Brak procedur i polityk bezpieczeństwa w pracy z danymi wykorzystywany jest przez cyberprzestępców w planowaniu oraz przeprowadzaniu ataków hakerskich. Jednym z najbardziej znanych w Polsce przypadków wykorzystania ich braku była strata czterech milionów złotych, przez jedną z polskich spółek z sektora zbrojeniowego, która nieświadoma tego faktu, transferowała przelewy na fałszywe konto podmienione przez oszustów. Aby zapobiec podobnej sytuacji w przyszłości, firma wdrożyła dodatkowe procedury oraz narzędzia określające zasady bezpieczeństwa informacji.
Dlaczego standaryzujemy i wprowadzamy procedury?
Przede wszystkim w celu zminimalizowania ryzyka kradzieży bądź niekontrolowanego wycieku danych. Jasne określenie zasad postępowania z danymi wrażliwymi bądź operacjami finansowymi realizowanymi elektronicznie jest w stanie zapobiec ich utracie.
Zazwyczaj wprowadzenie odpowiednich procedur wiąże się ze sprawdzeniem i określeniem aktualnego poziomu przedsiębiorstwa pod kątem zastosowanych zabezpieczeń (audyt bezpieczeństwa).
Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji (PBI) – to najczęściej zbiór zwięzłych, precyzyjnych i opracowanych zgodnie z obowiązującym prawem przepisów, reguł, procedur i zasad, który znajduje zastosowanie w organizacji w odniesieniu do wszelkich danych, którymi zarządza.
Aby polityka bezpieczeństwa informacji spełniała swoje funkcje trzeba ją dostosować do sposobu funkcjonowania oraz charakterystyki organizacji. Należy wziąć również pod uwagę strukturę oraz procesy jakie mają miejsce w przedsiębiorstwie.
Polityka bezpieczeństwa informacji spełnia funkcje:
- Prewencyjną
Zapobiega wyciekom danych wynikających z niewiedzy lub braku ostrożności pracowników oraz chroni przed celowymi działaniami cyberprzestępców.
- Dostosowawczą
Standaryzuje działania w przedsiębiorstwie zgodnie z obowiązującymi przepisami dotyczącymi przetwarzania i ochrony informacji.
Pamiętaj!
Wprowadzane zasady powinny być realne i dostosowane do wielkości, możliwości technologicznych i finansowych firmy. Tworzenie polityki bezpieczeństwa na wyrost, której egzekwowanie w praktyce będzie uciążliwe z punktu widzenia użytkownika, niesie ryzyko pozostania jej „na papierze” jako skomplikowanego i nieużytecznego dokumentu.