IT pod ochroną, czyli polityka bezpieczeństwa w organizacji

Trzy filary bezpieczeństwa w IT

Żyjemy w erze informacji – przewagę mają ich posiadacze. Nic dziwnego, że cyberbezpieczeństwo (czyli ogół działań, które podejmujemy, aby ochronić dane oraz infrastrukturę przed uszkodzeniem i nieautoryzowanym dostępem) jest coraz istotniejsze i przeznaczamy na nie coraz więcej środków. Co oznacza bezpieczeństwo w kontekście IT, a zwłaszcza systemów IT? Najprościej mówiąc, jest to stworzenie w organizacji wspomnianych procedur – takich, które zapewnią systemom IT integralność, poufność i dostępność. Procedury te składają się na politykę bezpieczeństwa.

O polityce za chwilę, najpierw krótkie wyjaśnienie wspomnianych wyżej pojęć.

• Integralność to nic innego jak spójność danych. Bezpieczeństwo rozumiemy tu jako zapobieganie ich celowej modyfikacji (najczęściej dokonywanej z użyciem zaawansowanych technik, służących ukryciu zmiany).
• Poufność określa zakres udostępniania danych uprawnionym podmiotom bądź osobom. Zakres ten zwykle wyznaczają: szyfrowanie oraz kontrola dostępu.
• Dostępność odnosi się do możliwości wykorzystania informacji: w określonym czasie, przez uprawniony do tego podmiot lub osobę.

Polityka bezpieczeństwa zaczyna się… na papierze

Wracając do polityki bezpieczeństwa: to znacznie więcej niż tylko pojęcie. Jej podstawą jest dokument, którego treść umożliwia efektywne i kompleksowe zarządzanie bezpieczeństwem informacji zgromadzonych w firmie, szczególnie w jej systemach informatycznych.

Co zawiera taki dokument? Przede wszystkim, opis strategii i działań, służących zapewnieniu bezpieczeństwa danych. Dokument ma nie tylko ułatwić zrozumienie celu tych działań (czyli istnienia wspomnianych przeze mnie wcześniej procedur), ma również podnosić świadomość pracowników w zakresie zagrożeń bezpieczeństwa i związanego z nimi ryzyka.

Polityka bezpieczeństwa to jeden z najważniejszych dokumentów w firmie. Powinien on być napisany w miarę przystępnym językiem (co w przypadku opisywania procedur bywa sporym wyzwaniem), musi być także dostępny od ręki dla każdego pracownika firmy bądź osób, uprawnionych do korzystania z jej zasobów informatycznych.

Dokument ten nie zawsze jest formułowany w taki sam sposób – jego ostateczny kształt oraz zawartość zależą od firmy. Można spotkać się z całościowym ujęciem zagadnienia polityki bezpieczeństwa lub tylko w kontekście Ustawy o Ochronie Danych Osobowych. Czasem dokument dotyczy wybranego systemu IT bądź tylko części danych. Do niedawna poszczególne standardy czy procedury opisywane były zawsze w oddzielnych dokumentach, teraz nie ma takiego wymogu, często w firmie funkcjonuje tylko jeden dokument, który zawiera całość – zarówno “teorię”, jak i praktykę.

Polityka bezpieczeństwa – jak ją “ubrać w słowa”?

Czy istnieją jakieś “żelazne” wymogi, które omawiany dokument musi spełniać?

Wymienię kilka, moim zdaniem, najważniejszych wyróżników.

• Spójność i precyzja (dokładność) informacji.
• Kompletność – opisane reguły i procedury muszą uwzględniać każdy “szczebel” (poziom) danych, od pojedynczych dokumentów poprzez większe katalogi aż po całość zasobów informatycznych.
• Pełny opis procesu przepływu danych w organizacji – sposób ich zbierania, zarządzania nimi oraz ich udostępniania.
• Określenie metody ochrony poszczególnych zasobów.
• Opis możliwych rodzajów naruszenia bezpieczeństwa, a także scenariuszy postępowania, które pozwolą w przyszłości uniknąć incydentów.
• Zdefiniowanie poprawnego i niepoprawnego korzystania z zasobów danych.

Jak ułatwić sobie tworzenie takiego dokumentu? Polityka bezpieczeństwa powstaje w oparciu o bieżące przepisy i regulacje prawne. Można również czerpać inspirację np. z norm ISO i zaadaptować je jako gotowe elementy przyszłego dokumentu.

Projektując mechanizmy ochrony informacji należy również określić takie elementy, jak model bezpieczeństwa, sposoby kontroli dostępu czy poziom uprawnień. Nie wolno jednak zapominać o codziennym komforcie korzystania z danych: podwyższanie poziomu bezpieczeństwa odbywa się praktycznie zawsze kosztem wygody, produktywności i efektywności działania. Dlatego polityka bezpieczeństwa musi być  dostosowana ściśle do specyfiki firmy i potrzeb pracowników, w przeciwnym wypadku nie będzie przestrzegana.

Dokument i co dalej?

Opracowanie i udostępnienie pracownikom dokumentu to jednak dopiero pierwszy etap całego procesu, który możemy nazwać prowadzeniem polityki bezpieczeństwa. Kolejnymi etapami powinny być: edukacja pracowników w tym zakresie oraz weryfikacja przestrzegania wewnętrznych standardów bezpieczeństwa. Informacje na temat tych działań powinny również znaleźć się w dokumencie. Inaczej będzie to tylko “papier”, z zapisami, których nikt nie będzie przestrzegał.

Jednym z największych problemów związanych z wdrożeniem polityki bezpieczeństwa jest niewłaściwe podejście kadry zarządzającej do tego zagadnienia. Najczęściej popełniany błąd to zrzucanie odpowiedzialności za bezpieczeństwo wyłącznie na dział IT. Tymczasem odpowiedzialność spoczywa na zarządzie firmy – tylko wówczas można skutecznie egzekwować stosowanie się do przepisów. Drugim częstym błędem jest to, że sama kadra zarządzająca ich nie przestrzega. Obecnie to właśnie pracujący o różnych porach, logujący się do niezabezpieczonych sieci menedżerowie są najbardziej narażeni na ataki ze strony cyberprzestępców.

Musimy pamiętać, że najsłabszym ogniwem w tym procesie jest człowiek. Legendarny Kevin Mitnick w swojej książce “Sztuka podstępu” sam stwierdził: ”Łamałem ludzi, nie hasła’’. Bo to właśnie ludzie nie przestrzegający procedur sami udostępniali mu dane, które pozwalały wejść coraz głębiej.
Polityka bezpieczeństwa i jej przestrzeganie to jedno, równie ważne jest dostosowanie jej do aktualnych warunków. To nie jednorazowa “akcja”, ale ciągły proces i – podobnie jak bezpieczeństwo – tak powinna być rozumiana.