Paula Januszkiewicz, audytor bezpieczeñstwa IT w CQURE


Firmy, my¶l±c o zarz±dzaniu bezpieczeñstwem informatycznym powinny wdra¿aæ polityki, które okre¶laj± zasady korzystania i udzielania dostêpu do infrastruktury informatycznej. Polityki te, najlepiej spisane w postaci jednego dokumentu (zbioru wytycznych), powinny byæ znane wszystkim pracownikom. Lepiej dla pracodawcy, je¶li taki dokument bêdzie przez pracowników podpisany. Nie wszystkim pracownikom to odpowiada, poniewa¿ podpis oznacza wiêksz± odpowiedzialno¶æ. Dlatego pracodawca powinien tworzyæ politykê bezpieczeñstwa zgodnie z prawem i do³o¿yæ wszelkich starañ, aby swoich pracowników zaznajomiæ z jej zapisami. Podpisana przez pracowników polityka bezpieczeñstwa daje pracodawcy narzêdzie do dyscyplinowania pracowników, a nawet dyscyplinarnego zwolnienia w przypadku ra¿±cego naruszenia procedur. Z drugiej strony, daje te¿ pracodawcy wiêkszy komfort, poniewa¿ faktycznie mo¿e siê przyczyniæ do ograniczenia ryzyka informatycznego. Jak wiadomo, kraje najwy¿ej rozwiniête s± technologicznymi liderami i pionierami. Warto wiêc uczyæ siê na ich przyk³adzie (zarówno b³êdach, jak i wypracowanej metodologii), aby lepiej zabezpieczaæ w³asny biznes, zanim pojawi± siê prawdziwe k³opoty. Zdaniem firm, które prowadz± audyty bezpieczeñstwa, polscy przedsiêbiorcy kopiuj± typowe b³êdy pope³niane przez ich zachodnich kolegów.

Personel nie¶wiadomie stwarza ryzyko

B³êdy nieumy¶lnie pope³niane przez pracowników i administratorów IT s± jednym z najczêstszych przyczyn os³abienia systemu bezpieczeñstwa firmy. Zaniedbania pracowników, roztargnienie, niedostateczne przygotowanie merytoryczne oraz niewype³nianie obowi±zuj±cych procedur powoduj±, ¿e ka¿da firma staje siê nara¿ona na atak informatyczny.

S³abo¶æ czynnika ludzkiego dotyczy równie¿ tych firm, które zwyk³y zachowywaæ odpowiedni poziom bezpieczeñstwa, dysponuj± technologiami, narzêdziami oraz wdro¿on± polityk± ochrony zasobów informatycznych. Dlatego warto zaprezentowaæ kilka wskazówek, które mog± pos³u¿yæ za drogowskaz do uszczelniania systemu bezpieczeñstwa informatycznego.







Maciej Zaborowski
konsultant ds. IT Security w Edge Solutions Sp. z o.o.


Patrz±c na system bezpieczeñstwa informatycznego w ka¿dej organizacji, najs³abszym ogniwem pozostaje cz³owiek, a konkretnie proste, banalne b³êdy czêsto pope³niane w nie¶wiadomo¶ci przez roztargnienie, ale te¿ z rutyny, przez zwyk³e niedbalstwo lub lekcewa¿enie potencjalnego ryzyka. To dotyczy zarówno administratorów, jak i samych pracowników, którzy maj± kontakt z systemami, serwerami i sieci±. Potencjalnych zagro¿eñ jest mnóstwo i ¿aden system zbudowany wy³±cznie na rozwi±zaniach sprzêtowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeñstwa. Konieczne s± zasady, które bezwzglêdnie maj± obowi±zywaæ wszystkich pracowników. Firma skutecznie chroniona to taka, która umie bilansowaæ ¶rodek ciê¿ko¶ci pomiêdzy trosk± o zabezpieczenia techniczne z jednej strony, a ci±g³± pracê z lud¼mi, w celu uwra¿liwienia ich na potencjalne zagro¿enia informatyczne. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne.