Moja firma a bezpieczeństwo informacji
Bezpieczeństwo informacji
Bezpieczeństwo informacji – termin ten powtarzany jest coraz częściej i przez coraz większą liczbę osób. Jednak największe zainteresowanie tematem ma miejsce dopiero wówczas, gdy w środkach masowego przekazu pojawia się informacja, że klienci jednego z banków padli ofiarą ataku i zostały przejęte na przykład ich hasła dostępu do kont bankowych. Czy zatem bezpieczeństwo informacji to temat doraźny i dotyczący tylko dużych firm? Czy zagadnienie bezpieczeństwa informacji dotyczy również małej firmy, w której pracuje tylko kilku pracowników i w opinii właściciela nie ma w niej żadnych informacji, które musiałaby chronić?
Niestety, każda firma posiada informacje, które musi lub chce chronić. Informacjami, które muszą być chronione – bo tak stanowi obowiązujące prawo – są dane osobowe. Firma, która zatrudnia pracowników (wystarczy, że jest to tylko jeden pracownik) posiada dane kadrowe. I to są dane osobowe, które muszą być chronione zgodnie z regułami zdefiniowanymi w obowiązujących przepisach o ochronie danych osobowych. Informacje kadrowe stanowią zbiór, który występuje prawie zawsze. Jeżeli klientami firmy są ponadto osoby prywatne i zbierane są ich dane, np. w celu wystawienia faktury, to jest to kolejny zbiór informacji, który także musi być chroniony.
Każda firma posiada również informacje, które sama chce chronić, nie będąc do tego zmuszaną przez prawo. Są to na przykład treści umów i porozumień z kontrahentami oraz klientami, systemy rabatów, ceny specjalne dla wybranych klientów, oferty przygotowywane do przetargów. Te informacje są chronione ze względu na interes firmy. Jak zatem widać, ZAWSZE mamy do czynienia z informacjami, które trzeba chronić w firmie, niezależnie od jej wielkości.
Jak wynika z naszego doświadczenia, bardzo duża część właścicieli małych i średnich firm bezpieczeństwo informacji sprowadza wyłącznie do wybranych zagadnień informatycznych. Bardzo częstą odpowiedzią, którą słyszymy w odpowiedzi na nasze pytania jest: Moja firma jest bezpieczna, bo mamy system firewall chroniący naszą sieć komputerową przed atakiem z Internetu oraz oprogramowanie antywirusowe. I jest informatyk, który tego pilnuje. Niestety to za mało, aby można było powiedzieć, że informacje w firmie są chronione w sposób właściwy i pełny.
Ochrona informacji nie sprowadza się wyłącznie do wybranych zagadnień informatycznych. W przypadku danych osobowych mechanizmy służące ich ochronie opisane są w obowiązujących aktach prawnych (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Uruchomienie mechanizmów opisanych w rozporządzeniu pozwala firmom chronić dane osobowe zgodnie z wymaganiami ustawodawcy. Pamiętajmy jednak, że dobrze przygotowany system bezpieczeństwa informacji chronić będzie nie tylko dane osobowe, ale także inne informacje, które są ważne dla firmy.
Jak już wspomnieliśmy wcześniej, bezpieczeństwo informacji to nie tylko wybrane zagadnienia informatyczne. Przeprowadzając audyty spotykamy się z sytuacjami, które zadziwiają niefrasobliwością, chociaż wszyscy w firmie jednym głosem mówią, że jak najbardziej chronią informacje krytyczne dla firmy:
ważne umowy, zawierające poufne informacje, przechowywane są w segregatorach w niezamykanych szafach, które są ustawione w ogólnodostępnych ciągach komunikacyjnych;
po zakończeniu pracy pracownicy nie chowają dokumentów, lecz zostawiają je na biurkach – osoby spoza firmy, np. sprzątające biuro w godzinach popołudniowych, mają wówczas nieskrępowany dostęp do informacji firmowych;
na drukarkach sieciowych leżą nieodebrane wydruki z informacjami księgowymi, handlowymi, itp.;
pracownicy zapisują w łatwo dostępnych miejscach hasła dostępowe do systemów (bo takie trudne do zapamiętania).
