Audyt cyberbezpieczeństwa to nie tylko technika, ale równie istotne procedury oraz dokumentacja. Tworzone są po to, aby usystematyzować zasady przeciwdziałania zagrożeniom w cyberprzestrzeni. Zabezpieczenie formalne procesów przetwarzania danych osobowych oraz zapewnienie bezpieczeństwa informacji są tak samo ważne, jak kwestie techniczne sensu stricto.
Istotnym aspektem powstających uregulowań formalnych w obszarze cyberbezpieczeństwa są wymogi prawne, które obowiązują przedsiębiorców oraz wszystkich użytkowników cyberprzestrzeni. Mowa m.in. o RODO, czyli odpowiednim zabezpieczeniu danych osobowych. Bezpieczne przechowywanie i przetwarzanie danych w praktyce wiążą się z nieustannym monitorowaniem zasobów firmowych, zinwentaryzowaniem posiadanych danych, prowadzeniem wszelkiego rodzaju rejestrów, korzystaniem z legalnego oprogramowania, zapobieganiem wyciekom danych czy usuwaniem tych, które mają być przekazane poza firmę.
Międzynarodowa norma ISO/IEC 27001 standaryzuje podejście do poziomu bezpieczeństwa informacji oraz umożliwia ocenę poziomu bezpieczeństwa w danej firmie czy organizacji. Firmy, które wdrożyły normę ISO/IEC 27001 wykazują zgodność z najlepszymi praktykami stosowanymi na całym świecie. W praktyce bezpieczeństwo informacji to zapewnienie poufności, dostępności, integralności, autentyczności oraz niezawodności.
Polityka bezpieczeństwa informacji
Jednym z dokumentów, które pozwalają chronić firmę w obszarze cybersecurity jest polityka bezpieczeństwa informacji. Podstawowe obszary, które powinny być w niej uregulowane to m.in: wykazanie zakresu informacji, które dane podlegają szczególnej ochronie, ustalenie zasad nadawania uprawnień dostępu do poszczególnych informacji, opisanie zabezpieczenia stacji roboczych, zakresu odpowiedzialności pracowników za naruszenie zasad, reguł dostępu do pracy dla nowych pracowników oraz dokumentowanie zdarzeń takich jak naruszenia zasad bezpieczeństwa czy przyznawanie nowych uprawnień.
Warto mieć na uwadze fakt, iż wdrożenie PBI wymaga przeprowadzenia audytu oraz wskazania istniejących zagrożeń, zmian w polityce bezpieczeństwa, ale przede wszystkim ciągłego nadzoru i kontroli.
.
– Dobrze opisane i wdrożone procedury wewnętrzne w Polityce ochrony danych osobowych, Instrukcji Zarządzania Systemem Informatycznym, a także dokumentach regulujących zasady zarządzania incydentami czy utrzymania ciągłości działania, gwarantują nam, że spełnimy standardy bezpieczeństwa właściwe dla branży, w której pracujemy, a także wypełnimy obowiązki wynikające z konieczności stosowania się do postanowień RODO i innych przepisów właściwych dla ochrony danych osobowych – mówi Katarzyna Olszewska, prawnik i ekspert RODO w Krajowym Instytucie Cyberbezpieczeństwa.
– Dodatkowe korzyści, które niosą wspomniane wyżej uregulowania prawne to fakt iż:
– pracownicy otrzymają upoważnienia zgodnie z zasadą wiedzy koniecznej,
– uprawnienia będą rozdzielane w oparciu o szczegółowe kryteria,
– w razie wystąpienia incydentu zastosujemy procedury awaryjne bez zbędnej zwłoki,
– utrzymujemy ciągłość działania nawet w obliczu poważnych incydentów,
– zabezpieczymy środki na niezbędne zmiany wymagane nowelizacjami przepisami prawa, rozporządzeń i innych branżowych wytycznych,
– zapewnimy szkolenia dla członków zespołu, dzięki czemu ograniczymy ryzyka związane z błędami ludzkimi przy przetwarzaniu danych osobowych i ochronie informacji wewnętrznych. Wreszcie, stworzymy wysoki standard usług, a w razie wycieku danych lub innego poważnego incydentu cyberbezpieczeństwa, będziemy w stanie tak zorganizować czynności, aby zminimalizować straty (przeprowadzić sprawną analizę przypadku, zawiadomić stosowne organy publiczne oraz sprawnie dotrzeć z informacją do klientów, co za tym idzie, zminimalizujemy straty wizerunkowe, prawne i finansowe).
Najnowsze komentarze