Baza wiedzy

System bezpieczeństwa IT

W początkowym etapie rozwoju każdego przedsiębiorstwa całość lub większość zasobów alokuje się w procesy przynoszące wymierne korzyści biznesowe. Ponadto budowanie spójnego i niezawodnego systemu teleinformatycznego, chociaż korzystne w długiej perspektywie, nie jest najczęściej priorytetem kadry zarządzającej.

 

W związku z tym zachowanie bezpieczeństwa informacji, przetwarzanych najczęściej w systemach teleinformatycznych staje się ważnym elementem dopiero wówczas, gdy spowalnia rozwój firmy lub w konsekwencji gdy zagraża jej pozycji rynkowej.

 

Analiza sytuacji i ustalanie celów przedsiębiorstwa

 

Sytuacja rynkowa

Zleceniodawcą była firma działająca w branży chemicznej, zatrudniająca ok. 50 osób, z czego 2/3 to pracownicy produkcyjni. Przedsiębiorstwo zawarło umowę z koncernem farmaceutycznym, jednak jednym z warunków rozpoczęcia współpracy było pozytywne przejście audytu z zakresu bezpieczeństwa informacji wykonanego przez wewnętrzny dział jakości zleceniodawcy. Pomimo tego, że firma posiada informatyka, to nadzór i koordynację procesu powierzono inżynierom Security Partners.

 

Sytuacja początkowa

Współpraca rozpoczęła się od wykonania audytu zerowego w oparciu o normę ISO 27001:2013. W rezultacie Audyt bezpieczeństwa informacji, pomógł określić punkt wyjścia oraz cele i metody pracy. Co w konsekwencji miało wpływ na decyzję, że wdrożeniami poszczególnych elementów systemu zajmą się pracownicy firmy, w tym Informatyk. W związku z tym Security Partners miał pełnić rolę koordynatora procesu oraz integratora systemów IT jeśli przekraczałoby to kompetencje pracowników Klienta.

 

System bezpieczeństwa IT – Ustalanie celów

 

Prace zostały podzielone na dwa elementy:

 

1. Po pierwsze dostosowanie systemu informatycznego do norm wymaganych przez partnera biznesowego Zleceniodawcy.

Ponadto w toku audytu zerowego okazało się, że system informatyczny budowany od podstaw w oparciu o rozwiązania darmowe lub przeznaczone dla małych przedsiębiorstw, nie zapewnia wystarczającego poziomu ochrony. Ochrony m. in. w zakresie przechowywania kopii zapasowych danych, odporności na awarię zasilania, uzyskiwania zdalnego dostępu, kontroli przetwarzanych zasobów, ochrony przed wirusami, ochrony wewnętrznej sieci komputerowej i WiFi, zarządzania zasobami.

 

2. Wdrożenie systemu bezpieczeństwa informacji w całej firmie i przeszkolenie pracowników.

Ustaliliśmy, że w ramach tego działania wdrożone zostały także procedury ochrony danych osobowych i zarejestrowane zbiory danych osobowych w bazie GIODO.

 

Przykładowa realizacja wybranych cech systemu

 

Modernizacja systemu informatycznego

W początkowym okresie silnego wzrostu przedsiębiorstwa, jego właściciele koncentrowali się na rozwoju środków produkcji. W konsekwencji system informatyczny budowany był w oparciu o rozwiązania budżetowe, niezapewniające wystarczającej skalowalności w przypadku dalszej rozbudowy. Podczas omawiania raportu z audytu zerowego Security Partners określiło ryzyka utrzymywania infrastruktury IT w dotychczasowym stanie. Został przedstawiony również plan modernizacji. Modernizacja, oprócz dostosowania do wymagań kontrahenta, polegała na stworzeniu spójnego systemu informatycznego, który z jednej strony mógł być zarządzany centralne przez jedną osobę. Z drugiej, zdejmował obowiązki związane z obsługą większości narzędzi informatycznych z użytkowników, pozwalając im koncentrować się na wykonywaniu swoich zadań biznesowych. Cały system komputerowy związany z wykonywaniem codziennych obowiązków np.

  • ERP (zarządzanie produkcją),
  • system księgowo- kadrowy,
  • zasoby sieciowe (np. pliki na dyskach sieciowych, skany dokumentów), itp.

Miał być dostępny w oparciu o indywidualny login i hasło użytkownika. W związku z tym rolą informatyka było  przydzielanie odpowiednich uprawnień do poszczególnych zasobów. Co w konsekwencji sprzyjało zapewnieniu poufności i dostępności informacji. A w przypadku pojawienia się incydentów bezpieczeństwa łatwo można było ustalić odpowiedzialność.

 

Zakupiona infrastruktura informatyczna (m. in. system kopii zapasowych, router brzegowy, serwer) pozwalały na swobodny rozwój przedsiębiorstwa w perspektywie 4 lat, a ewentualne modernizacje polegałyby jedynie na zakupie sprzętu o wyższej wydajności, a co najważniejsze, bez konieczności zmiany jego architektury (utrzymanie ciągłości działania).

 

System ochrony informacji

Ze statystyk wynika, że ok. 60% przypadków wycieku danych biznesowych generowanych jest z powodu prostych błędów użytkowników. Z powodu np. braku skodyfikowanego system dokumentów i instrukcji. Który zawiera reguły postępowania z danymi biznesowymi w trakcie, jaki i po wygaśnięciu stosunku pracy z zatrudnionymi.

Dokumenty przygotowane przez Security Partners dotyczące Polityki Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym, zostały zaakceptowane przez Zarząd Spółki. W kolejnym kroku zostali zapoznani z dokumentami wszyscy pracownicy administracyjni. Dokumentacja określała m. in.:

  • sposób postępowania z tajemnicą biznesową przedsiębiorstwa,
  • sposób wykorzystywania komputerów, tabletów i telefonów służbowych,
  • procedury na wypadek sytuacji awaryjnych,
  • sposób postępowania z danymi osobowymi,
  • politykę dostępu do pomieszczeń,
  • sankcje za nieprzestrzeganie procedur itp.

Co ważne pracownicy w ramach wdrożonego systemu zostali przeszkoleni i pisemnie zobowiązani do jego stosowania.

 

Koordynacja działań

Najważniejszym czynnikiem motywującym Zarząd Spółki do poniesienia omawianej inwestycji było dostosowanie systemu ochrony informacji do norm wymaganych przez kontrahenta. Inżynierowie Security Partners utrzymywali kontakt z działem jakości ww. firmy. Ponadto oprócz budowy infrastruktury IT zgodnej z wymaganiami umowy zawartej przez Zleceniodawcę, chcieliśmy również, aby system przyniósł korzyści biznesowe tj.

  • zwiększenie wydajności,
  • niższe koszty obsługi,
  • poprawienie niezawodności.

Dzięki zmianom w infrastrukturze IT Klient rozpoczął przygotowania do wdrożenia nowego systemu ERP.

 

System bezpieczeństwa IT – Podsumowanie

Po 40 dniach od rozpoczęcia współpracy z Security Partners system bezpieczeństwa informacji klienta został poddany audytowi ze strony jego przyszłego kontrahenta. Audyt zakończył się wynikiem pozytywnym. Łączny czas pracy inżynierów Security Partners wyniósł 130 godzin. Dodatkową korzyścią dla Klienta było pozbycie się długu technologicznego i dostosowanie systemu teleinformatycznego do wyzwań najbliższych lat. Przy okazji budowy polityki bezpieczeństwa uzyskano zgodność z normami polskiego prawa w tym ustawą o ochronie danych osobowych.