Satysfakcjonujący pomimo bezpieczeństwa danych bez kosztów – czy to możliwe? Paradoksalnie poziom bezpieczeństwa nie rośnie proporcjonalnie do nakładów finansowych na zabezpieczenia.

Technologie zabezpieczeń dokumentacji zarówno tej papierowej i elektronicznej stale się rozwija. Firmy oferują nowe bardziej zaawansowane rozwiązania.Wbrew pozorom wcale nie podnosi to ogólnego poziomu bezpieczeństwa informacji. Czasami dzieje się wręcz odwrotnie.Odpowiedzialna jest za to nasza mentalność.-niesystematyczność-brak wytrwałości-poleganie tylko na zabezpieczeniach technologicznych

Podejście do zasad bezpieczeństwa można traktować jak ying i yang – dwie uzupełniające się połowy tej samej całości – technologia i człowiek. W tym zestawieniu człowiek jest najmniej stabilnym elementem.Tezę tę potwierdzają badania przeprowadzone w firmach na temat stanu bezpieczeństwa informacji w 2003 roku.

Dla relatywnie satysfakcjonującego poziomu zabezpieczeń niezbędne jest oprócz technologii i procedur stałe monitorowanie i utrzymywanie poziomu świadomości ludzi wchodzących w skład tego systemu.Najprostszymi metodami do osiągnięcia celu są:-jasno sprecyzowane zadania i odpowiedzialność pracowników w zakresie bezpieczeństwa (polityka bezpieczeństwa, instrukcje bezpieczeństwa)-regularne audyty bezpieczeństwa pracowników-sprawdzanie punktów kontrolnych systemu (np. rejestry)-szkolenia

Co najciekawsze, zastosowanie tych metod nie wiąże się dodatkowymi nakładami finansowymi.

Prawidłowo realizowana Polityka bezpieczeństwa firmy powinna uwzględniać następujące elementy:

• Kontrolę dostępu do systemu informatycznego firmy.
• Monitorowanie bezpieczeństwa systemu informatycznego firmy.
• Fizyczne środki bezpieczeństwa.
• Stworzenie i wdrożenie polityki bezpieczeństwa wobec personelu.
• Podział kompetencji i ról poszczególnych osób, czy komórek firmy pod kątem realizowania polityki bezpieczeństwa w firmie.
• Klasyfikację i zarządzanie aktywami.
• Zarządzanie siecią komputerową.
• Stworzenie planu awaryjnego zapewniającego ciągłość działania firmy na wypadek nieprzewidzianych zdarzeń.
• Profilaktyka

1. Kontrola dostępu do systemu informatycznego firmy
Polityka firmy wobec kontroli dostępu do systemu informatycznego ustanawia wskazówki, pozwalające zabezpieczyć się przed nieupoważnionym dostępem do systemu i danych firmy, a także przed utratą bądź uszkodzeniem danych poprzez zaniedbanie, czy jakieś nieoczekiwane zdarzenie.
Ten system kontroli dostępu składa się z fizycznego dostępu do systemu i logicznego systemu kontroli dostępu poprzez logowanie i hasła.

• Fizyczny dostęp do systemu: Chociaż wydaje się on być najbardziej oczywistym obszarem do zabezpieczenia, jest on równocześnie najbardziej wykorzystywany w celu włamania do systemu. Fizyczny dostęp daje możliwość fizycznego dostępu do komputera osobie nieupoważnionej.
• Dostęp logiczny i hasła: dostęp logiczny jest to logowanie się na danym komputerze poprzez podanie ID użytkownika i wpisanie hasła. Hasła powinny być zmieniane przynajmniej co 2 miesiące. Poprawnie wprowadzone hasło powinno zawierać od 6 do 8 znaków podanych w kolejności losowej kombinacji liter i cyfr (muszą być i cyfry i litery). Hasło powinno być łatwe do zapamiętania i trudne do odgadnięcia , nie powinno np. zawierać imion i nazwisk, dat urodzin itp.. Hasła są kluczami otwierającymi dostęp do systemu!

2. Monitorowanie bezpieczeństwa systemu informatycznego firmy Zabezpieczenie systemu operacyjnego opiera się na trzech składnikach:

• Zabezpieczenie systemów przetwarzania danych.
• Zabezpieczenie środowiska internetowego.
• Ochrona przed wirusami.

3. Fizyczne środki bezpieczeństwa

• Siedziba firmy powinna być całodobowo strzeżona przez odpowiednio wyszkolony personel. Goście są kontrolowani i proszeni o odpowiedni wpis do ewidencji. Podczas godzin pracy, pracownicy zobowiązani są do noszenia odpowiednich identyfikatorów.
• Siedziba firmy powinna być całodobowo strzeżona przez odpowiednio wyszkolony personel. Goście są kontrolowani i proszeni o odpowiedni wpis do ewidencji. Podczas godzin pracy, pracownicy zobowiązani są do noszenia odpowiednich identyfikatorów.
• Budynek powinien być dostatecznie oświetlony nocą i powinien być wyposażony w solidne zamknięcia.
• Pomieszczenie w którym znajdują się serwery i inne powiązane z nimi urządzenia powinny być zawsze zamknięte. Dostęp do nich maja tylko upoważnieni administratorzy.
• Kopia zapasowa z systemu powinna być przechowywana w ogniotrwałej szafie pancernej.
• Stacje komputerowe mogą być zabezpieczone w sposób polegający na wyłączeniu lub usunięciu z nich wszystkich urządzeń dzięki którym można przekopiować dane, są to np. napędy dyskietek, nagrywarki CD, porty USB itp.

