Polityka bezpieczeństwa IT to jeden ze strategicznych dokumentów firmowych, który opisuje możliwości całościowego i efektywnego zarządzania bezpieczeństwem informacji. Powinna ona być wdrożona w każdym przedsiębiorstwie. Samo bezpieczeństwo IT to zbiór wszystkich zagadnień związanych z zapewnieniem poufności, integralności i dostępu do obiegu informacji w systemach informatycznych przedsiębiorstwa. W artykule opowiemy, co to jest polityka bezpieczeństwa, co powinna zawierać i jak ją prawidłowo wdrożyć.
Co zawiera polityka bezpieczeństwa IT?
Jak prawidłowo zdefiniować politykę bezpieczeństwa IT w firmie?
Wytyczne prawidłowo zdefiniowanej polityki bezpieczeństwa
Wdrożenie polityki bezpieczeństwa IT w firmie z Syteca
Co zawiera polityka bezpieczeństwa IT?
Polityka bezpieczeństwa systemów informatycznych musi zawierać w sobie spójny i precyzyjny zbiór procedur, na których firma opiera budowę wewnętrznych danych, dokumentów i zasobów informatycznych, a także zarządza nimi i je udostępnia. Precyzuje także, które z nich i w jaki sposób mają być chronione. Polityka bezpieczeństwa IT definiuje również prawidłowe korzystanie z kont użytkowników i oprogramowania. Oprócz tych głównych założeń opisuje wszelkie przewidywane możliwości:
-
wycieku lub utraty danych,
-
nieautoryzowanego dostępu,
-
scenariuszy działań w takich przypadkach,
-
działań mających na celu uniknięcie ich w przyszłości.
Ważnym elementem dokumentu jest także opis mechanizmów identyfikacji fizycznej pracowników mających dostęp do poszczególnych chronionych pomieszczeń jak np. serwerownie. Dodatkowo powinien zawierać procedury związane ze śledzeniem zdarzeń w systemie informatycznym firmy oraz programy i procedury wyłapujące zmiany w nim.
Jak prawidłowo zdefiniować politykę bezpieczeństwa IT w firmie?
Ustalenie polityki bezpieczeństwa w firmie powinien poprzedzać audyt, który pozwoli wykryć zagrożenia, dokona ich klasyfikacji i zaproponuje procedury ich zapobiegania w przyszłości. Dla jej prawidłowego sformułowania powinien on dokonać analizy poszczególnych kategorii infrastruktury IT i osobno przyjrzeć się zagrożeniom wynikającym z każdej z nich, czyli:
- systemów IT,
- danych,
- systemów sieciowych i infrastruktury LAN,
- infrastruktury IT,
- zasobów ludzkich.
Dla systemów IT audyt musi określić wszystkie aplikacje i programy, mające dostęp do firmowych danych i przetwarzające je. Nie można również pominąć danych, które są przetwarzane lub wytwarzane poza firmą, np. w chmurze. W wypadku sprawdzania infrastruktury LAN ważne jest, aby objęła ona zarówno LAN, WLAN, jak i WAN, z uwzględnieniem technologii, w jakich pracują.
Ludzie to kategoria audytu, której trzeba poświęcić szczególną uwagę. Musi obejmować zarówno osoby zatrudnione, jak i spoza firmy, np. serwisantów czy administratorów dostarczanych usług.
Wytyczne prawidłowo zdefiniowanej polityki bezpieczeństwa
Dopiero uwzględnienie tych wszystkich czynników pozwala na prawidłowe zdefiniowanie polityki bezpieczeństwa IT w firmie, która powinna obejmować następujące reguły:
- jednoznaczne przypisanie uprawnień dostępu do informacji poszczególnym użytkownikom,
- definicja poziomu poufności informacji od chwili jej powstania aż zniknięcia z obiegu,
- ograniczenie używania obcych nośników informacji (np. dysków USB) do niezbędnego minimum,
- sklasyfikowanie wszystkich użytkowników, systemów, w tym peryferyjnych jak zarządzanie drukiem w firmie oraz oprogramowania pod względem ochrony przetwarzanych informacji,
- procedury zachowania poufności danych w przypadku kradzieży lub zagubienia nośników, laptopów czy urządzeń mobilnych, na których się znajdowały,
- wyłapywanie naruszeń polityki bezpieczeństwa IT,
- prowadzenie ewidencji naruszeń tej polityki wraz ze sposobami ich wyeliminowania.
Wdrożenie polityki bezpieczeństwa IT w firmie z Syteca
Polityka bezpieczeństwa IT musi być dostosowana ściśle do specyfiki i potrzeb danej firmy, z uwzględnieniem wszystkich urządzeń wykorzystywanych w procesie przetwarzania danych oraz jej możliwości finansowych.
Pomóc w takim wdrożeniu może Syteca, oferując program do monitorowania komputera pracownika, oparty o system DLP. Pozwala on na zabezpieczenie sieci, skutecznie blokując każdą czynność zidentyfikowaną jako próba przejęcia danych, zarówno celową, jak i przypadkową, wynikającą np. z działań pracowników. To właśnie pracownik nieświadomie jako tzw. Insider najczęściej naraża firmę na wyciek danych. Program umożliwia śledzenie aktywności pracowników na komputerze, a także monitoring serwera. Dzięki temu możliwa jest odpowiedź na incydenty bezpieczeństwa w czasie rzeczywistym.
Syteca proponuje także zabezpieczenie komputerów pracowników podczas szczególnej formy pracy, jaką jest praca zdalna, podczas której udostępniane przez pulpit zdalny dane są łatwe do przejęcia.
Działania tych zabezpieczeń można dodatkowo wspomóc stosowaniem zasady Zero Trust, traktującej każdą aktywność wewnątrz firmowej sieci jak pochodzącą z zewnątrz.
Podsumowanie
Prawidłowo przygotowana polityka bezpieczeństwa IT minimalizuje zagrożenia wycieku lub utraty danych firmowych, a dobór odpowiednich narzędzi systemowych ułatwia jej wdrożenie.