Dla większości przedsiębiorców polityka bezpieczeństwa kojarzy się z oprogramowaniem antywirusowym i zaporą sieciową. Zabezpieczanie stacji roboczych przed potencjalnymi atakami z zewnątrz jest oczywiste, ale zabezpieczanie serwerów i aplikacji webowych już nie zawsze. System obrony przed atakami z zewnątrz powinien obejmować wszystkie komputery, serwery i aplikacje, które utrzymują łączność z internetem. Należy regularnie monitorować stan zabezpieczeń, dobierając oprogramowanie, które nie tylko ma możliwie najszersze spektrum ochrony (identyfikację zagrożeń), ale charakteryzuje się dobrą szybkością reakcji. W tym obszarze ważne jest także wdrożenie dobrej polityki bezpieczeństwa.

Kolejny aspekt ryzyka wiąże się z zaniechaniem lub zaniedbaniem tzw. zarządzania podatnościami. Jest to działanie, które ma na celu skanowanie użytkowanej infrastruktury IT w poszukiwaniu luk i błędów oraz raportowanie i podejmowanie procesu naprawczego. Zarządzanie podatnościami jest istotne w przypadku korzystania z większej lub mającej charakter rozproszonej infrastruktury IT, pozwala bowiem wielokrotnie ograniczyć potencjalne zagrożenia zarówno w kontekście ataków zewnętrznych, jak i wewnętrznych nadużyć.

Polityka bezpieczeństwa to kompendium reguł organizacji określające sposób użytkowania infrastruktury IT, uprawnienia pracowników, scenariusze postępowania w obliczu zagrożeń oraz przewidziane sankcje za naruszenie zapisów. W wielu przypadkach firmy nie stosują polityki bezpieczeństwa lub starają się ją stosować, ale robią to w sposób niewłaściwy. Nieumiejętne wdrażanie polityki bezpieczeństwa, najczęściej spowodowane jej niewłaściwym komunikowaniem, brakiem konsekwencji lub nieumocowaniem jej na szczeblu zarządu, samo w sobie stanowi źródło ryzyka informatycznego.

Można powiedzieć, że czynniki ryzyka sprowadzają się do świadomości zagrożeń wśród wszystkich pracowników - od zarządu, po pracowników operacyjnych. Budowanie świadomości wpisuje się w działania związane z wdrażaniem polityki bezpieczeństwa, ale ma szerszy wymiar. To odpowiedzialność kadr kierowniczych, które krzewią wśród podwładnych postawy nastawione na ochronę pracodawcy i miejsca pracy. Firmy, które tego nie potrafią, są bardziej narażone na czynniki ryzyka.

Maciej Majewski jest prezesem zarządu Pentacomp Systemy Informatyczne SA.