4. Stworzenie i wdrożenie polityki bezpieczeństwa wobec personelu
Firma powinna zdawać sobie sprawę z faktu, że personel jest najważniejszym zasobem firmy. To personel odgrywa kluczową rolę w procesie zabezpieczania danych firmy.
Wyspecjalizowana komórka HR powinna monitorować posunięcia osobowe w firmie.

5. Podział kompetencji i ról poszczególnych osób, czy komórek firmy pod kątem realizowania polityki bezpieczeństwa w firmie
Organizacja powinna wyodrębnić dwa poziomy hierarchii pod kątem realizowania polityki bezpieczeństwa, a mianowicie:

• Pełnomocnik Zarządu.
• Zespół Zarządzający Bezpieczeństwem w skład którego wchodzą:
  • Oficer Bezpieczeństwa ds. Ochrony Danych
  • Menagerowie Projektów
  • Analitycy danych

Zarząd powinien być zaangażowany w planowanie polityki i strategii ochrony informacji. Powinien dokonywać przeglądów raportów oceny ryzyka, oraz monitorować stopień podatności informacji i danych będących w posiadaniu firmy na główne zagrożenia i śledzić ewentualne ataki.
Na Zespole Zarządzającym Bezpieczeństwem spoczywa obowiązek rozumienia wagi problemu jakim jest zagrożenie płynące z zewnątrz firmy. Zespół ten odpowiedzialny jest za wdrażanie odpowiednich programów wspomagających bezpieczeństwo, powinno być to poprzedzane i uzasadnione odpowiednimi testami.
Na tej grupie spoczywa również obowiązek monitoringu różnorakich zabezpieczeń, które mają za zadanie uchronić firmę przed uderzeniem, a także pozwalają stwierdzić czy takowe ataki miały miejsce.

Zespół Zarządzający Bezpieczeństwem jest odpowiedzialny za utrzymywanie w stałej gotowości planów awaryjnych firmy, a także zobowiązany jest do systematycznego ich testowania, tak aby w krytycznym momencie nie okazały się przestarzałe i nieprzydatne.
Innym głównym obowiązkiem zespołu jest “zaszczepianie” odpowiedniej świadomości w zakresie zachowania bezpieczeństwa informacji na wszystkich szczeblach organizacji.

Za bezpieczeństwo sieci komputerowej powinien być odpowiedzialny wyznaczony Administrator Systemu.

6. Klasyfikacja i kontrola aktywów
Ludzie są najbardziej wartościowym składnikiem aktywów w każdej firmie. Oprócz nich, firma posiada jeszcze aktywa w postaci różnych informacji, a także aktywa rzeczowe.

• Aktywa w postaci informacji
• Bazy danych: informacje o konsumentach, personelu, produkcji, sprzedaży, marketingu, czy finansów firmy. Danych zawierające uporządkowane chronologicznie informacje z działalności operacyjnej firmy. Zasoby archiwalne firmy. Programy komputerowe.
• Aktywa rzeczowe

Jest to fizyczny sprzęt wykorzystywany w działalności firmy w skład którego mogą wchodzić np.:

• komputery i serwery danych.
• sprzęt komunikacyjny w postaci modemów, routerów, czy faxów.
• magnetycznych nośników danych tj: taśm audio i video, dyskietek, streamerów, płyt CD i innych.
• Skanery
• Inny sprzęt: UPS-y, klimatyzatory, kserokopiarki itd.
• Meble i urządzenia sanitarne

Zaktualizowana wartość każdej z wyżej wymienionych rzeczy jest wskazówką według której aktywa firmy są wyceniane i ubezpieczane. Wartość poszczególnych aktywów jest rewidowana każdego roku i odpowiednio zmieniana.

7. Zarządzanie siecią komputerową
Sieć komputerowa jest szczególnie narażona na ataki z zewnątrz jeśli jest połączona z Internetem.
Aby zminimalizować ryzyko ataków z “zewnątrz” po pierwsze wykorzystać możliwości jakie daje nam współczesna (czytaj dostępna) technologia. A więc po pierwsze należy zainstalować program chroniący nas przed nie pożądanymi atakami z zewnątrz tzw. firewall. Po drugie system operacyjny zarządzający serwerami powinien być odporny na próby ingerencji z zewnątrz, a same oprogramowanie na serwerze też powinno być zabezpieczone, w tym miejscu też odpowiedni będzie program typu firewall.

8. Plan awaryjny

Plan awaryjny pozwala na odtworzenie bazy komputerowej firmy i struktury sieci informatycznej w przypadku, gdy w wyniku nieszczęśliwego wypadku zostanie zniszczona lub poważnie uszkodzona

Intencją planu jest przywrócenie systemu do stanu pierwotnego tak szybko jak to możliwe przy pomocy najświeższych i najbardziej aktualnych danych uzyskanych z kopii zapasowej systemu.
Wysiłek firmy przy przywracaniu systemu koncentruje się na przywróceniu danych firmy do stanu sprzed wypadku, a także na połączeniu tych danych z nowymi danymi, które zostały zarejestrowane po wypadku, ale jeszcze przed przywróceniem systemu do działania.

