LexDigital

Bezpieczeństwo informacji w firmie

Bezpieczeństwo informacji w firmie, na obecnej fali zainteresowania RODO, skupia się przede wszystkim na ochronie danych osobowych. Często pomijanym elementem systemu bezpieczeństwa jest ochrona wszystkich danych – również tych, które pozornie nie mają wartości, a w rzeczywistości mogą stanowić przewagę konkurencyjną firmy.

Bezpieczeństwo informacji w firmie

Ochrona danych osobowych w firmie

W treści RODO wielokrotnie możemy spotkać się ze stanowiskiem, że ochrona danych osobowych jest podstawowym prawem każdego obywatela Unii Europejskiej. Ze względu na bardzo szybki rozwój technologii, prawo nie zawsze będzie jednak nadążało za nowymi sposobami używania takich danych. Co ważne, nie określa się już nawet w sposób zamknięty, czym dane osobowe są. W związku z rozwojem dziedzin takich jak biometria behawioralna, obecnie możemy zidentyfikować konkretną osobę na podstawie sposobu pisania na klawiaturze, czy specyficznych ruchów myszką. Jeśli weźmiemy również pod uwagę rozwój cyberataków typu APT, konieczne staje się chronienie wszystkich danych.


Polityka bezpieczeństwa informacji

W każdej organizacji gromadzone są ogromne ilości danych. To nie tylko dane osobowe, ale również informacje dotyczące wykorzystywanej technologii, porozumień handlowych czy podejmowanych działań marketingowych. Wiele z nich, z punktu widzenia działania organizacji, są najważniejsze. Ich ujawnienie, mogłoby spowodować utratę pozycji rynkowej. Z tego powodu, takie informacje oznaczane są klauzulą tajemnicy przedsiębiorstwa, a dostęp do nich ma ograniczona liczba osób.

Zarządzanie danymi w firmie (choćby poprzez wspomnianą klauzulę poufności) łączy się z pojęciem bezpieczeństwa informacji. Jest to proces, który ma na celu zapewnić, że dane gromadzone i przetwarzane w organizacji nie zostaną utracone, upublicznione w niekontrolowany sposób, lub zmienione. System bezpieczeństwa musi obejmować zarówno systemy informatyczne, które narażone są na awarie lub ataki hakerskie, ale także zabezpieczenia miejsc pracy, aby do danych miały dostęp wyłącznie osoby do tego uprawnione.

Bezpieczeństwo informacji w firmie, utrzymane na odpowiednim poziomie nie jest zadaniem łatwym. Aby zbudować odpowiedni do potrzeb organizacji system bezpieczeństwa, niezbędna jest analiza jej otoczenia, posiadanych informacji oraz roli jaką odgrywają w budowaniu jej przewagi konkurencyjne. Dopiero w oparciu o zdobytą w analizie wiedzę istnieje możliwość stworzenia polityki bezpieczeństwa informacji czyli zasad i procedur bezpieczeństwa wraz planem ich wdrożenia i egzekwowania.

Należy pamiętać, że raz wdrożone procedury nie będą zawsze skuteczne. Rozwój technologii przynosi także nowe zagrożenia. Niezwykle ważne jest, aby aktualizować swoj system, stale monitorować wprowadzane zasady zabezpieczania informacji, oraz modyfikować je wraz z pojawiającymi się nowymi zagrożeniami.

Zagrożenia w cyberprzestrzeni

O tym jak niebezpieczne może być nieaktualne lub wadliwe oprogramowanie można było przekonać się w 2017 roku. W maju właściciele wielu firma na całym świecie, mieli okazję poznać nowy rodzaj zagrożenia w cyberprzestrzeni. Atak przeprowadzony za pomocą oprogramowania WannaCry był największym tego typu. Choć w Polsce uderzył w sposób ograniczony infekując „zaledwie” 1235 komputerów (tyle adresów IP zarejestrował CERT Polska), to w skali świata było to już ponad 200 tysięcy komputerów z systemem Windows. Ofiarami ransomware padły między innymi brytyjska służba zdrowia, hiszpański operator telekomunikacyjny Telefonica, czy indyjskie linie lotnicze Shaheen Airlines.


Szyfrowanie dysku przez tego rodzaju program możliwy był przede wszystkim z jednego powodu – WannaCry wykorzystał znaną, i co ważniejsze, naprawioną lukę w systemie Windows. Tyle tylko, że Microsoft załatał dziurę poprzez patch, który powinien zainstalować się automatycznie podczas aktualizacji systemu. Chyba że taka aktualizacja była wyłączona, lub system operacyjny nie był już wspierany – jak w przypadku Windows XP. Może się wydawać, że ochrona danych w pierwszej kolejności powinna dotyczyć aktualizacji systemu lub jego wymiany na bezpieczną wersję, jednak jak pokazuje przykład, często zaniedbane zostają nawet tak podstawowe kwestie bezpieczeństwa sieci w istotnych dla społeczeństwa organizacjach.  

Zabezpieczenie danych osobowych w praktyce

Mimo że przepisy RODO mogą dla wielu osób stanowić nowość, zasady przetwarzania opierające się na zapewnieniu danym poufności, nienaruszalności, autentyczności i dostępności funkcjonują w obrębie systemów bezpieczeństwa już od wielu lat.

