LexDigital

Bezpieczeństwo informacji w firmie

Bezpieczeństwo informacji w firmie, na obecnej fali zainteresowania RODO, skupia się przede wszystkim na ochronie danych osobowych. Często pomijanym elementem systemu bezpieczeństwa jest ochrona wszystkich danych – również tych, które pozornie nie mają wartości, a w rzeczywistości mogą stanowić przewagę konkurencyjną firmy.

Bezpieczeństwo informacji w firmie

Ochrona danych osobowych w firmie

W treści RODO wielokrotnie możemy spotkać się ze stanowiskiem, że ochrona danych osobowych jest podstawowym prawem każdego obywatela Unii Europejskiej. Ze względu na bardzo szybki rozwój technologii, prawo nie zawsze będzie jednak nadążało za nowymi sposobami używania takich danych. Co ważne, nie określa się już nawet w sposób zamknięty, czym dane osobowe są. W związku z rozwojem dziedzin takich jak biometria behawioralna, obecnie możemy zidentyfikować konkretną osobę na podstawie sposobu pisania na klawiaturze, czy specyficznych ruchów myszką. Jeśli weźmiemy również pod uwagę rozwój cyberataków typu APT, konieczne staje się chronienie wszystkich danych.


Polityka bezpieczeństwa informacji

W każdej organizacji gromadzone są ogromne ilości danych. To nie tylko dane osobowe, ale również informacje dotyczące wykorzystywanej technologii, porozumień handlowych czy podejmowanych działań marketingowych. Wiele z nich, z punktu widzenia działania organizacji, są najważniejsze. Ich ujawnienie, mogłoby spowodować utratę pozycji rynkowej. Z tego powodu, takie informacje oznaczane są klauzulą tajemnicy przedsiębiorstwa, a dostęp do nich ma ograniczona liczba osób.

Zarządzanie danymi w firmie (choćby poprzez wspomnianą klauzulę poufności) łączy się z pojęciem bezpieczeństwa informacji. Jest to proces, który ma na celu zapewnić, że dane gromadzone i przetwarzane w organizacji nie zostaną utracone, upublicznione w niekontrolowany sposób, lub zmienione. System bezpieczeństwa musi obejmować zarówno systemy informatyczne, które narażone są na awarie lub ataki hakerskie, ale także zabezpieczenia miejsc pracy, aby do danych miały dostęp wyłącznie osoby do tego uprawnione.

Bezpieczeństwo informacji w firmie, utrzymane na odpowiednim poziomie nie jest zadaniem łatwym. Aby zbudować odpowiedni do potrzeb organizacji system bezpieczeństwa, niezbędna jest analiza jej otoczenia, posiadanych informacji oraz roli jaką odgrywają w budowaniu jej przewagi konkurencyjne. Dopiero w oparciu o zdobytą w analizie wiedzę istnieje możliwość stworzenia polityki bezpieczeństwa informacji czyli zasad i procedur bezpieczeństwa wraz planem ich wdrożenia i egzekwowania.

Należy pamiętać, że raz wdrożone procedury nie będą zawsze skuteczne. Rozwój technologii przynosi także nowe zagrożenia. Niezwykle ważne jest, aby aktualizować swoj system, stale monitorować wprowadzane zasady zabezpieczania informacji, oraz modyfikować je wraz z pojawiającymi się nowymi zagrożeniami.

Zagrożenia w cyberprzestrzeni

O tym jak niebezpieczne może być nieaktualne lub wadliwe oprogramowanie można było przekonać się w 2017 roku. W maju właściciele wielu firma na całym świecie, mieli okazję poznać nowy rodzaj zagrożenia w cyberprzestrzeni. Atak przeprowadzony za pomocą oprogramowania WannaCry był największym tego typu. Choć w Polsce uderzył w sposób ograniczony infekując „zaledwie” 1235 komputerów (tyle adresów IP zarejestrował CERT Polska), to w skali świata było to już ponad 200 tysięcy komputerów z systemem Windows. Ofiarami ransomware padły między innymi brytyjska służba zdrowia, hiszpański operator telekomunikacyjny Telefonica, czy indyjskie linie lotnicze Shaheen Airlines.


Szyfrowanie dysku przez tego rodzaju program możliwy był przede wszystkim z jednego powodu – WannaCry wykorzystał znaną, i co ważniejsze, naprawioną lukę w systemie Windows. Tyle tylko, że Microsoft załatał dziurę poprzez patch, który powinien zainstalować się automatycznie podczas aktualizacji systemu. Chyba że taka aktualizacja była wyłączona, lub system operacyjny nie był już wspierany – jak w przypadku Windows XP. Może się wydawać, że ochrona danych w pierwszej kolejności powinna dotyczyć aktualizacji systemu lub jego wymiany na bezpieczną wersję, jednak jak pokazuje przykład, często zaniedbane zostają nawet tak podstawowe kwestie bezpieczeństwa sieci w istotnych dla społeczeństwa organizacjach.  

Zabezpieczenie danych osobowych w praktyce

Mimo że przepisy RODO mogą dla wielu osób stanowić nowość, zasady przetwarzania opierające się na zapewnieniu danym poufności, nienaruszalności, autentyczności i dostępności funkcjonują w obrębie systemów bezpieczeństwa już od wielu lat.

