Ochrona danych w firmie - 7 zasad

Świat wielkiego biznesu, pełen skomplikowanych struktur przemysłowych, finansowych i handlowych, ogromnych korporacji, średnich firm i małych działalności gospodarczych zwykle przechodzi obojętnie wobec postępującej komputeryzacji społeczeństwa.

Tym samym nie dostrzega zagrożeń i niebezpieczeństw, jakie mogą wyniknąć ze złej gospodarki danymi czy wręcz całkowitym brakiem zabezpieczeń, które chronią firmę przed szpiegostwem przemysłowym. Wielu przedsiębiorców wciąż bowiem uważa, że jedynym sposobem kradzieży poufnych firmowych danych pozostaje wyniesienie ich w formie dokumentów lub na komputerowych nośnikach danych. Tymczasem okazuje się, że współcześni cyberprzestępcy nie potrzebują już żadnych wewnętrznych kontaktów w firmie – wystarczy im dostęp do Internetu oraz trochę czasu, aby złamać mało skomplikowane zabezpieczenia chroniące wspomniane dane.

Jak więc firmy mogą ustrzec się przed atakami z Sieci i jak odpowiednio, z zachowaniem wszelkich wytycznych chronić ważne dla siebie informacje oraz dane? Poniżej przedstawiamy kilka najważniejszych punktów, których zachowanie w ogromnym stopniu zwiększy poziom bezpieczeństwa przechowywanych danych.

  1. Pierwszym wykonanym krokiem w kierunku lepszego zabezpieczenia ważnych informacji jest segregacja hierarchiczna danych firmowych. Polega ona na szczegółowym przypisaniu dokumentacji firmowej, umowom, projektom odpowiedniej hierarchii ważności – które dokumenty należy chronić w wyjątkowym stopniu i kto może mieć do nich dostęp; które mogą być przekazywane pracownikom niższego szczebla, a które bez przeszkód mogą ujrzeć światło dzienne. Taka hierarchia pozwoli nam na zaoszczędzenie zarówno czasu jak i środków, które możemy poświęcić bezpośrednio na ochronę najistotniejszych i najważniejszych dokumentów.
  2. Z punktem pierwszym nieodłącznie związana jest także odpowiednia polityka bezpieczeństwa, czyli unormowanie stosunków dostępu do konkretnych danych. Chodzi tu głównie o wyznaczenie jasnej granicy – jedynie pracownicy z kierownictwa mają dostęp do danych najbardziej poufnych, zaś pracownicy niższego szczebla operować będą tylko na danych mało ważnych. Takie działania pozwalają chronić informacje firmowe przed dostaniem się w niepowołane ręce. Istotnym elementem takiej polityki bezpieczeństwa są też precyzyjne zasady dotyczące bezpośredniego zarządzania danymi (np. nie mogą być one zgrywane na zewnętrzne nośniki) oraz reguły określające dostęp do nich (dodatkowe zabezpieczenia w postaci haseł znanych tylko wybranym pracownikom).
  3. Zachowanie odpowiedniej ochrony przed wirusami oraz szeroko rozumianym złośliwym oprogramowaniem powinno być podstawą funkcjonowania jakiejkolwiek sieci zewnętrznej i wewnętrznej firmy. Obecnie jest to nie tylko wymóg związany ze zdrowym rozsądkiem, ale też odgórnie narzucony przez przepisy Unii Europejskiej. Każdy firmowy komputer – czy pracuje się na nim w pracy czy też w domu – powinien mieć zainstalowane aktualne oraz legalne oprogramowanie antywirusowe, zapobiegając tym samym w dużym stopniu ewentualnemu wypłynięciu i kradzieży firmowych danych.
  4. Inną kwestią jest właściwie zabezpieczona wewnętrzna sieć informatyczna, dzięki której pracownicy mogą się ze sobą porozumiewać czy przesyłać dane. Otwarcie połączenia VPN powinno przebiegać w ściśle określonych warunkach, na bezpiecznym i sprawdzonym sprzęcie i tylko w przypadkach, które faktycznie tego wymagają. Im dłużej bowiem nawiązywane jest połączenie VPN, tym większe ryzyko, że ktoś trzeci niepostrzeżenie podłączy się pod tak utworzony tunel informatyczny i wykradnie przesyłane dane lub wręcz włamie się do jednego z komputerów. Dlatego też innym istotnym elementem powinno być dodatkowe szyfrowanie wiadomości e-mail oraz niektórych danych. Chodzi tu o tak prowizoryczne rozwiązania jak podpis elektroniczny oraz procesy uwierzytelniania danych (tak zwane certyfikaty poufności). Wysłana, zaszyfrowana wiadomość e-mail może być w tym przypadku odszyfrowana dopiero przez właściwego adresata – osoba trzecia nie będzie miała z niej żadnego pożytku.
  5. Kwestią niepozostawiającą wiele do omawiania jest szkolenie pracowników, gdzie kluczową rolę pełni uświadamianie ich w sferze bezpieczeństwa. Zakaz wynoszenia danych na nośnikach zewnętrznych, sposoby przechowywania ważnych informacji w formie papierowych dokumentów to absolutna podstawa programu, jaki powinien znaleźć się na szkoleniu.
  6. Właściwy podział ról w firmie także jest bardzo ważny – administrator sieci firmowej zajmujący się IT nie powinien być jednocześnie odpowiedzialny za jej bezpieczeństwo. Dodatkowo uprawnienia poszczególnych pracowników powinny się od siebie różnić, tak jak zakres danych, do których mają dostęp (patrz punkt 1.), przy czym najszersze uprawnienia zyskuje zarząd, prezesi i osoby odpowiedzialne za bezpieczeństwo, mniejsze kierownicy poszczególnych wydziałów, zaś najmniejsze (lub żadne) pozostali pracownicy. Ważne dane są strzeżone więc przez ściśle określoną grupę osób, która cieszy się powszechnym zaufaniem i wysoką pozycją w firmie.
  7. Elementem podstawowego zabezpieczenia przed kradzieżą danych i szpiegostwem przemysłowym były, są i zapewne pozostaną… hasła. To właśnie one sprawiają, że dostanie się do poufnych danych staje się trudniejsze i wymaga dodatkowych procesów weryfikacyjnych i uwierzytelniania. Warto stosować takie rozwiązania jak smart cards oraz tokeny, które odblokowują dostęp do danych jedynie w przypadku, gdy poprawnie zostanie wpisany identyfikator, hasło oraz hasło uwierzytelniające. Bardziej zaawansowane technologie to czytniki linii papilarnych, DNA czy soczewek oka.

Zdjęcie: rzrxtion (pronounced resurrection)

Jak oceniasz artykuł?

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

brak komentarzy
Dodaj swoją opinie

Kompetencje

Certyfikat Cisco Certified Network Associate (CCNA) Routing and Switching

Polecamy

VirtualStudy.pl - technologia w zasięgu Internetu

Zasubskrybuj Newsletter

Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej (zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - Dz. U. Nr 144 poz. 1204.).

autoresponder system powered by FreshMail
 
Przeczytaj poprzedni wpis:
Czy adres IP może wchodzić w skład danych osobowych?

Historię z IP pani Maryli Rodowicz pamiętamy dobrze, a przynajmniej pamiętają ci, którzy interesują się tematem. Mimo wszystko dla przypomnienia...

Zamknij