Polityka bezpieczeństwa

W aktualnych regulacjach prawnych i przestrzeni IT niezwykle istotną rolę odgrywa wypracowanie właściwych zasad i procedur polityki bezpieczeństwa w przedsiębiorstwie. Taki spis ma stanowić gwarancję poufności danych, bezpieczeństwa ich obiegu w firmie i właściwe zarządzanie bezpieczeństwem informacji firmowych. Szczególny nacisk położony jest na systemy informatyczne.

Świadomość tego, jak ważne jest zapewnienie prawdziwego bezpieczeństwa w firmie znacznie wzrosła w ostatnich latach. Za przełomową w tej kwestii datę uznaje się 25 maja 2018 roku – moment wejścia w życie Ogólnego Rozporządzenia O Ochronie Danych. To właśnie po tym wydarzeniu, większość przedsiębiorców po raz pierwszy przystąpiła do opracowania procedur oraz dokumentów chroniących dane osobowe. Aktualnie blisko 90% polskich przedsiębiorców zaimplementowało już dokumenty i procedury polityki prywatności.

Czym jest polityka bezpieczeństwa?

Polityka bezpieczeństwa to ogół zasad, określonych metod, procedur i narzędzi, które pozwalają właściwie chronić informacje zbierane przez firmę. Wśród nich powinny znajdować się jasno określone cele, uporządkowane strategie i działania, które pozwalają na bezpieczne zarządzanie danymi.

Ważnym aspektem polityki bezpieczeństwa jest uświadamianie pracowników przedsiębiorstwa o tym, jakie jest ryzyko, zagrożenia i niebezpieczeństwa związane z niewłaściwym obiegiem danych, ich wyciekiem i niedostateczną ochroną. W tym celu niezbędne jest opracowanie dokumentu polityki bezpieczeństwa dostępnego dla pracowników.

Przystępując do spisania procedur, warto więc pamiętać o tym, aby dokument regulujący te kwestie w firmie był napisany przystępnym językiem, który będzie zrozumiały dla pracowników. Kolejną kwestią, o której nie należy zapominać w kontekście wdrożenia takiej polityki w przedsiębiorstwie, są działania informacyjne wobec partnerów biznesowych – o ile korzystają oni z systemów informatycznych danego przedsiębiorstwa.

Reasumując, polityka bezpieczeństwa IT jest składową całego zbioru zasad i procedur spisanych w ramach całościowej Polityki Bezpieczeństwa firmy. Podstawowy dokument powinien być stworzony na podstawie Ustawy o Ochronie Danych Osobowych, a wszelkie dodatkowe wyszczególnienia po-bocznych procedur ujęte w osobnych załącznikach. Coraz częściej widać tego typu postępowanie w świadomych przedsiębiorstwach – zwłaszcza w tych małych i średnich.

Opracowanie polityki bezpieczeństwa w przedsiębiorstwie

Przygotowanie odpowiedniej dokumentacji wymaga jednak odpowiedniego postępowania. Co zatem powinien zawierać dokument, który obejmuje politykę bezpieczeństwa?
• zbiór procedur RODO,
• politykę zarządzania i przetwarzania danych osobowych,
• opisane uprawnienia osób, zajmujących się danymi,
• schemat obiegu informacji w przedsiębiorstwie,
• audyt, na podstawie którego zostały sformułowane zasady bezpieczeństwa.

A o tym jak działać, w sytuacji kryzysowej i w przypadku awarii systemów IT→ https://cts.com.pl/kategoria-szkolenia/disaster-recovery/

Przeprowadzenie takiego audytu jest niezbędne dla przygotowania odpowiedniej infrastruktury IT według kategorii. Ten podział z kolei znacznie ułatwia identyfikację zagrożeń.

Grupowanie powinno odbywać się na zasadzie schematu:
• dane (audyt powinien obejmować wszelkiego rodzaju przetwarzane i zbierane w firmie informacje, także te przechowywane w chmurze lub przetwarzane przez firmy dostarczające zewnętrznych usług, np. obsługa sklepu internetowego i zamówień składanych przez klientów),
• systemy IT (audyt musi sprawdzać dane księgowe, personalne, gromadzone w systemach infor-matycznych, nagraniach z kamer, statystykach firmowych itp.),
• systemy sieciowe (audyt obejmuje programy oraz aplikacje i systemy operacyjne, w których poda-je się dostępy do danych przedsiębiorstwa, ich legalność i licencje),
• infrastruktura LAN (celem audytu jest sprawdzenie inwentaryzacji sieci komputerowych: LAN, WLAN, WAN, wraz z technologią, dzięki której pracują, spis modeli urządzeń, konfiguracji i wersję firmware’u),
• infrastruktura IT (audyt dotyczy serwerów, sieci informatycznych (nawet w przypadku najprost-szych urządzań, jakimi są drukarki), integralność tych urządzeń, stan techniczny, sposób zasilania i podłączenia do sieci LAN, obecność UPS-ów i miejsca działania tych urządzeń),
• Stanowiska pracy (audyt obejmuje wszystkie osoby mające dostęp do danych firmowych i systemów IT, sprawdza, czy przydzielone dostępy odpowiadają rzeczywistym kompetencjom i uprawnieniom, pozwalającym im na zarządzanie danymi obszarami).

Audytorzy więcej mogą przeczytać tu → https://cts.com.pl/kategoria-szkolenia/iso-zarzadzanie-ryzykiem/

Implementacja polityki bezpieczeństwa w przedsiębiorstwie

Planując wprowadzanie polityki bezpieczeństwa w firmie, należy mieć na uwadze, że zawsze wiąże się to, ze zwiększeniem nakładów finansowych przeznaczonych na koszty organizacyjne. Dodatkowo pracownicy często narzekają wówczas na pogorszenie wygody pracy i spada efektywność ich działań. Z tego względu warto decydować się na indywidualnie zaprojektowane rozwiązanie, które zmniejszy także dyskomfort towarzyszący wdrażanym zmianom. Jeżeli polityka prywatności nie będzie dopasowana do specyfiki branży, trudno będzie wymagać jej przestrzegania.

Warto także, dostosować ją do aktualnych technologii, a więc i możliwości, jakie za sobą niosą:
• media społecznościowe,
• praca zdalna.

Aby polityka bezpieczeństwa posiadała formalną certyfikację, niezbędne jest uzyskanie certyfikatu zarządzania bezpieczeństwem informacji na podstawie ISO 27001. Sprawdź → https://cts.com.pl/kategoria-szkolenia/iso-bezpieczenstwo-informacji/

Pomimo tego, że kwestie techniczne są niezmiernie istotne, najważniejszym aspektem w polityce bezpieczeństwa wciąż pozostaje człowiek. Jest on największym zagrożeniem, a jednocześnie to od niego zależy sposób przestrzegania i zachowania wobec polityki prywatności.

Nawet najlepiej przygotowany dokument zawiedzie, jeśli ludzie będą niewyedukowani i niedoinformowani. Błędem jest także wybiórcze wprowadzanie polityki prywatności, na przykład nie obejmując nią szefa lub kadry menedżerskiej – w końcu to oni ze względu nas specyfikę swojej pracy są najbardziej narażeni na cyberataki.

Więcej o tym można dowiedzieć się na szkoleniach → https://cts.com.pl/kategoria-szkolenia/iso-zarzadzanie-ciagloscia/

Właściwie przeszkolony personel wraz z osobami zarządzającymi to klucz do praktycznego zastosowania polityki bezpieczeństwa. W przeciwnym wypadku dokumenty będą tylko zapomnianym zbiorem w segregatorze.