Głównym założeniem RODO jest podejście oparte na szacowaniu ryzyka dla danego procesu przetwarzania danych osobowych i dobrania adekwatnych środków bezpieczeństwa. Inaczej przecież należy zabezpieczyć system medyczny zawierający informacje o dawkach leków dla danego pacjenta, a inaczej operację zbierania danych w ramach ankiety pozakupowej. W pierwszym przypadku naruszenie integralności oraz autentyczności danych może spowodować poważne konsekwencje dla zdrowia pacjenta, a nawet jego śmierć. W drugim zaś – co najwyżej upublicznienie np. adres e-mail.

W związku z tym każdorazowo środki bezpieczeństwa należy dobierać indywidualnie, zgodnie z charakterem przetwarzanych danych w kontekście danej firmy czy podmiotu. Za dobór tych środków odpowiada Administrator Danych Osobowych. Oczywistym jest, że w wielu przypadkach nie będzie on w stanie rzetelnie i obiektywnie ocenić zagrożeń i środków, jakie powinny zostać wprowadzone w jego organizacji. Głównym zadaniem Administratora Danych Osobowych (a więc właściciela lub zarządu firmy) jest wszak skuteczne prowadzenie działalności, a nie mozolne pochylanie się nad zagadnieniami związanymi z bezpieczeństwem.

Z tego powodu w wielu wypadkach konieczne staje się skorzystanie z pomocy specjalistów, którzy na podstawie analizy ryzyka będą w stanie wskazać obszary zagrożenia bezpieczeństwa wymagające lepszego zabezpieczenia.

Sytuacja komplikuje się jednak, jeśli Administrator nie dysponuje środkami na przeprowadzenie pełnego audytu, wraz z analizą i szacowaniem ryzyka, a następnie wdrożeniem adekwatnych zabezpieczeń. W takiej sytuacji pozostaje mu zadbanie o kilka podstawowych elementów systemu bezpieczeństwa.

Umowa o poufności

Najbardziej newralgicznym punktem jest człowiek. Około 70% incydentów związanych z bezpieczeństwem i naruszeniem ochrony danych wynika z działań obecnych lub byłych pracowników. Nawet najlepsze zabezpieczenia i procedury w niczym nam nie pomogą, jeśli nie będą realnie stosowane. O ile system komputerowy możemy zabezpieczyć przy pomocy konkretnych narzędzi, tak na działania personelu mamy ograniczony wpływ. Dlatego tak ważnym staje się jasne zobowiązanie pracownika do zachowania danych w tajemnicy i przestrzegania narzuconych reguł i procedur. W tym celu można podpisać z pracownikami, którzy mają dostęp do ważnych danych, umowę o poufności. Tego rodzaju zobowiązanie, oprócz efektu psychologicznego chroni również Administratora w przypadku dochodzenia źródła wycieku i wskazuje na to, że zachował odpowiednią staranność.

Szyfrowanie dysku lub pamięci przenośnej

Za każdym razem kiedy zapisujemy dane na pendrivie lub wynosimy służbowy komputer z pracy, drastycznie wzrasta ryzyko utracenia przechowywanych na nich danych. W końcu pendrivie łatwiej jest ukraść, niż dane zabezpieczone na serwerze, a laptop pozostawiony na tylnej kanapie zaparkowanego samochodu staje się łakomym kąskiem dla złodzieja. Dlatego właśnie powinniśmy nauczyć się szyfrować nasze dane. Obecnie istnieją narzędzia, również darmowe, które w stosunkowo szybki i prosty sposób pozwalają na tworzenie zaszyfrowanych kontenerów czy nawet całych dysków. Jest to zabezpieczenie, które bez wątpienia można stosować bez podejmowania nadmiernych wysiłków, a które znacząco poprawia bezpieczeństwo danych.

Blokady i hasła do komputera

Każdy z nas chociaż raz miał okazję lub był świadkiem sytuacji, w której bez problemu można było uzyskać nieuprawniony dostęp do zasobów komputera, np. współpracownika, który odszedł od stanowiska pracy. Taka sytuacja może wydawać się nieszkodliwa, jednak chodzi przede wszystkim o wyeliminowanie nawyku pozostawiania komputera niezabezpieczonego. Administrator Danych Osobowych może narzucić odgórnie, np. wprowadzenie hasłowanego wygaszacza ekranu. O wiele lepszym sposobem jest jednak uczulenie pracowników na to, aby wstając od biurka zawsze blokowali swój komputer. Nie jest to bardzo problematyczne i szybko staje się nawykiem, a zwykłe hasło do komputera może znacząco wpłynąć na poziom bezpieczeństwa w naszej firmie.

Podobnie sprawa powinna wyglądać z urządzeniami mobilnymi. Ze względu na to, że współczesne telefony spełniają podobną funkcję jak komputery, zawsze powinny być zabezpieczone co najmniej pinem. Zabezpieczenia na telefon obejmują również programy antywirusowe lub zewnętrzne systemy do zarządzania sprzętem (np. przez administratora z siedziby firmy), jednak w pierwszej kolejności powinniśmy skupić się na zabezpieczeniu sprzętu przed nieuprawnionym dostępem.

Powyższe działania oczywiście nie rozwiązują kwestii zapewnienia bezpieczeństwa informacji w firmie. Należy jednak pamiętać, że budowanie systemu bezpieczeństwa powinno rozpocząć się właśnie od podstawowych czynności – przeszkolenia pracowników, aktualizacji starego sprzętu, czy też zabezpieczenia go przed nieuprawnionym dostępem.


Sprawdź również:


Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.