9. Profilaktyka
Tak samo istotne jak posiadanie planu awaryjnego jest podejmowanie odpowiednich działań mających na celu zapobieganie i minimalizowanie wystąpieniu zagrożeń. Poniżej dokonano krótkiego przeglądu zagrożeń które mogą doprowadzić do nieszczęśliwego w skutkach wypadku. Materiał ten może pokazać nam gdzie tkwią nasze słabe strony i jakie środki zaradcze możemy podjąć aby zminimalizować ryzyko. Przykładowe zagrożenia to:

• Pożar
• Powódź
• Burze
• Przestępstwa komputerowe

Zastanawiając się nad tym skąd konkurencja wie o nas tak dużo, warto spojrzeć na listę źródeł formalnych i nieformalnych z których, bez szczególnego narażania się na zarzut łamania prawa korzystają wywiadownie w celu zdobycia informacji o naszej firmie.

Źródła informacji formalnych wykorzystywanych przy zdobywaniu informacji:

• prasa (ogólna i specjalistyczna)
• książki
• inne media (telewizja, kino, radio)
• banki danych i CD-ROM-y
• patenty
• prawnicze źródła informacji (wyroki arbitrażu gospodarczego, wpisy do ksiąg wieczystych itp.)
• publikowane wyniki badań prowadzonych na zlecenie organizacji prywatnych i publicznych

Źródła informacji nieformalnych:

• konkurenci
• dostawcy i podwykonawcy
• delegacje i podróże służbowe
• wystawy i salony wystawiennicze
• sympozja, kongresy, kluby
• studenci, stażyści, doktoranci
• kandydaci do pracy
• komitety i komisje
• wewnętrzne źródła przedsiębiorstwa
• inne źródła.

Jeśli wiemy już skąd mogą płynąć informacje o nas, warto zastosować kilka rozwiązań które, bez zbędnego ponoszenia dodatkowych kosztów,
pozwolą uszczelnić obieg informacji i uniemożliwić jej wypłynięcie poza firmę.

Lista zasad sprzyjających ochronie tajemnic

• Po biurze bez nadzoru nie powinny spacerować osoby z zewnątrz (aby uniknąć możliwości podrzucenia przez kogoś urządzenia
  podsłuchowego lub kradzieży dokumentów). Nawet, jeśli mogą swobodnie same przemieszczać się w firmie, nie wolno ich wpuszczać do stref
  szczególnie chronionych. Pracownik zatrudniony wewnątrz takie strefy i zamawiający np. pizzę musi sam wyjść po jej odbiór na zewnątrz.
• W firmie koniecznie trzeba mieć niszczarki papieru i wszystkie niepotrzebne już wydruki poufnych projektów, raportów itp. od razu do
  nich wrzucać. Warto uwzględnić również skorzystanie z firm zajmujących się profesjonalnym niszczeniem dokumentów, które wstawiają własne
  pojemniki na dokumenty , aby każdy miał prostą możliwość osobiście pozbycia się całości zbędnej dokumentacji.
• Zasada “czystego biurka”: wychodząc z pokoju nie zostawiać na wierzchu żadnych dokumentów.
• Podczas delegacji nie wolno zostawiać dokumentów czy laptopa w hotelu lub samochodzie, a samemu iść na zwiedzanie miasta.
• Rozmowy dotyczące strategicznych spraw dla firmy mogą być prowadzone w bezpiecznych, sprawdzonych miejscach, a nie w obecności
  osób przypadkowych, np. na prezentacjach, targach czy w restauracjach.
• Komputery na których przechowujemy “wrażliwe” informacje powinny być odłączone od sieci, lub dodatkowo zabezpieczone, a osoby na
  nich pracujące mają obowiązek częstej zmiany haseł, stosowania programów antywirusowych i zakaz stosowania dyskietek lub płyt CD które
  nie zostały wcześniej sprawdzone.
• Zatrudniając pracowników mających dostęp do danych poufnych, warto dokładnie sprawdzić, jak funkcjonowali w poprzednich miejscach
  pracy, sporządzić portret charakterologiczny rekrutowanych za pomocą testów psychologicznych.
• Systematycznie szkolić pracowników w zakresie stosowania procedur związanych z ochroną informacji i przypominać o obowiązujących w firmie
  zasadach. Nie chodzi przy tym o to, by straszyć pracowników wywiadem gospodarczym, ale informować, że istnieje potencjalne zagrożenie.
• Co jakiś czas przeprowadzać wewnętrzne kontrole których celem ma być potwierdzenie, czy pracownicy stosują się do zasad obowiązujących w
  firmie – np. przeszukiwać wyrzucane śmieci w poszukiwaniu dokumentów.

