Baza wiedzy

Polityka Bezpieczeństwa, czym jest i dlaczego powinniśmy ją stosować?

 

Polityka bezpieczeństwa (PB) to dokument, który powinien być efektem osiągnięć organizacyjnych przedsiębiorstwa w zakresie ochrony informacji. Nie każda firma musi go posiadać, nie każda może, nawet wówczas gdy powinna.

 

W Security Partners wdrażamy systemy bezpieczeństwa informacji w różnej wielkości przedsiębiorstwach z różnych branży gospodarki. Na podstawie obserwacji mogę wyróżnić jeden generalny schemat działania firm w zakresie ochrony danych. Dotyczy to przede wszystkim organizacji z kapitałem polskim. Przedsiębiorstwa będące częścią międzynarodowej struktury dziedziczą najczęściej techniki i sposoby zabezpieczania informacji od swoich zagranicznych właścicieli. Zauważalne jest, iż zachodnie korporacje posiadają wyżej rozwinięte systemy zabezpieczania danych. Wynika to prawdopodobnie z wysokiej konkurencyjności rynkowej i dotkliwych finansowo przypadków utraty danych, z których wyciągane są odpowiednie wnioski.

 

Polityka bezpieczeństwa a małe i średnie firmy

 

Małe polskie firmy najczęściej rozwijają się od przysłowiowego „zera”, stopniowo poszerzając zasięg działania oraz rozwijając zespół pracowników. W pierwszej fazie rozwoju większość energii i kapitału koncentruje się na budowie marki i pozycji rynkowej firmy. Na początkowym etapie nie potrzebne są najczęściej inwestycje w zaawansowane systemy teleinformatyczne, czy rozbudowaną sieć komputerową. Praca w małych zespołach opiera się przede wszystkim na zaufaniu do pracowników. Wierze, iż będą stosować podstawowe zasady bezpieczeństwa danych, które przetwarzają dla swojego pracodawcy.

 

Sytuacja zmienia się, kiedy firma osiąga dojrzałość. Różne są tego wyznaczniki, często spotykanym jest np. zatrudnienie na poziomie kilkunastu – kilkudziesięciu osób. Realizacja kontraktów obwarowanych szeregiem klauzul z zakresu bezpieczeństwa danych, inwestycje w złożone systemy teleinformatyczne.

 

Niestety w wielu większych organizacjach nadal, jako jedyną, stosuje się odziedziczoną z pierwotnych czasów rozwoju metodę zarządzania opartą na zaufaniu do pracowników i ignorowaniu ryzyka utraty informacji, co z punktu widzenia bezpieczeństwa danych jest hazardem. Momentem opamiętania jest najczęściej incydent z zakresu bezpieczeństwa np. wyciek danych, lub wymagania klienta w zakresie bezpieczeństwa informacji, będące warunkiem finalizacji umowy. Prawidłowe zarządzanie bezpieczeństwem danych opiera się na szacowaniu ryzyka i doborze adekwatnych zabezpieczeń. Maksymalnie upraszczając, sprowadza się to do określenia jaka jest szansa, że utracimy określone informacje lub aktywa i co nam za to grozi lub ile to będzie kosztowało? A następnie dobranie takich rozwiązań, które zabezpieczą nas przed skutkami materializacji ryzyka.

 

Gdzie w takim razie jest miejsce na Politykę Bezpieczeństwa, dlaczego i kiedy ją stosować?

 

Zacznę od tego, że Polityka Bezpieczeństwa powinna wynikać z co najmniej trzech przesłanek:

  • strategii biznesowej firmy,
  • przepisów prawnych w tym regulacji branżowych i umów.
  • analizy ryzyka w zakresie środowiska działania przedsiębiorstwa w którym występują zagrożenia dla bezpieczeństwa informacji.

