Prawidłowo realizowana Polityka bezpieczeństwa firmy powinna uwzględniać następujące elementy:
- Kontrolę dostępu do systemu informatycznego firmy.
- Monitorowanie bezpieczeństwa systemu informatycznego firmy.
- Fizyczne środki bezpieczeństwa.
- Stworzenie i wdrożenie polityki bezpieczeństwa wobec personelu.
- Podział kompetencji i ról poszczególnych osób, czy komórek firmy pod kątem realizowania polityki bezpieczeństwa w firmie.
- Klasyfikację i zarządzanie aktywami.
- Zarządzanie siecią komputerową.
- Stworzenie planu awaryjnego zapewniającego ciągłość działania firmy na wypadek nieprzewidzianych zdarzeń.
- Profilaktyka
1. Kontrola dostępu do systemu informatycznego firmy
Polityka firmy wobec kontroli dostępu do systemu informatycznego ustanawia wskazówki, pozwalające zabezpieczyć się przed nieupoważnionym dostępem do systemu i danych firmy, a także przed utratą bądź uszkodzeniem danych poprzez zaniedbanie, czy jakieś nieoczekiwane zdarzenie.
Ten system kontroli dostępu składa się z fizycznego dostępu do systemu i logicznego systemu kontroli dostępu poprzez logowanie i hasła.
- Fizyczny dostęp do systemu: Chociaż wydaje się on być najbardziej oczywistym obszarem do zabezpieczenia, jest on równocześnie najbardziej wykorzystywany w celu włamania do systemu. Fizyczny dostęp daje możliwość fizycznego dostępu do komputera osobie nieupoważnionej.
- Dostęp logiczny i hasła: dostęp logiczny jest to logowanie się na danym komputerze poprzez podanie ID użytkownika i wpisanie hasła. Hasła powinny być zmieniane przynajmniej co 2 miesiące. Poprawnie wprowadzone hasło powinno zawierać od 6 do 8 znaków podanych w kolejności losowej kombinacji liter i cyfr (muszą być i cyfry i litery). Hasło powinno być łatwe do zapamiętania i trudne do odgadnięcia , nie powinno np. zawierać imion i nazwisk, dat urodzin itp.. Hasła są kluczami otwierającymi dostęp do systemu!
2. Monitorowanie bezpieczeństwa systemu informatycznego firmy Zabezpieczenie systemu operacyjnego opiera się na trzech składnikach:
- Zabezpieczenie systemów przetwarzania danych.
- Zabezpieczenie środowiska internetowego.
- Ochrona przed wirusami.
3. Fizyczne środki bezpieczeństwa
- Siedziba firmy powinna być całodobowo strzeżona przez odpowiednio wyszkolony personel. Goście są kontrolowani i proszeni o odpowiedni wpis do ewidencji. Podczas godzin pracy, pracownicy zobowiązani są do noszenia odpowiednich identyfikatorów.
- Siedziba firmy powinna być całodobowo strzeżona przez odpowiednio wyszkolony personel. Goście są kontrolowani i proszeni o odpowiedni wpis do ewidencji. Podczas godzin pracy, pracownicy zobowiązani są do noszenia odpowiednich identyfikatorów.
- Budynek powinien być dostatecznie oświetlony nocą i powinien być wyposażony w solidne zamknięcia.
- Pomieszczenie w którym znajdują się serwery i inne powiązane z nimi urządzenia powinny być zawsze zamknięte. Dostęp do nich maja tylko upoważnieni administratorzy.
- Kopia zapasowa z systemu powinna być przechowywana w ogniotrwałej szafie pancernej.
- Stacje komputerowe mogą być zabezpieczone w sposób polegający na wyłączeniu lub usunięciu z nich wszystkich urządzeń dzięki którym można przekopiować dane, są to np. napędy dyskietek, nagrywarki CD, porty USB itp.
4. Stworzenie i wdrożenie polityki bezpieczeństwa wobec personelu
Firma powinna zdawać sobie sprawę z faktu, że personel jest najważniejszym zasobem firmy. To personel odgrywa kluczową rolę w procesie zabezpieczania danych firmy.
Wyspecjalizowana komórka HR powinna monitorować posunięcia osobowe w firmie.
5. Podział kompetencji i ról poszczególnych osób, czy komórek firmy pod kątem realizowania polityki bezpieczeństwa w firmie
Organizacja powinna wyodrębnić dwa poziomy hierarchii pod kątem realizowania polityki bezpieczeństwa, a mianowicie:
- Pełnomocnik Zarządu.
- Zespół Zarządzający Bezpieczeństwem w skład którego wchodzą:
- Oficer Bezpieczeństwa ds. Ochrony Danych
- Menagerowie Projektów
- Analitycy danych
Zarząd powinien być zaangażowany w planowanie polityki i strategii ochrony informacji. Powinien dokonywać przeglądów raportów oceny ryzyka, oraz monitorować stopień podatności informacji i danych będących w posiadaniu firmy na główne zagrożenia i śledzić ewentualne ataki.
