Baza wiedzy

System bezpieczeństwa informacji

W początkowym etapie rozwoju każdego przedsiębiorstwa całość lub większość zasobów alokuje się w procesy przynoszące wymierne korzyści biznesowe. Budowanie spójnego i niezawodnego systemu teleinformatycznego, chociaż korzystne w długiej perspektywie, nie jest najczęściej priorytetem kadry zarządzającej.

Zachowanie bezpieczeństwa informacji, przetwarzanych najczęściej w systemach teleinformatycznych staje się ważnym elementem dopiero wówczas, gdy spowalnia rozwój firmy lub zagraża jej pozycji rynkowej.

 

Analiza sytuacji i ustalanie celów przedsiębiorstwa

Sytuacja rynkowa

Zleceniodawcą była firma działająca w branży chemicznej, zatrudniająca ok. 50 osób, z czego 2/3 to pracownicy produkcyjni. Przedsiębiorstwo zawarło umowę z koncernem farmaceutycznym, jednak jednym z warunków rozpoczęcia współpracy było pozytywne przejście audytu z zakresu bezpieczeństwa informacji wykonanego przez wewnętrzny dział jakości zleceniodawcy. Firma posiada informatyka, jednak nadzór i koordynację procesu powierzono inżynierom Security Partners.

 

Sytuacja początkowa

Współpraca rozpoczęła się od wykonania audytu zerowego w oparciu o normę ISO 27001:2013, z zakresu bezpieczeństwa informacji, który pomógł określić punkt wyjścia oraz cele i metody pracy. Ustaliliśmy, że jeśli to możliwe, wdrożenia poszczególnych elementów systemu będą wykonywane przez pracowników Zleceniodawcy, w tym Informatyka. Security Partners miał pełnić rolę koordynatora procesu oraz integratora systemów IT jeśli przekraczałoby to kompetencje pracowników Klienta.

 

Ustalanie celów

Prace zostały podzielone na dwa elementy:
1. Dostosowanie systemu informatycznego do norm wymaganych przez partnera biznesowego Zleceniodawcy. W toku audytu zerowego okazało się, że system informatyczny budowany od podstaw w oparciu o rozwiązania darmowe lub przeznaczone dla małych przedsiębiorstw, nie zapewnia wystarczającego poziomu ochrony m. in. w zakresie przechowywania kopii zapasowych danych, odporności na awarię zasilania, uzyskiwania zdalnego dostępu, kontroli przetwarzanych zasobów, ochrony przed wirusami, ochrony wewnętrznej sieci komputerowej i WiFi, zarządzania zasobami.
2. Wdrożenie systemu bezpieczeństwa informacji w całej firmie i przeszkolenie pracowników. Ustaliliśmy, że w ramach tego działania wdrożone zostaną także procedury ochrony danych osobowych i zarejestrowane zbiory danych osobowych w bazie GIODO.

 

Przykładowa realizacja wybranych cech systemu

Modernizacja systemu informatycznego

Ponieważ w początkowym okresie silnego wzrostu przedsiębiorstwa, jego właściciele koncentrowali się na rozwoju środków produkcji, to system informatyczny budowany był w oparciu o rozwiązania budżetowe, niezapewniające wystarczającej skalowalności w przypadku dalszej rozbudowy. Podczas omawiania raportu z audytu zerowego Security Partners określiło ryzyka utrzymywania infrastruktury IT w dotychczasowym stanie oraz przestawiło plan modernizacji, który następnie został przyjęty przez Zarząd. Modernizacja, oprócz dostosowania do wymagań kontrahenta, polegała na stworzeniu spójnego systemu informatycznego, który z jednej strony mógł być zarządzany centralne przez jedną osobę, z drugiej, zdejmował obowiązki związane z obsługą większości narzędzi informatycznych z użytkowników, pozwalając im koncentrować się na wykonywaniu swoich zadań biznesowych. Cały system komputerowy związany z wykonywaniem codziennych obowiązków np. ERP (zarządzanie produkcją), system księgowo- kadrowy, zasoby sieciowe (np. pliki na dyskach sieciowych, skany dokumentów), itp. miał być dostępny w oparciu o indywidualny login i hasło użytkownika. Rolą informatyka było natomiast przydzielanie odpowiednich uprawnień do poszczególnych zasobów co sprzyjało zapewnieniu poufności i dostępności informacji, a w przypadku pojawienia się incydentów bezpieczeństwa łatwo można było ustalić odpowiedzialność.
Zakupiona infrastruktura informatyczna (m. in. system kopii zapasowych, router brzegowy, serwer) pozwalały na swobodny rozwój przedsiębiorstwa w perspektywie 4 lat, a ewentualne modernizacje polegałyby jedynie na zakupie sprzętu o wyższej wydajności, a co najważniejsze, bez konieczności zmiany jego architektury (utrzymanie ciągłości działania).

 

System ochrony informacji

Ze statystyk wynika, że ok. 60% przypadków wycieku danych biznesowych generowanych jest z powodu prostych błędów użytkowników. W firmie nie istniał żaden skodyfikowany system dokumentów i instrukcji, który zawierałby reguły postepowania z danymi biznesowymi w trakcie, jaki i po wygaśnięciu stosunku pracy z zatrudnionymi. Security Partners stworzyło, a Zarząd Spółki przyjął, Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym, z którymi następnie zostali zapoznani wszyscy pracownicy administracyjni. Dokumentacja określała m. in. sposób postępowania z tajemnicą biznesową przedsiębiorstwa, sposób wykorzystywania komputerów, tabletów i telefonów służbowych, procedury na wypadek sytuacji awaryjnych, sposób postepowania z danymi osobowymi, politykę dostępu do pomieszczeń, sankcje za nieprzestrzeganie procedur itp. Pracownicy zostali przeszkoleni w zakresie wdrożonego systemu i pisemnie zobowiązani do jego stosowania.

 

Koordynacja działań

Ponieważ najważniejszym czynnikiem motywującym Zarząd Spółki do poniesienia omawianej inwestycji było dostosowanie systemu ochrony informacji do norm wymaganych przez kontrahenta, dlatego inżynierowie Security Partners utrzymywali kontakt z działem jakości ww. firmy. Oprócz budowy infrastruktury IT zgodnej z wymaganiami umowy zawartej przez Zleceniodawcę, chcieliśmy aby system przyniósł korzyści biznesowe w postaci zwiększenia wydajności, niższych kosztów obsługi, czy poprawienia niezawodności. W ten sposób przy okazji budowy systemu bezpieczeństwa informacji zlikwidowany został dług technologiczny, który ograniczał rozwój przedsiębiorstwa. Dzięki zmianom w infrastrukturze IT Klient rozpoczął przygotowania do wdrożenia nowego systemu ERP.

 

Podsumowanie

Po 40 dniach od rozpoczęcia współpracy z Security Partners system bezpieczeństwa informacji klienta został poddany audytowi ze strony jego przyszłego kontrahenta. Wszystkie wymagane parametry zostały spełnione i audyt zakończył się wynikiem pozytywnym. Łączny czas pracy inżynierów securITy Partners wyniósł 130 godzin. Dodatkową korzyścią dla Klienta było pozbycie się długu technologicznego i dostosowanie systemu teleinformatycznego do wyzwań najbliższych lat. Przy okazji budowy polityki bezpieczeństwa uzyskano zgodność z normami polskiego prawa w tym ustawą o ochronie danych osobowych.