Dynamiczny rozwój informatyzacji i komunikacji elektronicznej przyniósł zarówno szerokie możliwości, jak i nowe zagrożenia związane z ochroną danych przesyłanych i przechowywanych zdalnie. Wobec tego firmy muszą wdrażać wewnętrzne regulacje, które skutecznie przeciwdziałają tym ryzykom i gwarantują bezpieczeństwo informacji oraz realizację zobowiązań wobec partnerów biznesowych. Kluczowym czynnikiem sukcesu jest odpowiednia świadomość i zaangażowanie zespołu.
Zazwyczaj to pracownik jako pierwszy zauważa, identyfikuje i określa konkretne zagrożenie, dlatego jego aktywne zaangażowanie w tworzenie, wdrażanie oraz aktualizację procedur jest kluczowe.
Kompletny proces wdrażania procedur bezpieczeństwa w firmie można podzielić na cztery do pięciu podstawowych etapów.
1. Etap pierwszy to audyt aktualnego stanu zabezpieczeń, a w przypadku braku regulacji wewnętrznych analiza potrzeb przedsiębiorcy i diagnoza w zakresie braków i zagrożeń. Oprócz oceny stopnia bezpieczeństwa danych warto już na tym etapie rozważyć czy firma we właściwy sposób reguluje zasady przyznawania dostępu do poszczególnych danych swoim pracownikom oraz podmiotom zewnętrznym.
Sporządzenie diagnozy i obszaru potrzeb daje możliwość przejścia do właściwego procesu tworzenia regulacji. Istotne jest, aby w możliwie najdalej idący sposób odnosiły się one do pewnej pragmatyki działania firmy w obszarze bezpieczeństwa, tak aby tego, co funkcjonuje poprawnie nie starać się poprawiać na siłę i wbrew potrzebom.
2. Etap drugi to stworzenie procedur wewnętrznych. Istotne jest przy tym dostosowanie regulacji do specyfiki branży, w której przedsiębiorca funkcjonuje. Nie warto kupować gotowych dokumentów, bo w większości przypadków nie będą one pasowały do naszej branży i nigdy w całości nie odpowiedzą na potrzeby konkretnego przedsiębiorcy.
3. Trzeci i jak się wydaje najistotniej etap, to szkolenia dla pracowników. Znacząco mija się z celem tworzenie nawet bardzo obszernych i rozbudowanych procedur, jeśli nie przeszkolimy pracowników i nie będą oni wiedzieli, jak reagować na incydenty.
4. W niektórych przypadkach po tym etapie wdrożenia warto rozważyć przeprowadzenie crash testów, czyli testów, które już na tym etapie pozwolą ocenić, czy znajdujący się w końcowej fazie proces wdrażania procedur ochrony danych przyniósł zakładany rezultat.
5. Wreszcie ostatni etap to obserwowanie tego, co dzieje się w obszarze zagrożeń. Jeśli wiemy, że pojawił się nowy mechanizm wyłudzenia i pozyskiwania danych, to trzeba dostosowywać procedury do tych mechanizmów, a o wdrożonych zmianach ponownie poinformować pracowników.
Do tego, aby reakcja pracownika na incydent związany z możliwością naruszenia bezpieczeństwa przetwarzania danych była szybka, potrzebne są trzy podstawowe zasady. Elementy te powinny zostać wprowadzone łącznie oraz współgrać ze sobą dla osiągnięcia podstawowego celu, jakim jest bezpieczeństwo danych.
1. Po pierwsze, aby w ogóle mówić o możliwości jakiejkolwiek reakcji, potrzebne jest jak najszybsze zdiagnozowanie zagrożenia. Przestrzec należy przed zbyt dużą pewnością co do zapewnienia bezpieczeństwa danych przedsiębiorstwa. Nawet najlepsze sposoby szyfrowania danych czy też korzystanie z najnowszego programu antywirusowego mogą nie być wystarczające do skutecznej ochrony przed zagrożeniami z zewnątrz, jeżeli wśród pracowników nie ma świadomości cyberzagrożeń oraz ich źródeł.
2. Po drugie, pracownik musi wiedzieć do kogo zwrócić się o pomoc, gdy odkryje ryzyko zagrożenia cyberatakiem czy też możliwość wystąpienia naruszenia bezpieczeństwa przetwarzania danych. Oczywiście może udać się do swojego bezpośredniego przełożonego, ale tu pojawia się pytanie czy przełożony ten może sam podjąć skuteczne kroki w celu wyeliminowania zagrożenia, czy może musi przekazać tę informację dalej. Droga przepływu informacji o zagrożeniu w przedsiębiorstwie powinna być jak najkrótsza, to znaczy powinna istnieć możliwość przekazania tej informacji wprost do osoby, która bezpośrednio zajmie się zagrożeniem. Może to być np. osoba lub cały dział zajmujący się bezpieczeństwem teleinformatycznym. W przypadku danych osobowych może to być powołany do tego inspektor ochrony danych. Mniejsze przedsiębiorstwa coraz częściej korzystają też z usług zewnętrznych specjalistów, na zasadzie outsourcingu.
3. Po trzecie wreszcie, pracownik nie może obawiać się zgłosić incydentu naruszenia przetwarzania danych. Jeżeli takie zagrożenie wynika z wejścia przez pracownika w niebezpieczny link lub też odpowiedzi na podejrzany e-mail, to może on z obawy przed odpowiedzialnością ukryć ten fakt i nie zgłosić go dalej. Jest to stan najbardziej niebezpieczny, gdyż im dłużej trwa stan zagrożenia, tym większa szansa, że dane przedsiębiorstwa dostaną się w niepowołane ręce. W takim przypadku należy liczyć się także z dalszymi negatywnymi konsekwencjami. Jeśli nie możemy całkowicie wyeliminować zagrożenia, to warto minimalizować jego negatywne konsekwencje.
Zachęcamy do lektury całego wpisu Bartosza Grube i Marka Ramczykowskiego na łamach portalu Rzeczpospolita: