SHARE
X

Wartość informacji w firmie

Autor: Tomasz Nikiel, Specjalista ds. Systemów Zarządzania Bezpieczeństwem Informacji
Źródło: Jakość, Magazyn TÜV Rheinland Polska2/2012

Bezpieczeństwo informacji to sprawa kluczowa dla coraz większej liczby organizacji. Obowiązek ochrony danych dotyczy szczególnie: banków, urzędów, szpitali i szkół, ale także wszystkich firm, które przechowują informacje o swoich klientach. Dla dobra organizacji warto też pamiętać, że informacje to nie tylko stosy dokumentów, dane na dyskach komputerów, czy te zapisane na nośnikach przenośnych. Zasobem, który należy szczególnie chronić jest wiedza zawarta w głowach pracowników, stanowiąca tak ważne dla przedsiębiorstwa know-how.

Każda sprawnie funkcjonująca organizacja posiada aktywa, które mają zasadniczy wpływ na osiągane przez nią wyniki finansowe. Zmieniające się realia rynkowe w znacznym stopniu wpłynęły na metody konkurowania ze sobą firm, a to z kolei spowodowało, że szczególne znaczenie zyskały niematerialne aktywa przedsiębiorstwa. Przy szacowaniu wartości firmy obok danych finansowych, niezbędne staje się także uwzględnienie danych niefinansowych takich jak: wiedza wypracowana w firmie, nakłady na badania w rozwój nowych produktów i technologii, a także wydatki poniesione na kreowanie marki czy wizerunku firmy. Informacja jest obecnie jednym z najważniejszych aktywów biznesowych, które w zdecydowany sposób mogą zaważyć na przyszłości firmy.

Obowiązek ochrony informacji

Konieczność ochrony informacji wynika zarówno z wymagań biznesowych, jaki i prawnych. Jest wiele organizacji, które zobligowane zostały ustawowo do zapewnienia bezpieczeństwa przechowywanych danych. Instytucje te, to między innymi: placówki służby zdrowia, jednostki administracji publicznej, a także kancelarie prawne.

Pomimo ciągle rosnących nakładów na zapewnienie bezpieczeństwa informacji, często w mediach możemy spotkać doniesienia o kuriozalnych przypadkach naruszenia zasad bezpieczeństwa. Utrata lub kradzież danych, wyciek informacji, zablokowanie lub modyfikowanie stron internetowych czy podszycie się pod czyjąś tożsamość to tylko niektóre realne zagrożenia mogące skutkować poważnymi następstwami finansowymi, prawnymi i wizerunkowymi.

Świadomość zagrożeń

Przykłady kryzysów związanych z niewystarczającym zabezpieczeniem danych można mnożyć, od tych związanych z niedawnymi atakami na strony rządowe, przy okazji protestów w sprawie ACTA, do tych mniej medialnych, które dotyczyć mogą codziennej działalności firmy. Wyobraźmy sobie sytuację, w której informacje na temat wadliwego produktu trafiają w ręce osoby odbywającej praktykę w firmie. Po miesiącu praktykant rozstaje się z firmą, z którą nie był związany umową, a niewygodne dla przedsiębiorstwa informacje trafiają na fora internetowe. Stąd już niedługa droga do zainteresowania sprawą mediów, które – jak wiadomo - nastawione są ma sensacje.

Oczywiście nie sposób przewidzieć i uniknąć wszystkich zagrożeń. Sytuację, w której właściciel firmy chciałby sprostać temu zadaniu można porównać do zabiegów podejmowanych przez nadopiekuńczego rodzica, który z obawy przed zagrożeniami nie pozwala dziecku wychodzić z domu. Uświadomienie sobie zagrożeń w tym wypadku powinno prowadzić do opracowania zbioru zasad, które pozwolą ograniczyć występowanie zdarzeń zagrażających bezpieczeństwu informacji, a w sytuacji kiedy do incydentu dojdzie umożliwią sprawne działanie w celu zneutralizowania jego szkodliwych skutków.

Dlaczego informacje wyciekają?

Najczęstszym powodem kryzysów związanych z wyciekiem informacji jest przypadek, awaria systemu IT, lub tzw. „czynnik ludzki”. Wiele osób nie zdaje sobie sprawy z tego, że ponad dwie trzecie incydentów tego typu wynika z błędów, popełnianych przez pracowników.

