Ochrona zasobów informacyjnych w firmie - najczęściej popełniane błędy

Rz: Dlaczego warto dbać o skuteczną ochronę zasobów informacyjnych firmy?

Maciej Jurczyk: Informacje – w tym dane osobowe, know-how, dane finansowe itp. – to współcześnie najcenniejsze zasoby każdej firmy. Pracowników, nawet tych najlepszych, wcześniej czy później uda się zastąpić. Siedzibę firmy można zmienić. Wyposażenie biur czy najdroższy nawet sprzęt elektroniczny również są do odtworzenia. Jednak w przypadku utraty lub wycieku kluczowych dla firmy danych straty mogą być nieodwracalne, prowadząc do utraty zaufania klientów lub pozycji na rynku.

Ponadto do odpowiedniego zabezpieczenia niektórych danych obligują przedsiębiorców przepisy. W szczególności dotyczy to np. danych osobowych. Ich nieuprawnione udostępnienie osobom trzecim nie tylko może grozić stratami wizerunkowymi i finansowymi, ale nawet odpowiedzialnością karną.

To jakie błędy najczęściej popełniają firmy w tym obszarze?

Na podstawie setek audytów, które wykonywaliśmy zarówno w małych i średnich, jak i dużych firmach rzeczywiście da się stworzyć listę takich najczęstszych nieprawidłowości, chociaż dużo zależy oczywiście od konkretnej sytuacji, wykorzystywanych przez firmę systemów i okoliczności. Wybierając zatem te najczęściej się powtarzające, można wskazać na nieprawidłowe zabezpieczenie systemów informatycznych. Przykładowo często spotykanym błędem jest pozostawienie aktywnych kont serwisowych lub testowych po wykonaniu prac wdrożeniowych lub rozwojowych. Jeżeli konta te nie zostaną zlikwidowane lub odpowiednio zabezpieczone, umożliwiają dostęp do funkcjonujących już systemów osobom nieupoważnionym.

Jak się okazuje, problematyczne dla firm są także kopie bezpieczeństwa. Tu obserwowane są trzy rodzaje nieprawidłowości. Po pierwsze, w wielu firmach w ogóle nie ma czegoś takiego jak kopie bezpieczeństwa. Po drugie, kopie bywają niewłaściwie zabezpieczone. Po trzecie, co stwierdzane jest najczęściej, firmy nie weryfikują poprawności zapisu kopii bezpieczeństwa.

Częstym uchybieniem jest również brak właściwej kontroli dostępu do poszczególnych systemów informatycznych, funkcjonujących w przedsiębiorstwie. Dlatego przedsiębiorcy powinni zwracać większą uwagę na odpowiednie nadawanie uprawnień poszczególnym użytkownikom w tym zakresie, a następnie kontrolowanie tych uprawnień. Poważne zagrożenie dla firmowych danych stanowi także brak mechanizmów monitorujących, identyfikujących i blokujących podejrzany ruch w sieciach teleinformatycznych oraz przesyłane w nich treści. Szczególnie istotne jest blokowanie wypływu danych szczególnie chronionych.

A jak firmy dbają o zabezpieczenie różnego rodzaju urządzeń mobilnych? Wydaje się bowiem, że pracownicy coraz częściej mają do nich dostęp, w tym wykorzystują je do pracy w domu, wynosząc w ten sposób cenne informacje z firmy.

To na pewno kolejny poważny problem. Nawet jeżeli przedsiębiorca ma dobrze chroniony system informatyczny w samym lokalu, to rzeczywiście się zdarza, że zapomina o zabezpieczaniu urządzeń przenośnych. Stąd spotykamy się z przypadkami dopuszczenia do korzystania przez pracowników z niezabezpieczonych laptopów, telefonów, tabletów oraz dysków i pamięci zewnętrznych. Pomijając nawet złą wolę lub niefrasobliwość pracowników, taki sprzęt może przecież zostać skradziony, a niezabezpieczone dane w łatwy sposób wpadną wtedy w niepowołane ręce. Generalnie, mimo coraz większych ułatwień w stosowaniu tego typu rozwiązań, firmy wciąż zbyt rzadko szyfrują urządzenia magazynujące chronione informacje firmowe. Mowa tu głównie o dyskach twardych, pamięciach zewnętrznych i taśmach z kopiami, ale może to dotyczyć także e-maili i załączników wysyłanych pocztą elektroniczną.

W kontekście używania sprzętu i w firmie, i w domu warto też zwrócić uwagę na błąd, jakim może być brak podziału na zasoby prywatne i służbowe. Niemal nagminne jest wykorzystywanie przez pracowników prywatnego sprzętu elektronicznego w celach służbowych lub wykorzystywanie różnych służbowych zasobów do celów prywatnych.

A czy firmy, wzorem niektórych instytucji publicznych, oznaczają dokumenty według jakiegoś kryterium ich poufności?

Z naszej praktyki wynika, że firmy stosunkowo rzadko korzystają z oznaczeń stopnia poufności informacji przekazywanych w formie papierowej. Co więcej, czasami w ogóle nie ma żadnych reguł określających nadzór nad dokumentami. Stąd są firmy, w których niemal każdego dnia można się spotkać z dokumentami pozostawionymi w kserokopiarce, faksie czy na półce w korytarzu.

Brak definiowania stopnia poufności dotyczy także nośników elektronicznych. W konsekwencji może to skutkować udostępnieniem informacji osobom do tego nieuprawnionym lub zniszczeniem nośnika niezgodnie ze sklasyfikowanym poziomem ochrony zawartości. W tym ostatnim przypadku warto np. zauważyć, że zwykłe wykasowanie danych z dysku lub jego sformatowanie nie powoduje, że danych tych nie da się już nigdy odtworzyć. Dlatego przy bardzo cennych informacjach, które z jakiegoś powodu firma chce całkowicie usunąć z nośnika pamięci, należy to wykonać w sposób profesjonalny.

Gdyby miał pan wskazać jeden kluczowy sposób na zapewnienie większego bezpieczeństwa, to co by to było?

To trudne zadanie. Gdybym jednak miał wybrać ten jeden, to myślę, że musi to być wzrost świadomości. Niestety, jest bowiem tak, że wraz z rozwojem technologii i związanych z tym zagrożeń dla bezpieczeństwa informacji, nie idą w parze właściwe szkolenia dla pracowników, w tym również dla tych odpowiedzialnych za zabezpieczanie kluczowych zasobów przedsiębiorstwa. Mowa tu głównie o informatykach, którzy często nie mają zagwarantowanych szkoleń z zakresu obsługi urządzeń i technologii, wykorzystywanych do zabezpieczeń teleinformatycznych. Dlatego apelowałbym do przedsiębiorców, żeby nie oszczędzali na tym właśnie elemencie.

—rozmawiał Michał Kołtuniak