 |
Poradniki i książki | |
Serwisy informacyjno-doradcze | |
Programy komputerowe | |
Publikacje on-line | |
Dokumenty elektroniczne | |
Seminaria i konferencje |
 Szukaj w serwisie:   Aktualności Prawo Wchodzą w życie W DZ.U. opublikowano Informacje wg haseł W DZ.U. UE opublikowano Twoja firma Finanse i podatki Nowości branżowe Komentarze i opinie Unia Europejska Firma w Unii Przydatne linki Jakość w firmie Spojrzenie na jakość Komentarze i opinie W skrócie  REKLAMA
| | 
Bezpieczeństwo skrojone na miaręTechnologie cyfrowe rozwijają się niezwykle dynamicznie – także w firmach. Niestety, równie dynamicznie rosną zagrożenia kradzieżą lub zniszczeniem cennych dla funkcjonowania przedsiębiorstwa danych. Świadomość konieczności wprowadzenia systemowych zabezpieczeń nie nadąża za lawiną zagrożeń i wiele firm wciąż traci pieniądze z powodu wyciekających danych. Z drugiej strony, wiele firm traci pieniądze z powodu stosowania do ochrony swoich informacji nieadekwatnych środków. Jak znaleźć złoty środek?
Każda firma stara się chronić swoje dane, ale ponieważ na własną rękę trudno zapewnić całkowite bezpieczeństwo informacji, coraz więcej przedsiębiorstw decyduje się na systemowe rozwiązania. Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji i normy ISO/ IEC 27001 nie daje stuprocentowej gwarancji bezpieczeństwa, ale pozwala zminimalizować ryzyko utraty danych w wyniku migracje pracowników, kradzieży sprzętu komputerowego, wejścia niezatrudnionych osób na teren firmy, czy ataków hakerów. Jak udowodnił wiele lat temu jeden z najsłynniejszych hakerów, Kevin Mitnic, najsłabszym ogniwem każdego systemu bezpieczeństwa jest zawsze człowiek.
- Najczęściej utrata informacji spowodowana jest podstawowymi błędami personelu i jego naiwnością. Niebezpieczne mogą być: biznesowa rozmowa telefoniczna prowadzona wśród nieznajomych w kawiarni lub na korytarzu, pozostawienie materiałów na kserokopiarce, a nawet otwarcie podejrzanego załącznika w poczcie elektronicznej - wymienia Mariusz Koszeluk, audytor wiodący z TŰR Rheinland Polska.
Ryzyko wynika przede wszystkim z tego, że osoby odpowiedzialne za bezpieczeństwo informacji nie zdają sobie sprawy z zagrożeń i nie przeznaczają wystarczających środków na odpowiednie zabezpieczenia. Żaden pracownik firmy, nawet pełniący najwyższe funkcje kierownicze, nie może ogarnąć wszystkich pojawiających się w przedsiębiorstwie informacji. System ochrony danych to minimalizacja ryzyka, a warto weń zainwestować. Utrata ważnych danych może doprowadzić do utrudnień pracy w firmie, problemów prawnych, strat finansowych, naruszenia wizerunku, a nawet do upadku przedsiębiorstwa. Taka przerażająca perspektywa sprawia, że często firmy popadają w przeciwną skrajność, bez potrzeby inwestując w systemy ochronne nieadekwatne do chronionych przez nie informacji.
- Szacowanie ryzyka jest najtrudniejsze. Firma może wydać pieniądze na sejfy, kamery i wynająć firmę ochroniarską, ale może się okazać, że środki, jakie przeznaczy na zabezpieczenia, są zbyt duże w porównaniu z wartością zasobów. Chodzi o to, żeby koszty zabezpieczenia informacji nie były za duże. W tym celu ustala się ryzyko, koszty oraz tzw. próg opłacalności, czyli granicę, do której opłaca się inwestować w ochronę danych. Na podstawie tych danych buduje się system zabezpieczeń - tłumaczy Mariusz Koszeluk.
Przedsiębiorstwo, które chce wprowadzić system, musi powołać zespół ludzi odpowiedzialnych za jego wdrożenie, a później - funkcjonowanie. System Zarządzania Bezpieczeństwem Informacji zgodnie z normą ISO/IEC 27001 można wprowadzić w firmie samodzielnie lub z pomocą wynajętej firmy konsultingowej. Ponieważ System Zarządzania Bezpieczeństwem Informacji musi być dostosowany do potrzeb każdej konkretnej firmy, konieczne jest budowanie go od podstaw w zależności od konkretnych warunków. Nie dotyczy tylko bezpieczeństwa systemów informatycznych - chronionymi aktywami mogą być także wszelkiego rodzaju papierowe dokumenty, sprzęt wykorzystywany do przetwarzania danych, a nawet ludzie, którzy mają dostęp do ważnych informacji. Pierwszym krokiem musi być określenie, jakie dane przepływają przez jakie komórki przedsiębiorstwa, jak bardzo są żywotne dla firmy i co im może grozić.
- Aby chronić informacje, musimy wiedzieć, jakie dane przetwarzamy. Określamy, które są dla nas najbardziej istotne i kto wewnątrz firmy jest ich właścicielem. Na tej podstawie firma konsultingowa ustala poszczególne etapy prac, które rozpoczynają się przeglądem wstępnym, a kończą audytem wewnętrznym. Kontrola potwierdza skuteczność przeprowadzonych zmian i zaangażowanie pracowników - wyjaśnia Koszeluk.
Wdrożenie normy trwa zwykle około roku, lub, jeśli firma posiada inne certyfikaty i normy, wprowadzenie systemu trwa krócej, ponieważ system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 jest kompatybilny z innymi systemami zarządzania: jakością (ISO 9001:2000) i środowiskiem (ISO 14001:2004).
Dzięki certyfikacji firmy mogą uzyskać niezależne, obiektywne potwierdzenie wysokiego poziomu zarządzania informacją.
- System zapewnia bezpieczeństwo w bardzo wielu dziedzinach. Zawiera instrukcje szkolenia pracowników, nadawania im prawa dostępu do systemów i funkcjonujących aplikacji. W systemie umieszczono też informacje o tym, co należy zrobić, jeśli na terenie firmy działają inne podmioty (na przykład firma sprzątająca czy ochroniarska, której pracownicy mogą mieć dostęp do aktywów), oraz jak reagować w sytuacjach awaryjnych. To system dla wszystkich, nawet dla takich firm, które nie mają ani jednego komputera - dodaje Koszeluk. (www.rzeczpospolita.pl) | |     |
tel.: +48 22 559 36 00, fax: +48 22 829 27 00, +48 22 559 36 99