Polityka bezpieczeństwa IT w firmie

Data: 02-12-2012 r.

Stworzenie polityki bezpieczeństwa IT w firmie należy do członków zarządu i menedżerów poszczególnych jednostek organizacyjnych przy współpracy z ekspertami z działu IT. Jak powinni zadbać o interesy firmy.

Planowanie ochrony

Krok pierwszy sprowadza się do analizy ryzyka (np. na podstawie tzw. drzewa zdarzeń i/lub drzewa błędów), która w ogólnym ujęciu Findeisena składa się po pierwsze z szacowania ryzyka, po drugie z oceny jego akceptowalności. Szacowanie ryzyka i częstości jego występowania obejmuje: identyfikację zagrożeń, określenie podatności poszczególnych elementów systemu na zagrożenia oraz prawdopodobieństwa wystąpienia skutków ewentualnych zagrożeń. Z kolei ocena akceptowalności ryzyka składa się z: oszacowania kosztów incydentów (w danym przedziale czasu) i analogicznie – kosztów zabezpieczeń, a także z wykonania analizy strat w przypadku wystąpienia zagrożenia przy braku zabezpieczeń, wobec zysków w sytuacji, gdy takie zabezpieczenia zostaną zainstalowane (i udaremnią atak/wyciek danych).

W skrócie, w pierwszym etapie należy zidentyfikować ryzyko, które ma być kontrolowane lub akceptowane w odniesieniu do wartości zasobów firmy, ewentualnych zagrożeń, podatności oraz następstw naruszenia poufności, integralności, dostępności, autentyczności i niezawodności danych.

Następnym krokiem jest już dobór środków ochrony dla poszczególnych obszarów/zasobów firmy, w oparciu o projekt techniczny, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Ów projekt musi uwzględniać wyniki analizy ryzyka, obowiązujące przepisy prawa, normy oraz dobre praktyki inżynierskie. Przy czym trzeba mieć na uwadze, że również zabezpieczenia mogą wprowadzać własne podatności na zagrożenia. Należy więc z jednej strony skupić się na redukcji znanego ryzyka, ale z drugiej, nie wprowadzać nowego, związanego z zabezpieczeniem.

Wdrażanie ochrony

Ochrona obszarów przetwarzających informacje firmy odbywa się przy pomocy technicznych i nietechnicznych środków ochrony. Techniczne środki ochrony, to wszystkie systemy bezpieczeństwa pozwalające na osiągnięcie poufności, integralności oraz dostępności informacji w firmie. Mogą być wdrażane zarówno we własnej infrastrukturze teleinformatycznej firmy, jak i na zewnętrznych platformach usługodawcy. Do podstawowych narządzi zaliczają się m.in.: aplikacje bezpieczeństwa, systemy firewall, IDS/IPS, równoważenie obciążenia aplikacji, systemy silnego uwierzytelniania czy kompleksowe, zintegrowane rozwiązania typu PSIM etc.

Nietechniczne środki ochrony, to przede wszystkim procedury i instrukcje dla pracowników, które pozwalają na skuteczne zarządzanie bezpieczeństwem informacji. Szczególnie szkolenia dla pracowników są istotne, ponieważ to ludzie są najsłabszym ogniwem. Aż 70 proc. przypadków utraty danych jest spowodowana błędami po stronie człowieka (choćby w zakresie stosowania haseł dostępu), a nie wadliwością systemów czy usterkami narzędzi. Dlatego też program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących musi obejmować pracowników wszystkich szczebli w firmie i być dostosowany do ich specyfiki.

oprac.: H. K.

źródło: Strategie Biznesu nr 7, Zarządzanie bezpieczeństwem IT w firmie


Zobacz także:

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 34256 )
Array ( [docId] => 34256 )

Array ( [docId] => 34256 )