To tylko garść przykładów. W celu poprawy bezpieczeństwa informacji nie jest zatem konieczne kupowanie nowszego i droższego sprzętu. Wystarczy przeszkolenie personelu z prawidłowych zasad postępowania oraz wdrożenie rozwiązań organizacyjnych. Dobrym punktem wyjścia, oprócz przeszkolenia pracowników, jest również wykonanie audytu, który wskaże kierunki prac nad poprawą bezpieczeństwa informacji.
Jak wiemy, że duża część właścicieli małych i średnich firm bezpieczeństwo informacji kojarzy przede wszystkim z zagadnieniami informatycznymi. Czy tak jest rzeczywiście, czy też są to jedynie puste deklaracje? Niewłaściwie skonfigurowany firewall umożliwia niezauważone przedostanie się intruza do sieci wewnętrznej i kradzież danych lub ich zniszczenie. To samo może wydarzyć się w sytuacji nieskutecznie działającego systemu antywirusowego. Czy zatem personel informatyczny został przeszkolony? W jaki sposób wykrywać próby ataku i im zapobiegać? Czy zostały wykonane testy penetracyjne systemu firewall w celu sprawdzenia, czy istnieją luki?
Firmowa strona internetowa także może paść ofiarą ataku. W rezultacie nasza firma może zostać skompromitowana i ponieść realne straty. Łatwo sobie wyobrazić takie straty, gdy po przeprowadzeniu kosztownej akcji marketingowej coraz więcej klientów zaczyna odwiedzić nasz serwis i nagle zamiast informacji o firmie lub produktach wyświetlany jest tekst obrażający naszą firmę lub przekazujący fałszywe informacje, np. nieprawdziwe, wyższe ceny. W efekcie takiego ataku akcja marketingowa posłużyła ośmieszeniu naszej firmy za nasze pieniądze. Jest to jeden z przykładów. Strona może także umożliwić intruzowi zebranie informacji o użytkownikach, hasłach, itd., które mogą być wykorzystane do innego rodzaju ataku. Dlatego serwisy internetowe powinny być regularnie testowane pod kątem bezpieczeństwa, a personel opiekujący się serwisem musi być świadomy (przeszkolony) zagrożeń, na które jest narażony serwis.
Nieświadomość czy niefrasobliwość
Dotychczas wskazaliśmy na przykłady, w których to intruz musi chcieć nas zaatakować. Ale bardzo często sami nieświadomie narażamy siebie i naszą firmę na kradzież informacji. Wręcz prosimy się, aby ktoś skradł nasze dane. Coraz częściej w smartfonach przechowujemy w sposób niezaszyfrowany ważne i poufne informacje, zarówno prywatne, jak i firmowe. Niestety, bardzo często nasz telefon ma cały czas włączony moduł łączności bezprzewodowej Bluetooth. Obojętne, czy z niego korzystamy, czy też nie (co ma miejsce przez większość czasu) – będąc w miejscu publicznym wystarczy włączyć wyszukiwanie nowych urządzeń Bluethooth w naszym telefonie, a na pewno odkryjemy w naszym otoczeniu kilkanaście aktywnych telefonów. Osobnik dysponujący laptopem i odpowiednim, darmowym oprogramowaniem jest w stanie bez wiedzy użytkownika pobrać z telefonu przechowywane tam informacje. A co w przypadku gdy taką informacją będą parametry logowania do konta bankowego lub dane do logowania do sieci naszej firmy?