Głównym założeniem RODO jest podejście oparte na szacowaniu ryzyka dla danego procesu przetwarzania danych osobowych i dobrania adekwatnych środków bezpieczeństwa. Inaczej przecież należy zabezpieczyć system medyczny zawierający informacje o dawkach leków dla danego pacjenta, a inaczej operację zbierania danych w ramach ankiety pozakupowej. W pierwszym przypadku naruszenie integralności oraz autentyczności danych może spowodować poważne konsekwencje dla zdrowia pacjenta, a nawet jego śmierć. W drugim zaś – co najwyżej upublicznienie np. adres e-mail.

W związku z tym każdorazowo środki bezpieczeństwa należy dobierać indywidualnie, zgodnie z charakterem przetwarzanych danych w kontekście danej firmy czy podmiotu. Za dobór tych środków odpowiada Administrator Danych Osobowych. Oczywistym jest, że w wielu przypadkach nie będzie on w stanie rzetelnie i obiektywnie ocenić zagrożeń i środków, jakie powinny zostać wprowadzone w jego organizacji. Głównym zadaniem Administratora Danych Osobowych (a więc właściciela lub zarządu firmy) jest wszak skuteczne prowadzenie działalności, a nie mozolne pochylanie się nad zagadnieniami związanymi z bezpieczeństwem.

Z tego powodu w wielu wypadkach konieczne staje się skorzystanie z pomocy specjalistów, którzy na podstawie analizy ryzyka będą w stanie wskazać obszary zagrożenia bezpieczeństwa wymagające lepszego zabezpieczenia.

Sytuacja komplikuje się jednak, jeśli Administrator nie dysponuje środkami na przeprowadzenie pełnego audytu, wraz z analizą i szacowaniem ryzyka, a następnie wdrożeniem adekwatnych zabezpieczeń. W takiej sytuacji pozostaje mu zadbanie o kilka podstawowych elementów systemu bezpieczeństwa.

Umowa o poufności

Najbardziej newralgicznym punktem jest człowiek. Około 70% incydentów związanych z bezpieczeństwem i naruszeniem ochrony danych wynika z działań obecnych lub byłych pracowników. Nawet najlepsze zabezpieczenia i procedury w niczym nam nie pomogą, jeśli nie będą realnie stosowane. O ile system komputerowy możemy zabezpieczyć przy pomocy konkretnych narzędzi, tak na działania personelu mamy ograniczony wpływ. Dlatego tak ważnym staje się jasne zobowiązanie pracownika do zachowania danych w tajemnicy i przestrzegania narzuconych reguł i procedur. W tym celu można podpisać z pracownikami, którzy mają dostęp do ważnych danych, umowę o poufności. Tego rodzaju zobowiązanie, oprócz efektu psychologicznego chroni również Administratora w przypadku dochodzenia źródła wycieku i wskazuje na to, że zachował odpowiednią staranność.

Szyfrowanie dysku lub pamięci przenośnej

Za każdym razem kiedy zapisujemy dane na pendrivie lub wynosimy służbowy komputer z pracy, drastycznie wzrasta ryzyko utracenia przechowywanych na nich danych. W końcu pendrivie łatwiej jest ukraść, niż dane zabezpieczone na serwerze, a laptop pozostawiony na tylnej kanapie zaparkowanego samochodu staje się łakomym kąskiem dla złodzieja. Dlatego właśnie powinniśmy nauczyć się szyfrować nasze dane. Obecnie istnieją narzędzia, również darmowe, które w stosunkowo szybki i prosty sposób pozwalają na tworzenie zaszyfrowanych kontenerów czy nawet całych dysków. Jest to zabezpieczenie, które bez wątpienia można stosować bez podejmowania nadmiernych wysiłków, a które znacząco poprawia bezpieczeństwo danych.

Blokady i hasła do komputera

Każdy z nas chociaż raz miał okazję lub był świadkiem sytuacji, w której bez problemu można było uzyskać nieuprawniony dostęp do zasobów komputera, np. współpracownika, który odszedł od stanowiska pracy. Taka sytuacja może wydawać się nieszkodliwa, jednak chodzi przede wszystkim o wyeliminowanie nawyku pozostawiania komputera niezabezpieczonego. Administrator Danych Osobowych może narzucić odgórnie, np. wprowadzenie hasłowanego wygaszacza ekranu. O wiele lepszym sposobem jest jednak uczulenie pracowników na to, aby wstając od biurka zawsze blokowali swój komputer. Nie jest to bardzo problematyczne i szybko staje się nawykiem, a zwykłe hasło do komputera może znacząco wpłynąć na poziom bezpieczeństwa w naszej firmie.

Podobnie sprawa powinna wyglądać z urządzeniami mobilnymi. Ze względu na to, że współczesne telefony spełniają podobną funkcję jak komputery, zawsze powinny być zabezpieczone co najmniej pinem. Zabezpieczenia na telefon obejmują również programy antywirusowe lub zewnętrzne systemy do zarządzania sprzętem (np. przez administratora z siedziby firmy), jednak w pierwszej kolejności powinniśmy skupić się na zabezpieczeniu sprzętu przed nieuprawnionym dostępem.

Powyższe działania oczywiście nie rozwiązują kwestii zapewnienia bezpieczeństwa informacji w firmie. Należy jednak pamiętać, że budowanie systemu bezpieczeństwa powinno rozpocząć się właśnie od podstawowych czynności – przeszkolenia pracowników, aktualizacji starego sprzętu, czy też zabezpieczenia go przed nieuprawnionym dostępem.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.