Dlaczego tak się dzieje? Przyczyn jest kilka. Po pierwsze bezpieczeństwo informacji nie jest traktowane jako proces, który powinien trwać w sposób ciągły. Po drugie brakuje kompleksowego podejścia do zagadnień ochrony informacji – dane przetwarzane w systemach informatycznych są zabezpieczone, szyfrowane i odpowiednio udostępniane, ale na papierowe wersje dokumentów już nie zwraca się takiej uwagi. Ponadto każdy pracownik firmy ma dostęp do informacji, tworzy je sam, otrzymuje w formie polecenia służbowego lub plotki zasłyszanej w trakcie przerwy na kawę. Często brakuje też, wspomnianej wcześniej, analizy ryzyka utraty informacji i tym samym wprowadzane zabezpieczenia są nieefektywne i nieadekwatne do rzeczywistych problemów i potrzeb.

Myślenie systemowe

Kompleksowa, a tym samym pewniejsza ochrona informacji jest możliwa dzięki systemowemu podejściu do zarządzania bezpieczeństwem informacji. Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zgodnego z normą ISO 27001 pozwala w widoczny sposób ograniczyć występowanie incydentów zagrażających bezpieczeństwu danych, a w przypadku awarii na zastosowanie scenariusza działań, prowadzącego do zminimalizowania możliwych szkód. Dzięki takiemu podejściu możliwe jest prowadzenie gruntownych i metodologicznych badań i wdrażanie odpowiednich zabezpieczeń, a także reagowanie na zaistniałe incydenty naruszenia bezpieczeństwa informacji i ciągłe udoskonalanie działania całego systemu.

Norma ISO 27001 zbudowana jest zgodnie z modelem „Planuj – Wykonuj – Sprawdzaj – Działaj” i może być stosowana we wszystkich rodzajach organizacji, niezależnie od jej typu i rozmiaru. Pierwszym etapem wprowadzania normy jest inwentaryzacja aktywów oraz ocena ryzyka w danej organizacji. Następnie formułowana jest polityka bezpieczeństwa informacji oraz dobierane są środki, dzięki którym bezpieczeństwo zostanie zapewnione. Kluczowe jest ustalenie odpowiedzialności kierownictwa, zaangażowania i sposobu zarządzania zasobami. Bardzo ważne są także szkolenia, mające na celu wzrost świadomości pracowników, a także wewnętrzne audyty i przeglądy, prowadzące do ciągłego doskonalenia polityki bezpieczeństwa firmy.

Wyznacznik bezpieczeństwa

Wyznacznikiem bezpieczeństwa informacji jest zapewnienie zachowania poufności, integralności oraz dostępności informacji. Przez poufność informacji należy rozumieć zapewnienie dostępu tylko osobom upoważnionym. Integralność informacji polega natomiast na zapewnieniu dokładności i kompletności informacji oraz metod ich przetwarzania i dokonywania w niej zmian tylko przez uprawnione osoby. Dostępność oznacza, że osoby upoważnione mogą korzystać z informacji wtedy, gdy istnieje taka potrzeba.

Wdrożony i certyfikowany System Zarządzania Bezpieczeństwem Informacji powinien przewidywać co zrobić w sytuacji, kiedy padnie serwer firmy. Co się stanie, jeśli zostawimy służbowego laptopa w samochodzie i ktoś go ukradnie razem z wynikami naszej pracy. Powinien też dawać odpowiedź na pytanie: czy pracownik może bezpiecznie korzystać z firmowego komputera poza biurem. W ocenie ryzyka powinny również zostać przewidziane takie sytuacje, jak utrata danych na skutek pożaru czy powodzi, włamania do systemu informatycznego, a także sabotaż.

Celem firmy decydującej się na wprowadzenie SZBI według normy ISO 27001 jest ochrona informacji dotyczących danych prawnie chronionych, ale także ochrona wiedzy z zakresu know-how, informacji handlowych, technologii itp. Dobrze skonstruowany System Zarządzania Bezpieczeństwem Informacji kontroluje, przede wszystkim, obszary zwiększonego ryzyka w przepływie informacji. W efekcie zostaje zapewniona oczekiwana poufność, integralność oraz dostępność informacji.

TÜV Rheinland Polska jest w czołówce firm certyfikacyjnych i badawczych w Polsce. Spółka jest częścią międzynarodowego koncernu TÜV Rheinland Group, działającego w Niemczech od ponad 140 lat. Polski oddział w trakcie kilkunastu lat działalności zdobył pozycję eksperta w dziedzinie certyfikacji wyrobów, technologii, systemów zarządzania i personelu na krajowym rynku. Wśród klientów TÜV Rheinland Polska znajdują się obecnie największe przedsiębiorstwa m. in. z branży spożywczej, budowlanej, energetycznej i medycznej. Więcej informacji: www.tuv.pl

Kontakt dla mediów:
Agata Tynka
Specjalista ds. Public Relations
TÜV Rheinland Polska Sp. z o.o.
tel.: +48 32 271 64 89 w. 105
email: agata.tynka@pl.tuv.com
www.tuv.pl