Maszyny i ludzie

Zamieniając firmę w twierdzę strzeżoną elektronicznymi systemami bezpieczeństwa nie ustrzeżemy tajemnic, jeśli nie zapewnimy właściwej
rekrutacji, odpowiedniego szkolenia personelu, właściwej informacji wewnętrznej. Pracownicy zdemotywowani czy wręcz sfrustrowani panującymi
w firmie stosunkami sami mogą wynosić na zewnątrz tajemnice, aby przynajmniej w ten sposób odegrać się na pracodawcy.

ZASADY STOSOWANIA HASEŁ PRZEZ UŻYTKOWNIKÓW SYSTEMÓW KOMPUTEROWYCH

Dobrze wybrane hasło zabezpieczające może być skuteczną ochroną przed nieupoważnionym dostępem do zasobów informacyjnych systemów
komputerowych. Ochrona powinna dotyczyć: dostępu do komputera oraz do pojedynczych plików.

Oto podstawowe zasady, którymi należy się kierować przy wyborze hasła:

• hasło nie powinno być takie jak login (w dowolnej formie – również pisane od końca, pisane podwójnie lub z zamianą liter np. z
  małych na duże)
• hasło nie powinno kojarzyć się w żaden sposób z użytkownikiem (należy unikać imion, nazwisk – rodziny, dzieci i znajomych, dat
  urodzenia, numerów telefonów; w dowolnej formie),
• hasło nie powinno kojarzyć się z otoczeniem użytkownika (należy unikać imion zwierząt domowych, adresu, numeru rejestracyjnego lub
  nazwy samochodu),
• nie należy stosować nazw znanych postaci bajkowych, literackich , filmowych,
• nie należy stosować popularnych nazw komputerowych,
• należy unikać słów w brzmieniu słownikowym (również w języku angielskim i w językach powszechnie znanych),
• nie stosować wyrazów złożonych z sekwencji odczytywanej z klawiatury (np qwerty, qazwsx),
• żadnych z powyższych pisanych wspak, lub z dołączoną pojedynczą cyfrą.
• nie należy używać haseł złożonych z samych cyfr lub ze wszystkich takich samych liter,
• nie należy stosować haseł krótkich (krótszych niż 7 znaków);

Dobre hasła charakteryzują się tym, że:

• są kombinacją liter (dużych i małych), cyfr, symboli (!@#$%^&*_), znaków interpunkcyjnych,
• łatwo je zapamiętać – kombinacja ta powinna być logiczna, sprzyjająca zapamiętaniu, bez potrzeby zapisywania,
• mają więcej niż 6 znaków,
• są odpowiednio często zmieniane (standardowo – nie rzadziej niż raz na trzy miesiące) oraz w każdym, możliwym, przypadku narażenia na
  ujawnienie.

Sposoby na hasło:

• hasłem lepszym niż jedno słowo jest zlepek słów np. lubięjolę789, &PowinniTegoZabronić. ,
• błędne napisanie słowa przez zastąpienie jednego lub kilku znaków jednym innym lub zamiana miejscami dwóch lub więcej znaków,
• wstawienie jednego słowa w środek innego,
• można stosować pierwsze litery z pierwszych słów wierszy, piosenek, przysłów, sloganów itp. (łatwo zapamiętać),
• hasłem może być słowo bezsensowne, które jednak łatwo zapamiętać np. akuku->90, yaba(daba)doo

UWAGA:

• Nie należy zapisywać swojego hasła – a jeżeli jest to konieczne- zapis nigdy nie powinien sugerować tego, że jest hasłem(na tej samej kartce nigdy nie mogą znaleźć się inne informacje związane z hasłem – nazwa komputera, użytkownika); zapis można zdeformować tak aby dezorientował ( np. robił wrażenie zapisanego numeru telefonu w spisie telefonów).
• Nigdy nie należy przyklejać kartek z hasłem na monitorze, pod klawiaturą, ani w żadnym innym miejscu w pobliżu komputera.
• Nigdy nie należy używać tego samego hasła dla wielu różnych celów. Unikać rejestracji przez różnego rodzaju usługi internetowe a jeżeli, jednak, jest to niezbędne – podawać hasło inne niż stosowane do ochrony zasobów komputera.
• Nie należy podawać swojego hasła znajomym, nie wysyłać go pocztą elektroniczną, nie podawać przez telefon. Zwłaszcza nie należy podawać hasła, telefonicznie, osobom podającym się za serwis, helpdesk lub administratora. Jeśli występuje uzasadniona konieczność przekazania własnego hasła osobie zaufanej – należy uczynić to bezpośrednio – w sposób nie pozwalający na jego podsłuchanie przez osoby trzecie; potem hasło trzeba zmienić.

Zaleca się powszechną ochronę informacji o charakterze informatyczno-służbowym poprzez hasła. Przy czym, ochrona hasłem to nie tylko zabezpieczenie dostępu do komputera, hasła powinny być stosowane na poziomie dostępu do pojedynczego pliku.

Co jest największym zagrożeniem dla bezpieczeństwa informacji w firmie?

Największym zagrożeniem jest brak świadomości pracowników co do wagi zabezpieczania informacji i brak zrozumienia różnicy pomiędzy informacjami przydatnymi i niezbędnymi do wykonywania pracy. Pracownicy powinni mieć dostęp tylko to informacji, które są im potrzebne podczas wykonywanej przez nich pracy (w celu uniknięcia wycieków informacji).

