Przede wszystkim zacznijmy od tego, czym grozi naruszenie bezpieczeństwa danych w dużej firmie. Zmniejszenie wiarygodności w oczach klientów, pogorszenie wizerunku, realne straty finansowe, chaos – to tylko niektóre konsekwencje wynikające z utraty danych w dużej firmie. Wzajemny łańcuch konsekwencji sprawia, że w obliczu problemów z danymi, firma może niejednokrotnie praktycznie przestać działać. Jak i czy da się temu zapobiec? Swój punkt widzenia prezentuje Katarzyna Bernadetta Olszewska – prawnik, ekspert zarządzania cyberbezpieczeństwem, prowadząca szkolenia dla firm i instytucji z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji oraz ochrony danych osobowych.
Kluczem do skutecznego dbania o bezpieczeństwo danych w dużej firmie czy organizacji są dobrze opracowane i wdrożone procedury. Mam na myśli przygotowanie kompleksowej polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, wdrożenie dokumentów niezbędnych do codziennego stosowania. Niezmiernie ważne jest informowanie pracowników i współpracowników firmy o tym, jakie zasady ich obowiązują, a także systematyczne, minimum raz w roku, przeszkolenie z cyberbezpieczeństwa, metod ochrony przed działaniami cyberprzestępców, obsługi danych osobowych i firmowych. W ramach czynności nadzorczych, należy systematycznie dokonywać weryfikacji, czy pracownicy przestrzegają przyjętych zasad i procedur w przedsiębiorstwie.
Pomocnym narzędziem jest wykonanie analizy ryzyka, która pokaże – w zależności od branży, wielkości i specyfiki firmy, które ryzyka mogą mieć największy wpływ na utrzymanie ciągłości działania firmy i bezpieczeństwo przetwarzanych danych. Czy zdecydowanie jest to czynnik ludzki, czyli błąd pracownika, a może atak z zewnątrz. Administrator z racji posiadanej wiedzy, jakimi danymi posługuje się firma, wie również w jaki sposób zabezpieczyć dane. Czy mają to być zabezpieczenia typu WAF (web application firewall), czy firma wymaga wdrożenia uwierzytelniania dwuskładnikowego (2FA), szkolenia pracowników czy też potrzebne będą zautomatyzowane mechanizmy chroniące system przed wyciekiem danych, takie jak monitorowanie ruchu sieciowego, dodatkowa weryfikacja dostępu do serwerów czy monitoring wizyjny.
Warto mieć świadomość, że nie istnieje stuprocentowe zabezpieczenie, które uchroni nasze dane, ponieważ zawsze może nastąpić tzw. błąd ludzki, błąd w wykonaniu procedury i dojdzie do wycieku. Drugim zagrożeniem jest ewolucja działań cyberprzestępców, tworzenie nowych exploitów i wykorzystanie podatności systemów, zanim ich producenci przygotują aktualizację poprawiającą poziom zabezpieczeń.
Zgodnie z zasadami określonymi w RODO to administrator danych określa, jakie środki techniczne i organizacyjne należy zastosować, by osiągnąć cel bezpieczeństwa danych, powiązany z ilością, rodzajem oraz sposobami korzystania ze sprzętu w danej firmie czy organizacji. On również określa zasady dotyczące tworzenia kopii zapasowych oraz zapewnienia ciągłości działania, a zatem ma bezpośredni wpływ na dane przechowywane na tym sprzęcie.
Podobnie ma się rzecz w przypadku doboru oprogramowania zarówno na poziomie stacji roboczych, jak i serwerów lub innych elementów infrastruktury IT, które dla zapewnienia bezpieczeństwa powinno być automatycznie aktualizowane i kupowane wyłącznie od renomowanych producentów, gwarantujących wysoką jakość oferowanych rozwiązań IT.
Najnowsze komentarze