna, jeśli nie będzie realizowana w praktyce. Muszą być mechanizmy wymuszające jej realizację.

Jednym ze sposobów zapewnienia przestrzegania reguł bezpieczeństwa jest przygotowanie szczegółowego przewodnika ich wprowadzania (krok po kroku). Na tym etapie zasady polityki bezpieczeństwa powinny być opisane w kategoriach technicznych. Jeżeli według reguł polityki na przykład hasło logowania do systemu musi być zmieniane najrzadziej co dwa miesiące, to dokument musi szczegółowo instruować, jak to zrobić.

Zarówno reguły polityki, jak i procedury powinny być nieustannie monitorowane i poddawane okresowym audytom w celu zapewnienia zgodności ustawień konfiguracyjnych z wymaganiami bezpieczeństwa.

Polityka bezpieczeństwa jest kluczowym elementem infrastruktury IT każdej organizacji, jednak w praktyce jej zasady są często ignorowane. Określenie takiej polityki wymaga regularnego jej uaktualniania, odpowiadającego zmianom w środowisku biznesowym.