Pracownicy powinni być poinformowani o polityce i zasadach bezpieczeństwa informacji. Powinni również przechodzić regularne szkolenia z tego zakresu.
Jednym z największych zagrożeń są hakerzy. Hakerzy nie tylko potrafią zniszczyć dane firmy, ale również zaszkodzić wizerunkowi firmy.

Jak można zabezpieczyć stałe łącze internetowe i sieć firmową przed hakerami, szpiegostwem komputerowym i uszkodzeniem danych?

Rozwiązaniem jest FIREWALL. Firewall umożliwia ochronę sieci firmowej przed nieautoryzowanym dostępem z zewnątrz ( z internetu), ale wymaga stałego administrowania. W normalnych warunkach firewall chroni tylko przed włamaniami z zewnątrz. Dla pełnej ochrony potrzebny jest również system wykrywania włamań. Umożliwi on zabezpieczenie sieci firmowej na wypadek ataków od wewnątrz oraz przypadków przełamania ochrony firewall.

Należy również wprowadzić zasady postępowania na wypadek włamania. Bycie przygotowanym na takie sytuacje pozwala zminimalizować straty po włamaniu do minimum.

Co na leży zrobić, jeżeli zauważymy, że haker atakuje nasz system komputerowy?

Mając system wykrywania włamań będziesz przygotowany na taki wypadek. Jeżeli nie masz systemu wykrywania włamań i zauważysz, że jesteś atakowany, najlepszym posunięciem jest fizyczne odłączenie systemu od sieci. Następnie niezbędne będzie oszacowanie strat w zaatakowanym systemie na podstawie logów. Należy wykonać kopię zaatakowanego systemu (np. adersów IP, czasów logowania itp,) na potrzeby materiału dowodowego.
Jeżeli straty są poważne – należy zgłosić przestępstwo na policję.

Jak można zabezpieczyć pojedynczy komputer podłączony do sieci przed nieautoryzowanym dostępem?

Najprostszym sposobem jest wykorzystanie programu antywirusowego. Problemem jest to że nowe wirusy powstają bardzo szybko, więc należy przeprowadzać uaktualnienia programu antywirusowego często i regularnie.
Niebezpiecznym jest ściąganie danych, uruchamianie programów i otwieranie maili od nieznanych osób. Szczególną uwagę należy zwracać na załączniki do maili.
W firmie powinna być wdrożona polityka bezpieczeństwa, która jasno określa zasady bezpieczeństwa postępowanie w przypadku zagrożeń.

Jak można przekazać komuś poufne informacje w postaci elektronicznej?

Jeżeli konieczne jest przekazanie poufnych informacji za pomocą sieci, najrozsądniejszym rozwiązaniem jest zastosowanie programów do szyfrowania takich jak PGP, GnuPG itp.

Jak można podnieść poziom świadomości pracowników i zarządu w mojej organizacji?

Najlepszym rozwiązaniem jest uzmysłowienie kierownictwu jakie mogą być straty w wyniku włamania do sieci komputerowej. Bezwzględnie należy przeszkolić cały personel z podstawowych zasad bezpieczeństwa takich jak funkcjonowanie i zabezpieczanie haseł (przede wszystkim nie należy ich nikomu udostępniać).

Jak należy postępować w przypadku jeżeli osoby z zewnątrz serwisują nasz system?

Najlepszym rozwiązaniem jest przeniesienie najważniejszych danych, które zamierzamy chronić na inne nośniki przed dopuszczeniem osób z zewnątrz do sprzętu, tak aby nie mieli oni kontaktu z danymi.
W przypadku jeżeli pracownicy z zewnętrznego serwisu nie przechodzili procedury sprawdzeniowej w firmie należy im towarzyszyć przez cały czas ich pobytu w firmie.
Nigdy nie należy pozwalać zewnętrznemu serwisowi na wywożenie sprzętu z danymi poza siedzibę firmy.

Rozwój cywilizacji gwałtownie przyspieszył w ciągu ostatnich kilkudziesięciu lat. Spowodowało to zmianę zagrożeń przestępstwami na które jesteśmy najbardziej narażeni. Polska była do lat 90-ch wyłączona z tego trendu. Teraz przestępcy nadrabiają zaległości.

XX wiek zmienił nasz życie. Każde nowe odkrycie w dziedzinie nauki,przemysłu, czy też każda nowa technologia, wymusiła wzrost tempa naszego życia. Rzeczy do niedawna, określane jako niemożliwe: lot, podróż kosmiczna, stały się elementem naszej codzienności. Nie wszystkie zmiany wpłynęły pozytywnie na nasze otoczenie. Nowa technologia, pozwoliła przestępcom zdjąć maski, sprawiła iż same przestępstwa stały się bardziej opłacalne, niż napad na bank czy porwanie dla okupu. Jednym z tych przestępstw jest: kradzież tożsamości. Proceder ten objął szerokim horyzontem wiele obszarów gospodarki, ogólnie określanej jako biznes. Z kradzieżą tożsamości mamy do czynienia w sytuacji kiedy jedna osoba, wykorzysta poufne informacje na temat drugiej, bez jej wiedzy, w celu uzyskania dostępu do zasobów finansowych. Z takim procederem możemy spotkać się w wielu sytuacjach, np.: kiedy dokonujemy zakupów, przy użyciu karty kredytowej, zgubimy portfel, czy też w nieodpowiedni sposób pozbędziemy się wyciągów z naszych kont.