Na Zespole Zarządzającym Bezpieczeństwem spoczywa obowiązek rozumienia wagi problemu jakim jest zagrożenie płynące z zewnątrz firmy. Zespół ten odpowiedzialny jest za wdrażanie odpowiednich programów wspomagających bezpieczeństwo, powinno być to poprzedzane i uzasadnione odpowiednimi testami.
Na tej grupie spoczywa również obowiązek monitoringu różnorakich zabezpieczeń, które mają za zadanie uchronić firmę przed uderzeniem, a także pozwalają stwierdzić czy takowe ataki miały miejsce.
Zespół Zarządzający Bezpieczeństwem jest odpowiedzialny za utrzymywanie w stałej gotowości planów awaryjnych firmy, a także zobowiązany jest do systematycznego ich testowania, tak aby w krytycznym momencie nie okazały się przestarzałe i nieprzydatne.
Innym głównym obowiązkiem zespołu jest “zaszczepianie” odpowiedniej świadomości w zakresie zachowania bezpieczeństwa informacji na wszystkich szczeblach organizacji.
Za bezpieczeństwo sieci komputerowej powinien być odpowiedzialny wyznaczony Administrator Systemu.
6. Klasyfikacja i kontrola aktywów
Ludzie są najbardziej wartościowym składnikiem aktywów w każdej firmie. Oprócz nich, firma posiada jeszcze aktywa w postaci różnych informacji, a także aktywa rzeczowe.
- Aktywa w postaci informacji
- Bazy danych: informacje o konsumentach, personelu, produkcji, sprzedaży, marketingu, czy finansów firmy. Danych zawierające uporządkowane chronologicznie informacje z działalności operacyjnej firmy. Zasoby archiwalne firmy. Programy komputerowe.
- Aktywa rzeczowe
- komputery i serwery danych.
- sprzęt komunikacyjny w postaci modemów, routerów, czy faxów.
- magnetycznych nośników danych tj: taśm audio i video, dyskietek, streamerów, płyt CD i innych.
- Skanery
- Inny sprzęt: UPS-y, klimatyzatory, kserokopiarki itd.
- Meble i urządzenia sanitarne
Jest to fizyczny sprzęt wykorzystywany w działalności firmy w skład którego mogą wchodzić np.:
Zaktualizowana wartość każdej z wyżej wymienionych rzeczy jest wskazówką według której aktywa firmy są wyceniane i ubezpieczane. Wartość poszczególnych aktywów jest rewidowana każdego roku i odpowiednio zmieniana.
7. Zarządzanie siecią komputerową
Sieć komputerowa jest szczególnie narażona na ataki z zewnątrz jeśli jest połączona z Internetem.
Aby zminimalizować ryzyko ataków z “zewnątrz” po pierwsze wykorzystać możliwości jakie daje nam współczesna (czytaj dostępna) technologia. A więc po pierwsze należy zainstalować program chroniący nas przed nie pożądanymi atakami z zewnątrz tzw. firewall. Po drugie system operacyjny zarządzający serwerami powinien być odporny na próby ingerencji z zewnątrz, a same oprogramowanie na serwerze też powinno być zabezpieczone, w tym miejscu też odpowiedni będzie program typu firewall.
8. Plan awaryjny
Plan awaryjny pozwala na odtworzenie bazy komputerowej firmy i struktury sieci informatycznej w przypadku, gdy w wyniku nieszczęśliwego wypadku zostanie zniszczona lub poważnie uszkodzona
Intencją planu jest przywrócenie systemu do stanu pierwotnego tak szybko jak to możliwe przy pomocy najświeższych i najbardziej aktualnych danych uzyskanych z kopii zapasowej systemu.
Wysiłek firmy przy przywracaniu systemu koncentruje się na przywróceniu danych firmy do stanu sprzed wypadku, a także na połączeniu tych danych z nowymi danymi, które zostały zarejestrowane po wypadku, ale jeszcze przed przywróceniem systemu do działania.
9. Profilaktyka
Tak samo istotne jak posiadanie planu awaryjnego jest podejmowanie odpowiednich działań mających na celu zapobieganie i minimalizowanie wystąpieniu zagrożeń. Poniżej dokonano krótkiego przeglądu zagrożeń które mogą doprowadzić do nieszczęśliwego w skutkach wypadku. Materiał ten może pokazać nam gdzie tkwią nasze słabe strony i jakie środki zaradcze możemy podjąć aby zminimalizować ryzyko. Przykładowe zagrożenia to:
- Pożar
- Powódź
- Burze
- Przestępstwa komputerowe