Trudno wyobrazić sobie dzisiaj przedsiębiorstwo, które mogłaby funkcjonować bez komputera czy telefonu. Często to właśnie te dwa elementy są głównymi narzędziami w pracy, dlatego tym razem poruszę ten niezwykle ważny, a bardzo często zaniedbywany, obszar – bezpieczeństwo teleinformatyczne firmy i danych, w tym możliwe naruszenia bezpieczeństwa systemów informatycznych, kradzieży danych i tożsamości, ataków hakerskich i złośliwego oprogramowania. Temat zahacza także o innego typu zagrożenia jak np. awarie i nieszczęśliwe przypadki. Ze względu na ciągły rozwój technologii i pomysłowość socjotechników nie jest możliwe 100% zabezpieczenie się, ale możliwe jest bardzo znaczące zminimalizowanie ryzyka poprzez sprawne zarządzanie bezpieczeństwem, sztywne zasady, procedury i odpowiednią strategię.
Bezpieczeństwo w internecie to przede wszystkim świadomość i krytyczne myślenie. W firmie oznacza to edukację pracowników z zagrożeń na jakie mogą natrafić w sieci. Bezpieczeństwo w zakresie krytycznego myślenia, oznacza, że należy wytłumaczyć kadrze pracowniczej, aby przed podjęciem jakichkolwiek działań najpierw oceniła sytuację na podstawie dostępnej jej wiedzy, tutaj pomocne są ustalone zasady bezpieczeństwa i procedury. Pomocne w ich ustaleniu są poniższe informacje.
Najczęściej zawodzi czynnik ludzki, dlatego od tego powinno się zacząć budowanie strategii bezpieczeństwa teleinformatycznego firmy. Szkolenia z wiedzy o bezpieczeństwie powinny być przeprowadzane regularnie i powinny dotyczyć zarówno nowych jak i starych pracowników. Przypominanie i aktualizacja wiedzy prowadzą do minimalizacji ryzyka zaniedbań wśród pracowników. Uczulam jednocześnie, aby za szkolenie nie uznawać kartki z wypisanymi dobrymi praktykami i procedurami. Kartki czy materiały szkoleniowe powinny być tylko elementem szkolenia, a cała wiedza powinna zostać przekazana przez specjalistę, który wytłumaczy dogłębnie jaka jest istota bezpieczeństwa i co oznaczają poszczególne elementy przekazywanych zasad.
Kolejnym elementem bezpieczeństwa przedsiębiorstwa jest ustalony schemat obiegu dokumentów w firmie. Instrukcja powinna być jasno określona, jej przestrzeganie powinno być wymagane, a odstępstwa nie akceptowane. System obiegu dokumentów powinien zapewniać ich poufność, bezpieczeństwo i integralność. Kolejną istotną sprawą jest niszczenie dokumentów w firmie, powinien być zapewniony system trwałego i nie odwracalnego ich niszczenia zarówno w wersji papierowej jak i elektronicznej.
Bezpieczeństwo haseł polega na regularnym ich zmienianiu oraz nie stosowaniu tych samych haseł w różnych usługach, ponieważ wyciek hasła w jednej z usług może narazić wszystkie inne. Dobry socjotechnik potrafi dojść do innych kont właściciela danego konta, które padło ofiarą wycieku danych. Powinna także powstać procedura opisująca postępowanie z hasłami np. zakaz ich podawania drogą mailową i telefoniczną itp. Warto wprowadzić także okresowe testy sprawdzające podatność haseł stosowanych w przedsiębiorstwie na różne metody ich łamania.
Kolejny element bezpiecznej firmy to weryfikacja tożsamości, czyli ustalenie na wszelkie dostępne sposoby tego czy osoba kontaktująca się z firmą jest osobą za którą się podaje. Dotyczy to zarówno kontaktu osobistego jak i telefonicznego czy mailowego. Przy kontakcie przez e-mail jedną z prostszych metod jest prośba o kontakt z maila firmowego, a nie prywatnego (w sytuacji gdy ma miejsce kontakt z przypadkowego maila bazującego na ogólnodostępnej domenie). Przy kontakcie telefonicznym, w razie wątpliwości, można stosować taktykę oddzwaniania na znany nam numer firmowy weryfikowanego kontrahenta.
Złośliwe oprogramowanie to prawdziwa zmora dzisiejszych czasów i często występujące zagrożenie. Ochrona firmowego komputera oraz telefonu przed wirusami stanowi podstawę ich użytkowania. Przede wszystkim instalacja dobrych i renomowanych programów antywirusowych oraz ich aktualizacja są absolutnie niezbędnymi czynnościami w firmie. Organizacja powinna mieć wyznaczoną osobę, która dba o to, aby sieć informatyczna była skanowana nieustannie przez system antywirusowy i jego aktualizacje.