Cena

Cena, jaką przyjdzie nam zapłacić, w chwili kiedy staniemy się ofiarą tego procederu, jest w wielu przypadkach krotnością pierwotnej wartości. Sytuacja kiedy oszust wykorzysta nasze konto bankowe, opróżniając je do zera, lub też co gorsze, a równie prawdopodobne: wykorzysta dostępny debet, może zaowocować utratą zdolności kredytowej. Prawdopodobną również jest sytuacja, kiedy to my zostaniemy pociągnięci od odpowiedzialności, za przestępstwa których dokona oszust, wyposażony w portfel wiadomości o nas. Nawet, jeżeli uda się nam stosunkowo szybko odkryć przestępstwo, przed nami będzie wiele miesięcy pracy, związanej z naprawieniem powstałych szkód.

Według badań wykonanych przez amerykańską firmę, kradzież tożsamości od 2000 roku to numer 1 na liście najczęściej popełnianych przestępstw gospodarczych. Nasza prywatność dla przedsiębiorstwa to nic innego jak wirtualne magazyny informacji: klienci, recepty, informacje finansowe, informacje handlowe. Wszystkie te dokumenty zawierają treści, które mogą zostać wykorzystane w niewłaściwy sposób. Przestępcy zajmujący się procederem kradzieży tożsamości nie oprą się niczemu, grzebanie w śmieciach będącymi odpadami z kosza biurowego jest dla nich jednym z wielu sposobów pozyskiwania informacji.
Aby przedsiębiorstwa zaczęły skutecznie walczyć z tym typem przestępczości, muszą przede wszystkim poprawnie zidentyfikować problem, zastanowić się nad polityką obiegu dokumentów we własnej firmie.

Ochrona

Pytaniem które sobie stawiamy, a dotyczy kradzież tożsamości w odniesieniu do naszej firmy, jest:
w jaki sposób pozbywamy się niepotrzebnej dokumentacji?
Wiele firm zdecydowało się na niszczenie niepotrzebnych dokumentów, co znacznie ograniczyło, sytuację w której do poufnych informacji mają dostęp osoby trzecie. Problem niszczenia dokumentów, możemy rozwiązać na 2 sposoby: robiąc to samodzielnie, lub zlecając taką usługę firmie zajmującej się profesjonalnym świadczeniem takiego typu usługi. Bez względu na decyzję, którą podejmiemy, musimy mieć pewność, że: dokumenty niszczone są skutecznie.

XX wiek to wiek informacji – Ile razy słyszeliśmy to stwierdzenie. Przyzwyczailiśmy się do niego. Zaakceptowaliśmy je. Przestaliśmy zwracać na nie uwagę.Szok przychodzi nagle. Znika nasz komputer. Po pierwszym odruchu, w którym szacujemy ile będziemy musieli wydać na zakup nowego, gdzieś w głowie zaczyna kiełkować przerażenie – jakie informacje znajdowały się na twardym dysku – numery kart kredytowych, budżet domowy rozpisany na części, prywatne i poufne informacje osobiste, służbowe raporty nad którymi pracowaliśmy …- co by się stało, gdyby ktoś te informacje chciał wykorzystać?

Tak jak dostęp do naszych prywatnych informacji może stać się przyczyną opróżnienia naszego konta bankowego czy dokonania na nasz rachunek zakupów w internecie , tak dostęp do informacji firmowych może być początkiem końca firmy.

[b]Więcej informacji to łatwiejszy dostęp i więcej zagrożeń [/b]

Wartość informacji była doceniana już tysiące lat temu, lecz prawie do końca XX wieku jedynie państwa mogły sobie pozwolić na utrzymywanie wywiadu i kontrwywiadu, które zajmowały się zawodowo zdobywaniem cudzych informacji i ochroną własnych. Gwałtowny rozwój wymiany informacji, komputery, internet, szybsze tempo pracy spowodowały, że wiele cennych danych jest na wyciągnięcie ręki. Stosunkowo niedawno pojawiło się pojęcie COMPETITIVE INTELLIGENCE – którego tłumaczenie na język polski jako WYWIAD GOSPODARCZY nie oddaje charakteru tego zjawiska. COMPETITIVE INTELLIGENCE to szereg czynności jakie podejmuje firma w celu gromadzenia i analizowania informacji o konkurencji. W przytłaczającej mierze są to informacje, które bądź są oficjalnie dostępne bądź można je zdobyć nie naruszając prawa. Sztuka COMPETITIVE INTELLIGENCE tkwi w tym by wiedzieć gdzie szukać i jak analizować pozyskane informacje.

[b]W Polsce świadomość zagrożeń i potrzeby ochrony informacji jest minimalna [/b]

Świadomość zagrożenia wśród polskich firmy jest praktycznie równa zeru. A jest się czego bać. Doświadczenia z rozwiniętych rynków wskazują, że najbardziej zagrożone są małe i średnie firmy.

