Bezpieczeństwo danych – zapobiegaj, by nie leczyć

Lis 17th Bezpieczeństwo danych – zapobiegaj, by nie leczyć
Dodano piątek 17th 8:10:54

Wystąpienie incydentu utraty danych firmy uruchamia machinę działań, którym towarzyszą stres i często chaos. Są jednak sposoby, aby odpowiednio przygotować się na taką sytuację i zminimalizować ryzyko wycieku informacji przedsiębiorstwa. Jak to zrobić?

Wyciek wrażliwych danych może okazać się katastrofą dla firmy i jej pracowników. Moment uświadomienia sobie, że funkcjonujące mechanizmy bezpieczeństwa zawiodły i teraz trzeba skoncentrować swoje działania na badaniu przyczyn i usuwaniu skutków, nigdy nie należy do przyjemnych. Dlatego zawsze należy liczyć się z możliwością wystąpienia takiej sytuacji w swojej organizacji, tym bardziej w obliczu ciągle wzrastającej ilości zagrożeń towarzyszących prowadzeniu biznesu. W ramach procesu analizy przyczyn i sukcesywnym odkrywaniu niedoskonałości systemu, niczym mantra powraca pytanie „co można było zrobić lepiej?”. Aby znaleźć odpowiedź, jeszcze zanim „mleko się rozlało”, warto skorzystać z doświadczeń organizacji, które w swej działalności stawiały czoła tego typu sytuacjom.

Podstawową zasadą pracy z danymi jest znajomość przepisów regulujących ich przetwarzanie i ochronę przed dostępem osób nieuprawnionych. Zastosowanie się do obowiązujących unormowań prawnych oraz do wydanych na ich podstawie dobrych praktyk, stanowi punkt wyjścia przy tworzeniu spójnego systemu przetwarzania informacji. Warto w tym kontekście przypomnieć, że wchodzące w życie w maju 2018 r. Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) przewiduje dotkliwe kary finansowe – do 20 mln euro – dla przedsiębiorców, którzy niewłaściwie obchodzą się z danymi osobowymi przetwarzanymi w ramach prowadzonej działalności. Co więcej sankcje nakładane przez państwo to nie jedyna negatywna konsekwencja incydentu. Po ujawnieniu może on prowadzić do kryzysu wizerunkowego firmy (vide niedawny przypadek Equifax w USA) oraz kierowania pozwów cywilnych przez osoby, których wyciek dotyczył. Powstające z tego tytułu straty są już trudne do oszacowania.

Kolejnym krokiem jest analiza systemu ochrony informacji pod kątem potencjalnych podatności i słabych punktów. W tym celu warto skorzystać z pomocy firmy zajmującej się audytem bezpieczeństwa, w tym testami penetracyjnymi. Dzięki temu będziemy mieli pewność, że najbardziej wrażliwe ułomności zostaną w porę wykryte. Identyfikacja podatnych obszarów umożliwi wprowadzenie zabezpieczeń i zapewnienie kompletności systemu.

Istotnym elementem warunkującym bezpieczeństwo systemu jest również plan reagowania na incydenty. Dobry plan powinien być szczegółowy i uwzględniać możliwie jak najwięcej potencjalnych sytuacji kryzysowych, a także być dopasowany do specyfiki przedsiębiorstwa. Zarząd, uzbrojony w wiedzę nt. słabych punktów systemu (dzięki analizie wyników audytu bezpieczeństwa), ma solidną podstawę do przewidzenia prawdopodobnych scenariuszy. W planie powinny znaleźć się też informacje dotyczące środków komunikacji oraz zaangażowanych podmiotów (zarówno wewnętrznych jak działy prawne czy HR, ale też zewnętrznych firm consultingowych). Ponadto należy również zawrzeć narzędzia zabezpieczające system i wykrywające anomalia, takie jak: IPS/IDS (Intrusion Prevention Systems/Intrusion Detection Systems), oprogramowanie antywirusowe czy alerty systemowe.

Aby zapewnić skuteczną i szybką reakcję na powstały incydent każdy powinien znać swój obszar odpowiedzialności oraz czynności do podjęcia w razie jego stwierdzenia. Dlatego członkowie zespołu reagowania powinni mieć ściśle określone role, żeby niezwłocznie przystąpić do działania, nie tracąc czasu na zbędne dyskusje i ustalanie zadań.

Nie jest tajemnicą, że zawsze najsłabszym ogniwem każdego systemu bezpieczeństwa pozostaje człowiek. Z tego tez powodu nieodzownym elementem zapobiegania powstawaniu incydentów jest cykliczne szkolenie użytkowników końcowych i personelu IT. Ze względu na nieprzerwanie ewoluujący charakter zagrożeń, nie można poprzestać na jednym czy dwóch szkoleniach. Najlepszym rozwiązaniem jest opracowanie programu szkoleniowego, którego treść będzie ciągle aktualizowana o nowe pułapki, na które może się natknąć pracownik podczas wykonywania swoich obowiązków. Tu również warto rozważyć zaangażowanie zewnętrznej firmy konsultingowej, która zagwarantuje, że przekazana wiedza jest aktualna i poparta doświadczeniem.

Powyższa garść wskazówek stanowi solidną podwalinę pod stworzenie skutecznego i bezpiecznego systemu przetwarzania informacji. Nie należy zapominać, że warunkiem jego skuteczności jest dokonywanie systematycznych przeglądów i w razie potrzeby dostosowywanie do aktualnego środowiska bezpieczeństwa.

Secution Sp. z o.o

  • ul. Grzybowska 87
  • 00-844 Warszawa
  • NIP 5272776846

 

Newsletter

Materiały eksperckie będą wysyłane w cyklach miesięcznych. Zapraszamy.