(źródło: http://blog.tylerbell.net)
Innym przykładem niefrasobliwości w ochronie danych jest korzystanie z przygodnych komputerów (np. w kawiarenkach internetowych) lub łączenie się po nieszyfrowanych połączeniach (bez symbolu kłódki w dolnym prawym rogu przeglądarki). Osoba obca, która korzysta z oprogramowania do podsłuchiwania pakietów, jest w stanie odczytać całą naszą komunikację z serwerem. Oznacza to, że bez problemu odczyta nazwy kont i hasła do poczty elektronicznej, być może także do naszej strony firmowej? Takie przechwycenie danych nie jest trudne, szczególnie gdy łączymy się poprzez sieć bezprzewodową Wi-Fi w miejscu publicznym. Intruz uruchomi oprogramowanie, a dane same będą mu się zapisywały na jego komputerze!!! Zatem o bezpieczeństwo informacji w firmie musimy dbać zawsze i wszędzie, a nie tylko w miejscu pracy.
Nasz tekst wskazał jedynie zarys problemów związanych z bezpieczeństwem informacji. Bezpieczeństwo informacji to nie tylko technologia, ale także szkolenia pracowników, które pokażą dobre wzorce postępowania, wzbudzą świadomość i współodpowiedzialność. To także odpowiednie procedury organizacyjne oraz przeszkolenie właściwych pracowników, aby potrafili rozpoznać próby ataków i im zapobiegać. Wbrew obiegowym opiniom dbaniu o bezpieczeństwo informacji nie towarzyszą ogromne koszty, na które mogą sobie pozwolić wyłącznie duże i bogate firmy. To proces, który – jeśli jest dobrze zaplanowany i wdrożony – każdej firmie przyniesie korzyści finansowe, jak również zapobiegnie utracie reputacji czy odpowiedzialności za brak właściwej ochrony informacji, m.in. danych osobowych.
Beata Wieczorek, prezes firmy CTS
Szkolenia z bezpieczeństwa mogą być dobrą alternatywą dla nieprzemyślanych i kosztochłonnych zakupów sprzętowych. W firmie, którą prowadzę, w trakcie szkoleń prezentujemy praktyczne aspekty łatwych do wdrożenia nawet w małej firmie rozwiązań organizacyjnych, mających na celu poprawę bezpieczeństwa. Uczymy, że bezpieczeństwo to przede wszystkim umiejętność rozpoznania zagrożeń i przeciwdziałania im, że dobre zabezpieczenie danych niekończenie musi pociągać za sobą duże koszty finansowe. Edukacja to inwestycja, która się zwraca w bardzo krótkim czasie.
CTS jest autoryzowanym ośrodkiem szkoleniowym Microsoft, McAfee, CompTIA, Novell Linux SUSE. Ponadto posiadamy certyfikację centrum egzaminacyjnego Pearson VUE, Prometric, Certiport (Microsoft Office Specialist).
Szkolimy, doradzamy, wdrażamy.
CTS - Centrum Technik Sieciowych
cts@cts.com.pl
www.cts.com.pl
tel. 22 838-19-08
22 838-52-70
Każda firma posiada również informacje, które sama chce chronić, nie będąc do tego zmuszaną przez prawo. Są to na przykład treści umów i porozumień z kontrahentami oraz klientami, systemy rabatów, ceny specjalne dla wybranych klientów, oferty przygotowywane do przetargów. Te informacje są chronione ze względu na interes firmy. Jak zatem widać, ZAWSZE mamy do czynienia z informacjami, które trzeba chronić w firmie, niezależnie od jej wielkości.
Jak wynika z naszego doświadczenia, bardzo duża część właścicieli małych i średnich firm bezpieczeństwo informacji sprowadza wyłącznie do wybranych zagadnień informatycznych. Bardzo częstą odpowiedzią, którą słyszymy w odpowiedzi na nasze pytania jest: Moja firma jest bezpieczna, bo mamy system firewall chroniący naszą sieć komputerową przed atakiem z Internetu oraz oprogramowanie antywirusowe. I jest informatyk, który tego pilnuje. Niestety to za mało, aby można było powiedzieć, że informacje w firmie są chronione w sposób właściwy i pełny.