[b]Struktura aktywności wywiadu w zależności od wielkości firm [/b]

Wielkość firmy	% zleceń pozyskania informacji pochodzi od	Kto jest celem
Duże (>$60mln)	65%	D = 28%Ś = 41%M= 31%
Średnie ($20mln – $60mln)	26%	D = 40%Ś = 50%M = 10%
Małe ($0,5mln – $20mln)	9%	D = 62%Ś = 15%M = 23%

Struktura aktywności kontrwywiadu w zależności od wielkości firm

Wielkość firmy	% zleceń ochrony przed inwigilacją pochodzi od	Przed kim ochrona
Duże (>$60mln)	25%	D = 82%Ś = 11%M = 07%
Średnie ($20mln – $60mln)	43%	D = 28%Ś = 41%M = 31%
Małe ($0,5mln – $20mln)	32%	D = 71%Ś = 27%M = 02%

Dane opublikowane przez firmę zajmującą się COMPETITIVE INTELLIGENCE w USA

[b]Techniki COMPETITIVE INTELLIGENCE[/b] Oto lista standardowych “źródeł informacji” wykorzystywanych w działaniach COMPETITIVE INTELLIGENCE:

• wywiady i wystąpienia kierownictwa firmy
• prezentacje na konferencjach i targach
• sprawozdawczość wymagana przez przepisy prawa
• formularze wymagane przez banki
• strony internetowe
• dostawcy i partnerzy (szczególnie ci z którymi zakończyliśmy współpracę)
• informacje prasowe
• ogłoszenia w których poszukujemy pracowników
• instrukcje obsługi naszych produktów
• wycieczki po zakładzie
• podsłuchane w miejscach publicznych rozmowy pracowników
• telefony z “prośbą o pomoc”, której nasi pracownicy udzielają
• biografie kierownictwa
• dokumenty wyrzucone do śmietnika

Jak widzimy COMPETITIVE INTELLIGENCE jest w zasięgu nawet średniej wielkości firmy.

[b]Jak się bronić przed zagrożeniem [/b]Przede wszystkim potrzebna jest świadomość zagrożeń.Oto podstawowe etapy budowania obrony firmy:

• ocena zagrożeń
• określenie obszarów na ochronie których nam szczególnie zależy
• dobór zabezpieczeń (kompletny system zabezpieczeń zarówno fizycznych, jak i strzegących wypływu informacji oraz ciągłości funkcjonowania firmy opisany jest w normie ISO 17799)
• monitorowanie funkcjonowania zabezpieczeń – z biegiem czasu atmosfera zagrożenia opada i wszystko wraca do stanu początkowego. Przydatne są elementy niezależne, które ciągle przypominają o obowiązujących zasadach i wymuszają odpowiednie zachowanie (np. system rejestracji ruchu w obiekcie, pojemniki na dokumenty przeznaczone do niszczenia w widocznych miejscach, wymuszona okresowa zmiana haseł w komputerach itp)

• ustawa z dnia 6 kwietnia 1990 r. o policji
• ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
• ustawa z dnia 10 czerwca 1994 r. o zamówieniach publicznych
• ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego
• ustawa z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli
• ustawa z dnia 6 czerwca 1997 r. Kodeks karny
• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
• ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych
• ustawa z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych
• ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej
• ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu
• ustawa z dnia 9 lipca 2003 r. o Wojskowych Służbach Informacyjnych

• rozporządzenie Rady Ministrów z dnia 17 września 1990 r. w sprawie trybu legitymowania, zatrzymywania osób, dokonywania kontroli osobistej oraz przeglądania bagaży i sprawdzania ładunku przez policjantów.
• rozporządzenie Rady Ministrów z dnia 24 marca 1998 r. – w sprawie określenia celów specjalnych, na które są wykorzystywane środki budżetowe i mienie państwowe w jednostkach podległych, podporządkowanych lub nadzorowanych przez ministra obrony narodowej, w policji, państwowej straży pożarnej, straży granicznej, jednostkach wojskowych podległych ministrowi spraw wewnętrznych i administracji oraz w jednostkach organizacyjnych urzędu ochrony państwa, jak również organów, zasad i trybu przeprowadzania kontroli w tym zakresie.
• rozporządzenie Prezesa Rady Ministrów z dnia 7 października 2002 r. – w sprawie sposobu przeprowadzania i dokumentowania przez agencję bezpieczeństwa wewnętrznego czynności operacyjno-rozpoznawczych zmierzających do sprawdzenia uzyskanych wcześniej wiarygodnych informacji o przestępstwie oraz wykrycia sprawców i uzyskania dowodów.

