Biorąc pod uwagę specyfikę bezpieczeństwa IT, obecnie istniejący poziom zagrożeń oraz uwzględniając powszechnie spotykane błędy w firmach, można sformułować trzy kluczowe zasady postępowania z informacjami tak, aby nie narażać się na wycieki lub kradzieże.

Zapewnij odpowiednią strukturę organizacyjną i zatrudnij fachowców

Oczywiste jest, że śledzenie zagadnień związanych z bezpieczeństwem informatycznym, wdrażanie i aktualizacja zabezpieczeń, monitorowanie i kontrola stanu istniejących systemów informatycznych to zadania czasochłonne i wymagające dużej wiedzy technicznej. Dlatego powinien zostać wyodrębniona odpowiednia struktura/dział zajmująca się wyłącznie bezpieczeństwem systemów komputerowych i informacji w nich przetwarzanej. Ta struktura powinna zostać obsadzona ludźmi kompetentnymi i godnymi zaufania. Dodatkowo w firmie powinna powstać komórka lub stanowisko do spraw audytu bezpieczeństwa systemu informatycznego. Taki pracownik lub taki dział nie mogą być częścią tradycyjnego działu IT, ponieważ grozi to skrzyżowaniem odpowiedzialności i powstaniem sytuacji, w której dział bezpieczeństwa będzie monitorował pracę swoich przełożonych.

W praktyce osoby zajmujące się bezpieczeństwem informacji powinny być umieszczone w następujących miejscach struktury firmy:

• w dziale informatyki - osoby odpowiedzialne za bezpieczeństwo serwerów i urządzeń sieciowych, wykonywanie kopii bezpieczeństwa, instalację oprogramowania antywirusowego, konfigurację zapór i systemów wykrywania włamań,
• w dziale kontroli - osoby odpowiedzialne za monitorowanie i audyt wewnętrzny systemu zarządzania bezpieczeństwem informacji,
• jako osobna komórka organizacyjna lub samodzielne stanowisko podległe bezpośrednio zarządowi - osoby odpowiedzialne za stworzenie systemu zarządzanie bezpieczeństwem informacji i zarządzaniem zmianami w nim.

Wymuszaj stosowanie reguł za pomocą środków technicznych

Generalna zasada głosi, że jeśli jakieś działanie można wymusić bądź to za pomocą środków technicznych, bądź za pomocą środków organizacyjnych, to te pierwsze będą zazwyczaj skuteczniejsze. Nie jest to zasada pozbawiona wyjątków, niemniej w przeważającej większości wypadków jest ona słuszna nie tylko w odniesieniu do bezpieczeństwa informacji, ale choćby tak trywialnych rzeczy jak zamykanie drzwi czy zachowanie czystości pomieszczeń.

Ponieważ większość cech składających się na pojęcie bezpieczeństwa jest dwustanowa (albo informacja jest tajna, albo już ją ktoś ujawnił; albo system jest dostępny, albo nie jest), wystarczy zazwyczaj pojedynczy błąd lub zła wola jednej osoby, żeby spowodować daleko idące konsekwencje. Wymuszenie egzekwowania reguł bezpieczeństwa za pomocą środków technicznych pozwala uniknąć niepożądanych sytuacji. Jeśli nośnik informacji jest fizycznie zabezpieczony przed zapisem, to nie ma potrzeby wyjaśniania, że nie wolno na nim niczego zapisywać. Jeśli drzwi do pomieszczenia, w którym przetwarza się dane, są zamknięte na klucz, to nie ma potrzeby umieszczać napisu "nieupoważnionym wstęp wzbroniony". Środki techniczne są podatne na awarie i powinny być sensownie dobrane i stosowane tam, gdzie jest to rzeczywiście potrzebne. W miejscach krytycznych z punktu widzenia bezpieczeństwa należy stosować rozwiązania w miarę możliwości proste i niezawodne.

Przygotuj i testuj procedury awaryjne i odtworzeniowe

Podstawowym środkiem bezpieczeństwa chroniącym przed zniszczeniem czy utratą dostępności zasobu informacyjnego jest utworzenie jego kopii. W szczególności dotyczy to kopii bezpieczeństwa danych zapisanych w systemie komputerowym. Powszechnie popełnianym błędem jest zaniedbanie testowania utworzonych kopii - i szerzej - procedur awaryjnych i odtworzeniowych mających na celu przywrócenie ciągłości działania. Należy pamiętać, że ryzyko istnieje zawsze i że na wypadek nieprzewidzianych zdarzeń należy mieć przygotowany plan przywrócenia utraconych danych czy zasobów. Oczywiście, plan ten musi być możliwy do zrealizowania, o czym najlepiej przekonać się w drodze jego praktycznego przetestowania.

Wiele innych przydatnych informacji na temat zarządzania ryzykiem operacyjnym (m.in. bezpieczeństwa środowiskowego, pracy, informacji i ciągłości działania) znajdziesz w książce "Zarządzanie ryzykiem operacyjnym" pod redakcją Iwony Staniec i Janusza Zawiły-Niedźwieckiego (Wydawnictwo C.H. Beck, 2009). Książkę znajdziesz w księgarni www.ksiegarnia.beck.pl, wpisując w pole wyszukiwarki tytuł. Wykorzystanie za zgodą Wydawcy.

Mariusz Ludwiński dla Wydawnictwa C.H. Beck