Ochrona informacji nie sprowadza się wyłącznie do wybranych zagadnień informatycznych. W przypadku danych osobowych mechanizmy służące ich ochronie opisane są w obowiązujących aktach prawnych (Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Uruchomienie mechanizmów opisanych w rozporządzeniu pozwala firmom chronić dane osobowe zgodnie z wymaganiami ustawodawcy. Pamiętajmy jednak, że dobrze przygotowany system bezpieczeństwa informacji chronić będzie nie tylko dane osobowe, ale także inne informacje, które są ważne dla firmy.
Jak już wspomnieliśmy wcześniej, bezpieczeństwo informacji to nie tylko wybrane zagadnienia informatyczne. Przeprowadzając audyty spotykamy się z sytuacjami, które zadziwiają niefrasobliwością, chociaż wszyscy w firmie jednym głosem mówią, że jak najbardziej chronią informacje krytyczne dla firmy:
ważne umowy, zawierające poufne informacje, przechowywane są w segregatorach w niezamykanych szafach, które są ustawione w ogólnodostępnych ciągach komunikacyjnych;
po zakończeniu pracy pracownicy nie chowają dokumentów, lecz zostawiają je na biurkach – osoby spoza firmy, np. sprzątające biuro w godzinach popołudniowych, mają wówczas nieskrępowany dostęp do informacji firmowych;
na drukarkach sieciowych leżą nieodebrane wydruki z informacjami księgowymi, handlowymi, itp.;
pracownicy zapisują w łatwo dostępnych miejscach hasła dostępowe do systemów (bo takie trudne do zapamiętania).
To tylko garść przykładów. W celu poprawy bezpieczeństwa informacji nie jest zatem konieczne kupowanie nowszego i droższego sprzętu. Wystarczy przeszkolenie personelu z prawidłowych zasad postępowania oraz wdrożenie rozwiązań organizacyjnych. Dobrym punktem wyjścia, oprócz przeszkolenia pracowników, jest również wykonanie audytu, który wskaże kierunki prac nad poprawą bezpieczeństwa informacji.
Jak wiemy, że duża część właścicieli małych i średnich firm bezpieczeństwo informacji kojarzy przede wszystkim z zagadnieniami informatycznymi. Czy tak jest rzeczywiście, czy też są to jedynie puste deklaracje? Niewłaściwie skonfigurowany firewall umożliwia niezauważone przedostanie się intruza do sieci wewnętrznej i kradzież danych lub ich zniszczenie. To samo może wydarzyć się w sytuacji nieskutecznie działającego systemu antywirusowego. Czy zatem personel informatyczny został przeszkolony? W jaki sposób wykrywać próby ataku i im zapobiegać? Czy zostały wykonane testy penetracyjne systemu firewall w celu sprawdzenia, czy istnieją luki?
Firmowa strona internetowa także może paść ofiarą ataku. W rezultacie nasza firma może zostać skompromitowana i ponieść realne straty. Łatwo sobie wyobrazić takie straty, gdy po przeprowadzeniu kosztownej akcji marketingowej coraz więcej klientów zaczyna odwiedzić nasz serwis i nagle zamiast informacji o firmie lub produktach wyświetlany jest tekst obrażający naszą firmę lub przekazujący fałszywe informacje, np. nieprawdziwe, wyższe ceny. W efekcie takiego ataku akcja marketingowa posłużyła ośmieszeniu naszej firmy za nasze pieniądze. Jest to jeden z przykładów. Strona może także umożliwić intruzowi zebranie informacji o użytkownikach, hasłach, itd., które mogą być wykorzystane do innego rodzaju ataku. Dlatego serwisy internetowe powinny być regularnie testowane pod kątem bezpieczeństwa, a personel opiekujący się serwisem musi być świadomy (przeszkolony) zagrożeń, na które jest narażony serwis.
Nieświadomość czy niefrasobliwość
Dotychczas wskazaliśmy na przykłady, w których to intruz musi chcieć nas zaatakować. Ale bardzo często sami nieświadomie narażamy siebie i naszą firmę na kradzież informacji. Wręcz prosimy się, aby ktoś skradł nasze dane. Coraz częściej w smartfonach przechowujemy w sposób niezaszyfrowany ważne i poufne informacje, zarówno prywatne, jak i firmowe. Niestety, bardzo często nasz telefon ma cały czas włączony moduł łączności bezprzewodowej Bluetooth. Obojętne, czy z niego korzystamy, czy też nie (co ma miejsce przez większość czasu) – będąc w miejscu publicznym wystarczy włączyć wyszukiwanie nowych urządzeń Bluethooth w naszym telefonie, a na pewno odkryjemy w naszym otoczeniu kilkanaście aktywnych telefonów. Osobnik dysponujący laptopem i odpowiednim, darmowym oprogramowaniem jest w stanie bez wiedzy użytkownika pobrać z telefonu przechowywane tam informacje. A co w przypadku gdy taką informacją będą parametry logowania do konta bankowego lub dane do logowania do sieci naszej firmy?
(źródło: http://blog.tylerbell.net)
Innym przykładem niefrasobliwości w ochronie danych jest korzystanie z przygodnych komputerów (np. w kawiarenkach internetowych) lub łączenie się po nieszyfrowanych połączeniach (bez symbolu kłódki w dolnym prawym rogu przeglądarki). Osoba obca, która korzysta z oprogramowania do podsłuchiwania pakietów, jest w stanie odczytać całą naszą komunikację z serwerem. Oznacza to, że bez problemu odczyta nazwy kont i hasła do poczty elektronicznej, być może także do naszej strony firmowej? Takie przechwycenie danych nie jest trudne, szczególnie gdy łączymy się poprzez sieć bezprzewodową Wi-Fi w miejscu publicznym. Intruz uruchomi oprogramowanie, a dane same będą mu się zapisywały na jego komputerze!!! Zatem o bezpieczeństwo informacji w firmie musimy dbać zawsze i wszędzie, a nie tylko w miejscu pracy.
Nasz tekst wskazał jedynie zarys problemów związanych z bezpieczeństwem informacji. Bezpieczeństwo informacji to nie tylko technologia, ale także szkolenia pracowników, które pokażą dobre wzorce postępowania, wzbudzą świadomość i współodpowiedzialność. To także odpowiednie procedury organizacyjne oraz przeszkolenie właściwych pracowników, aby potrafili rozpoznać próby ataków i im zapobiegać. Wbrew obiegowym opiniom dbaniu o bezpieczeństwo informacji nie towarzyszą ogromne koszty, na które mogą sobie pozwolić wyłącznie duże i bogate firmy. To proces, który – jeśli jest dobrze zaplanowany i wdrożony – każdej firmie przyniesie korzyści finansowe, jak również zapobiegnie utracie reputacji czy odpowiedzialności za brak właściwej ochrony informacji, m.in. danych osobowych.
Beata Wieczorek, prezes firmy CTS
Szkolenia z bezpieczeństwa mogą być dobrą alternatywą dla nieprzemyślanych i kosztochłonnych zakupów sprzętowych. W firmie, którą prowadzę, w trakcie szkoleń prezentujemy praktyczne aspekty łatwych do wdrożenia nawet w małej firmie rozwiązań organizacyjnych, mających na celu poprawę bezpieczeństwa. Uczymy, że bezpieczeństwo to przede wszystkim umiejętność rozpoznania zagrożeń i przeciwdziałania im, że dobre zabezpieczenie danych niekończenie musi pociągać za sobą duże koszty finansowe. Edukacja to inwestycja, która się zwraca w bardzo krótkim czasie.
CTS jest autoryzowanym ośrodkiem szkoleniowym Microsoft, McAfee, CompTIA, Novell Linux SUSE. Ponadto posiadamy certyfikację centrum egzaminacyjnego Pearson VUE, Prometric, Certiport (Microsoft Office Specialist).
Szkolimy, doradzamy, wdrażamy.
CTS - Centrum Technik Sieciowych
cts@cts.com.pl
www.cts.com.pl
tel. 22 838-19-08
22 838-52-70
|
nr 5(109)2011  |
|
