Polityka bezpieczeństwa IT w firmie

Data: 02-12-2012 r.

Stworzenie polityki bezpieczeństwa IT w firmie należy do członków zarządu i menedżerów poszczególnych jednostek organizacyjnych przy współpracy z ekspertami z działu IT. Jak powinni zadbać o interesy firmy.

Planowanie ochrony

Krok pierwszy sprowadza się do analizy ryzyka (np. na podstawie tzw. drzewa zdarzeń i/lub drzewa błędów), która w ogólnym ujęciu Findeisena składa się po pierwsze z szacowania ryzyka, po drugie z oceny jego akceptowalności. Szacowanie ryzyka i częstości jego występowania obejmuje: identyfikację zagrożeń, określenie podatności poszczególnych elementów systemu na zagrożenia oraz prawdopodobieństwa wystąpienia skutków ewentualnych zagrożeń. Z kolei ocena akceptowalności ryzyka składa się z: oszacowania kosztów incydentów (w danym przedziale czasu) i analogicznie – kosztów zabezpieczeń, a także z wykonania analizy strat w przypadku wystąpienia zagrożenia przy braku zabezpieczeń, wobec zysków w sytuacji, gdy takie zabezpieczenia zostaną zainstalowane (i udaremnią atak/wyciek danych).

W skrócie, w pierwszym etapie należy zidentyfikować ryzyko, które ma być kontrolowane lub akceptowane w odniesieniu do wartości zasobów firmy, ewentualnych zagrożeń, podatności oraz następstw naruszenia poufności, integralności, dostępności, autentyczności i niezawodności danych.

Następnym krokiem jest już dobór środków ochrony dla poszczególnych obszarów/zasobów firmy, w oparciu o projekt techniczny, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Ów projekt musi uwzględniać wyniki analizy ryzyka, obowiązujące przepisy prawa, normy oraz dobre praktyki inżynierskie. Przy czym trzeba mieć na uwadze, że również zabezpieczenia mogą wprowadzać własne podatności na zagrożenia. Należy więc z jednej strony skupić się na redukcji znanego ryzyka, ale z drugiej, nie wprowadzać nowego, związanego z zabezpieczeniem.

Wdrażanie ochrony

Ochrona obszarów przetwarzających informacje firmy odbywa się przy pomocy technicznych i nietechnicznych środków ochrony. Techniczne środki ochrony, to wszystkie systemy bezpieczeństwa pozwalające na osiągnięcie poufności, integralności oraz dostępności informacji w firmie. Mogą być wdrażane zarówno we własnej infrastrukturze teleinformatycznej firmy, jak i na zewnętrznych platformach usługodawcy. Do podstawowych narządzi zaliczają się m.in.: aplikacje bezpieczeństwa, systemy firewall, IDS/IPS, równoważenie obciążenia aplikacji, systemy silnego uwierzytelniania czy kompleksowe, zintegrowane rozwiązania typu PSIM etc.

Nietechniczne środki ochrony, to przede wszystkim procedury i instrukcje dla pracowników, które pozwalają na skuteczne zarządzanie bezpieczeństwem informacji. Szczególnie szkolenia dla pracowników są istotne, ponieważ to ludzie są najsłabszym ogniwem. Aż 70 proc. przypadków utraty danych jest spowodowana błędami po stronie człowieka (choćby w zakresie stosowania haseł dostępu), a nie wadliwością systemów czy usterkami narzędzi. Dlatego też program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących musi obejmować pracowników wszystkich szczebli w firmie i być dostosowany do ich specyfiki.

oprac.: H. K.

źródło: Strategie Biznesu nr 7, Zarządzanie bezpieczeństwem IT w firmie


Zobacz także:

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 34256 )
Array ( [docId] => 34256 )

Array ( [docId] => 34256 )