Należy ustalić jako procedurę tworzenie kopii zapasowej istotnych danych oraz częstotliwość jej wykonywania. Istotnymi sprawami jest ustalenie kto ma do niej dostęp, gdzie oraz na jakich nośnikach i mediach kopia danych jest przechowywana. Wskazane jest zabezpieczenie kopii hasłem i szyfrowanie informacji w niej zawartych oraz weryfikowanie poprawności funkcjonowania tego systemu. To zabezpieczenie przydaje się w przypadku różnego rodzaju awarii i ataków hakerskich.
Szyfrowanie danych czy plików na dysku również stanowi dobre zabezpieczenie przed potencjalnym wyciekiem czy kradzieży informacji. Klucze oraz hasła używane do szyfrowania, również powinny być regularnie zmieniane, a także weryfikowane powinny być używane algorytmy i ich odporność przed łamaniem. Szyfrowaniu można poddać także szczególnie wrażliwe informacje przesyłane w wiadomości e-mail. Niestety, aby być bezpiecznym należy częściowo poświęcić wygodę i komfort poprzez stosowanie się do procedur.
O aktualizacji oprogramowania antywirusowego napisałem wyżej, ale warto zaznaczyć, iż aktualizacji podlegać powinno całe oprogramowanie używane w firmie. Producenci różnego typu oprogramowania operacyjnego co jakiś czas je aktualizują do lepszych i bezpieczniejszych wersji, dzięki łataniu „dziur” w oprogramowaniu Twoja organizacja staje się bezpieczniejsza.
Skutecznym zabezpieczeniem jest także wprowadzenie procedury ograniczonego dostępu. Dotyczy to również zasobów informatycznych firmy. Uprawnienia dostępu powinny być określone w kontekście zasad określających osoby, czas i warunki tego dostępu. Co do zasady, najlepiej aby dostęp miał ten kto tego naprawdę potrzebuje, a osoby, które nie mają takiej potrzeby nie powinny go mieć.
W ramach bezpieczeństwa warto skupić się także na przewidzeniu różnego rodzaju zdarzeń losowych jak awarie czy wypadki. Mam tutaj na myśli np. wdrożenie systemu bezpieczeństwa na wypadek zaniku energii elektrycznej czy zabezpieczenie zasobów przed pożarem lub zalaniem np. poprzez przystosowanie pomieszczeń do tego typu sytuacji.
Wszystko powyższe świadczy o tym, że w rzeczywistości bezpieczeństwo informatyczne firmy to w dużej mierze bezpieczeństwo informacji, która powinna być chroniona przed wyciekiem i przed jej zniszczeniem. Bezpieczeństwo systemów informatycznych w wielu firmach stanowi podstawę bezpieczeństwa większości zasobów. Przykładowo poznanie firmowych haseł przez hakera wpłynąć może zarówno na zasoby informacyjne przedsiębiorstwa (szczegóły dotyczące przedsięwzięć) i organizacyjne (np. dostęp do maila z informacjami o procedurach) co z kolei wpływa na zasoby fizyczne (np. w sytuacji gdy ujawniana jest wiedza o rodzaju zabezpieczeń danego obiektu co może stanowić ułatwienie włamania do niego). Również zasoby ekonomiczne mogą zostać dotknięte, (np. bezpośredni dostęp do konta lub wykorzystanie przez konkurencję jakiejkolwiek innej nie ochronionej informacji do przejęcia kluczowego klienta). Dostanie się do do maila czy danych na dysku komputera ujawnić może także zasoby ludzkie np. informację o ekspertach z których doradztwa biznesowego korzysta organizacja czy pracowników niskiego szczebla np. sprzątaczki czy ochroniarze, których potencjalnie można zwerbować i wykorzystać do szpiegowania na rzecz innego podmiotu.
Bezpieczeństwo teleinformatyczne firmy jest procesem, który warto powierzyć w ręce specjalistów. Zaprojektują oni strategię bezpieczeństwa oraz zweryfikują i ustalą rzeczywistą podatność organizacji na ataki. Zarządzanie bezpieczeństwem firmy obejmuje także kontrolowane ataki na przedsiębiorstwo. Testy socjotechniczne sprawdzają podatność jednostek ludzkich na różnego rodzaju sytuacje i ataki, od osobistych poprzez telefoniczne po mailowe. Natomiast testy penetracyjne to przeprowadzenie ataku na system informatyczny, pozwala to zweryfikować jego podatność i obecną odporność na zewnętrzne ingerencje.