 

Częstym błędem jest utożsamianie PB z wymaganiami RODO, podczas gdy systemy informatyczne nie rozróżniają rodzajów danych. Z punktu widzenia przedsiębiorstwa dane osobowe mogą być tożsame z danymi biznesowymi – przecież wydatki marketingowe przeznaczone na pozyskanie i utrzymanie danego klienta nie są stricte powiązane z RODO, ale strategia biznesową. System bezpieczeństwa informacji, który dobrze chroni dane, będzie także chronił dane osobowe.

 

Jak powinna prawidłowo wyglądać polityka bezpieczeństwa w firmach?

 

Działająca polityka bezpieczeństwa nie powinna być więc pustym dokumentem ściągniętym z Internetu po to by zagłuszyć sumienia managerów lub właścicieli. Dokument ten musi odwzorowywać procesy zachodzące w przedsiębiorstwie i wyznaczać standardy postępowania z których rozliczani są np. właściciele biznesowi informacji lub managerowie. Celem polityki bezpieczeństwa jest więc kodyfikacja reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie zabezpieczyć procesy przetwarzania informacji. Dzięki polityce bezpieczeństwa można prowadzić powtarzalne działania w zakresie ochrony informacji, dlatego zgodnie z międzynarodowymi normami z zakresu bezpieczeństwa obszarem ujętym w PB powinny być m. in.:

  • kontrola dostępu do informacji
  • klasyfikacja informacji
  • bezpieczeństwo fizyczne i środowiskowe
  • kopie zapasowe,
  • przekazywanie informacji
  • ochrona przed szkodliwym oprogramowaniem,
  • zarządzanie podatnościami technicznymi,
  • zabezpieczenia kryptograficzne,
  • bezpieczeństwo komunikacji,
  • ochrona prywatności
  • akceptowane wykorzystanie aktywów,
  • ograniczenia dot. instalacji i stosowania oprogramowania,
  • polityka czystego biurka i czystego ekranu itp.

 

Jakie problemy napotykamy z nieprawidłowym zastosowaniem polityki bezpieczeństwa?

 

W pracy z klientami spotykam się często z sytuacją, że intuicyjnie realizują oni procesy z zakresu bezpieczeństwa informacji. Jednak brak kodyfikacji tych działań w PB powoduje kilka problemów. Przede wszystkim procesy nie są wykonywane w sposób powtarzalny dlatego ich rezultaty nie są identyczne. Co za tym idzie ich efekt nie zawsze jest prawidłowy i zgodny z wymaganiami biznesowymi. Po drugie właściciel firmy lub manager nie jest w stanie prowadzić właściwej kontroli zarządczej. Poleganie jedynie na zapewnieniach o prawidłowości wykonywania się procesów, bez otrzymania mierzalnych wskaźników, nie jest najlepszą metodą kontroli.

 

Dlatego właśnie rozwinięte organizacje w których właściciel nie może kontrolować wszystkich procesów biznesowych powinny posiadać Politykę Bezpieczeństwa. Obejmującą swoim zakresem najważniejsze z punktu widzenia biznesu procesy w zakresie bezpieczeństwa informacji. A co za tym idzie bezpieczeństwa samego biznesu. Polityka bezpieczeństwa jako skodyfikowany zbiór reguł prowadzenia określonych czynności może opisywać już wdrożone i przetestowane metody postępowania, tak aby stały się powtarzalne i mierzalne. Z drugiej strony, w przedsiębiorstwach, które dopiero tworzą swój system ochrony informacji, nie mając wypracowanych i ustabilizowanych procedur, polityka bezpieczeństwa oparta na międzynarodowych normach z zakresu bezpieczeństwa, może działać jako zbiór dobrych praktyk i wytyczna w ich kształtowaniu.

 

Polityka bezpieczeństwa ma przede wszystkim wspierać cele biznesowe przedsiębiorstwa. Aby tak było musisz dostosować ją do wymagań biznesowych firmy, posiadanych zasobów i aktywów, możliwości technicznych i technologicznych. Zgodnie z zasadą ciągłego ulepszania powinna być okresowo weryfikowana.