• rozporządzenie Prezesa Rady Ministrów z dnia 7 października 2002 r. – w sprawie sposobu przeprowadzania i dokumentowania przez agencję bezpieczeństwa wewnętrznego niejawnego nadzorowania wytwarzania, przemieszczania, przechowywania i obrotu przedmiotami przestępstwa.
• rozporządzenie Rady Ministrów z dnia 18 kwietnia 2003 r. – w sprawie sposobu przeprowadzania i dokumentowania: legitymowania, zatrzymywania, przeszukania oraz dokonywania kontroli osobistej, przeglądania zawartości bagaży i sprawdzania ładunku przez funkcjonariuszy agencji bezpieczeństwa wewnętrznego

Praktyki i polityki stosowane przez firmy posiadające dokumenty do zniszczenia

U podstaw
Sposób niszczenia nośników informacji, powinien stać się jednym z elementów szeroko rozumianego pojęcia “Polityka niszczenia dokumentów”, proces ten powinien obejmować jednocześnie dokumenty podręczne oraz dokumenty archiwalne. Polityka niszczenia dokumentów powinna zostać wdrożona na wszystkich poziomach w hierarchii przedsiębiorstwa, dodatkowo sprawdzona przez zewnętrznego audytora. Samo wdrażanie musi mieć charakter procesu stałego, a nie czasowego zdarzenia. Polityka powinna być dostosowana do procesów związanych z rozwojem przedsiębiorstwa i uwzględniać drobne modyfikacje. Przede wszystkim, powinna wyrażać potrzebę i być wypełni wspierana przez daną organizacje.

Dokumenty, ale które?
Pierwszym etapem budowy polityki niszczenia dokumentów, jest klasyfikacja wszystkich posiadanych dokumentów, które traktowane są jako dokumenty poufne. Dokumenty te możemy podzielić na dwie główne kategorie:

poufne dane osobowe, są to wszystkie dokumenty, które pozwalają w sposób jednoznaczny zidentyfikować konkretną osoba, lub też instytucję. Mogą to być dokumenty zawierające informację takie jak : numer pesel, nip, data urodzenia, numer konta bankowego, pin, karty z opisem choroby. Wszystkie tego typu dokumenty powinny zostać objęte szczególną ochroną, nie dochowanie prostych zasad ochrony prywatności może negatywnie wpłynąć na wizerunek firmy na rynku.

poufne dane gospodarcze, są to dokumenty, które np. opisują strategię, stosowane cenniki, schematy, opisy stosowanych rozwiań, a także dokumenty, które generalnie traktujemy jako: własność intelektualną. Dużą uwagę należy przywiązać do sposobu niszczenia informacji na temat naszych klientów, poprawnie zniszczone dane na temat transakcji handlowych pozwolą firmie zachować odpowiedni dystans w stosunku do konkurencji.Niektóre dokumenty, mogą oczywiście trafiać do kosza, lub też być wtórnie przetwarzane, jakkolwiek dokumenty z wcześniej opisanych kategorii muszą zostać zniszczone.

Kiedy?
W chwili, kiedy przeprowadzimy wstępną klasyfikację dokumentów (dokumenty poufne/ nie poufne), określamy okres czasu ich przechowywania. Okres przechowywania po części ustalamy samodzielnie, generalnie jednak czas ten jest określony ustawodawczo. Przetrzymywanie dokumentów zbyt długo podnosi koszty związane z ich obsługo, z drugiej strony, zniszczenie dokumentów przed czasem związane jest z sankcjami karnymi.

Jak?
Dokumenty poufne nie mogą zostać tak po prostu wyrzucone, lub oddane do zakładów zajmujących się przetwarzaniem surowców wtórnych. Takie dokumenty powinny zostać nieodwracalnie zniszczone. Z pomocą w przychodzą nam często niszczarki biurowe należy jednak pamiętać że ich wydajność jest ograniczona do niszczenia dosłownie kilku kartek jednorazowo. Tak powolny i uciążliwy proces niszczenia dokumentów, może rozwinąć się w sytuację, kiedy to zirytowany pracownik zacznie mieszać zniszczony papier z całymi dokumentami w nadziei, że z “bałaganu” nikomu nie będzie się chciało wyciągać pojedynczych kartek. Inną bardzo prawdopodobną sytuacją jest utworzenie własnej komórki, która niszczy dokumenty. Co wcale nie ustrzeże nas przed wścibskim okiem pracownika który choćby , chciałby poznać pensje zarządu, czy też innych współpracowników. Innym rozwiązaniem jest skorzystanie z usługi niszczenia dokumentów, oferowanej przez wyspecjalizowane w tej dziedzinie firmy. W oparciu u właściwą umowę, oraz procedury możemy problem wycieku informacji na zewnątrz wyeliminować.

Outsourcing
Bezpieczne niszczenie dokumentów, jest procesem niezwykle czasochłonnym i kosztownym. W sytuacji kiedy proces niszczenia, przyrównamy to maszyny, a pracowników do jej poszczególnych mechanizmów, czyż nie trudno jest sobie wyobrazić jaki wpływ na bezpieczeństwo informacji może mieć jeden niesprawny mechanizm. Porównania takiego możemy równie dobrze użyć, w chwili kiedy zdecydujemy się na korzystanie z usługi firmy zewnętrznej musimy mieć pewność, że cały proces odbioru, transportu i niszczenia dokumentów, a także ludzie, którzy biorą udział w tym procesie gwarantują nam bezpieczeństwo na każdym etapie.

Wnioski
Niszczenie dokumentów jest jednym z elementów polityki firmy. dobrze zorganizowana polityka pozwoli zaoszczędzić czas i pieniądze, a przede wszystkim nasze zasoby ludzkie w procesach: gromadzenie, przechowywanie i niszczenie dokumentów.