POLITYKA BEZPIECZEŃSTWA
Polityka bezpieczeństwa to zbiór spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur. Dla organizacji jest to dekalog według którego ona buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne.
W polityce bezpieczeństwa określamy, które zasoby mają być chronione i w jaki sposób. Są to postulaty zbieżne z oczekiwaniami właściciela organizacji i określają nie tylko zakres bieżącego zabezpieczenia systemów i informacji, ale jednocześnie uwzględniają scenariusze postępowania w sytuacjach naruszenia bezpieczeństwa, które pozwolą uniknąć powtórzenia się danego incydentu.
Wszystkie działania Firmy muszą uwzględniać założenia i reguły polityki bezpieczeństwa. Odnosi się to w jednakowym stopniu przy tworzeniu wewnętrznych procedur postępowania, budowy i konfiguracji systemów komputerowych i sieci, zakupów odpowiedniego sprzętu i oprogramowania, a nawet przy redagowaniu komunikatu dla prasy na wypadek problemów z bezpieczeństwem.
To Zarząd firmy podejmuje ostateczna decyzję o opracowaniu i wdrożeniu polityki bezpieczeństwa. Jednakże aby miała ona realne i praktyczne wykorzystanie niezbędne są konsultacje podczas jej tworzenia z użytkownikami czyli pracownicy różnych działów Firmy.
Niezmiernie ważne podczas konstruowania dokumentu bezpieczeństwa jest zachowanie odpowiedniego dystansu, zarówno w odniesieniu do zapobiegnięcia nadmiernym restrykcjom, jak również nadmiernemu liberalizmowi.
Przeczytaj rady dla wdrażających politykę bezpieczeństwa
Warto zatrudnić eksperta z zewnątrz - zwrot z inwestycji jest wtedy szybszy, a wdrożony system może oferować oczekiwany poziom bezpieczeństwa oraz spełniać wymagania prawne i technologiczne. Audytowi można poddawać wszystkie bądź tylko niektóre etapy wdrożenia, np. projekty rozwiązań, które firma opracowała własnymi siłami.
Członkowie zarządu powinni uczestniczyć w tworzeniu polityki bezpieczeństwa i wypełnianiu jej postulatów. Poparcie zarządu pozwala nie tylko uchwalić odpowiedni budżet na bezpieczeństwo, ale też np. wprowadzić wewnętrzne normy i regulaminy oraz wyciągać konsekwencje wobec pracowników, którzy ich nie przestrzegają. Trzeba pamiętać, że ponad 80 proc. ataków na systemy pochodzi z wewnątrz instytucji.
Projekty dotyczące ochrony informacji elektronicznej powinny być oparte na zarządzaniu ryzykiem. Najważniejsze jest poprawne określenie zagrożeń i prawdopodobieństwa ich wystąpienia oraz oszacowanie związanego z tym ryzyka. Wynik tych obliczeń należy weryfikować zaraz po jego otrzymaniu i okresowo, np. co 3 lub 6 miesięcy.
Tylko stałe monitorowanie działania systemów i realizacji założeń polityki bezpieczeństwa, adaptowanie się do zmian oraz wykorzystanie nowych technologii umożliwia pogodzenie celów biznesowych z bezpieczeństwem IT.
Nieodłącznym elementem bezpieczeństwa są: audyt i treningi - wymagają ich międzynarodowe i krajowe normy oraz zalecenia dotyczące bezpieczeństwa informacji elektronicznej. Audyt pozwala na weryfikację obecnego stanu i planowanie dalszych działań biznesowych i technologicznych.
Zastosowanie systemu o prostej architekturze zwiększa wydajność pracy oraz dostępność, integralność i poufność informacji. System taki można efektywnie kontrolować i łatwiej go rozbudowywać. Jego wdrożenie i eksploatacja jest tańsza niż rozbudowanych rozwiązań. Polityka stosowana w takich systemach przekłada się na zasadę "co nie jest jawnie dozwolone, jest zabronione".
System zabezpieczeń powinien składać się z różnych mechanizmów. Od strony organizacyjnej wprowadza się segregację i podział ról oraz uprawnień dla użytkowników i systemów. Osoba odpowiedzialna za bezpieczeństwo systemu powinna jednak zadbać o zachowanie równowagi między prostotą architektury a liczbą mechanizmów bezpieczeństwa.
W stosunku do gotowych produktów należy stosować zasadę ograniczonego zaufania. Każde, nawet najlepsze narzędzie może mieć problemy z zagwarantowaniem bezpieczeństwa.
Nawet najprostsze mechanizmy logujące zdarzenia mogą okazać się bardzo pomocne w razie incydentu naruszenia bezpieczeństwa.
DLATEGO NASI EKSPERCI POMOGĄ TOBIE I TWOJEJ FIRMIE W OPRACOWANIU I WDROŻENIU POLITYKI BEZPIECZEŃSTWA
|
