Zaczynamy cykl artykułów „Świadomy pracownik – bezpieczna organizacja”.
W obecnych czasach informacja jest bardzo cennym aktywem organizacji, zasobem wiedzy przedsiębiorstw i ma decydujący wpływ na bieżącą działalność i dalszy rozwój. Podstawowym założeniem zarządzania bezpieczeństwem informacji jest ochrona gromadzonej i przetwarzanej informacji, co jest niemożliwe bez zaangażowania każdego pracownika, począwszy od najwyższego kierownictwa, poprzez pracowników średniego szczebla, a na szeregowych pracownikach kończąc.
Podstawy zapewnienia bezpieczeństwa informacji organizacji
Bezpieczeństwo informacji obejmuje jej ochronę przed kradzieżą lub zmianami, zarówno losowymi, jak i celowymi. System zarządzania bezpieczeństwem informacji (SZBI) jest skutecznym narzędziem ochrony interesów właścicieli i użytkowników informacji. Należy zauważyć, że SZBI warto oprzeć o dobre praktyki wynikające z norm międzynarodowych, zwłaszcza ISO/IEC 27001. Szkody mogą być spowodowane nie tylko przez nieautoryzowany dostęp do informacji. Mogą one być skutkiem awarii sprzętu komunikacyjnego lub informacyjnego.
Żeby odpowiednio zagłębić się w temat bezpieczeństwa informacji rozpatrzymy podstawowe pojęcia, cele i role bezpieczeństwa informacji.
Termin „bezpieczeństwo informacji” opisuje sytuację, która wyklucza dostęp do przeglądania, moderowania i niszczenia danych przez podmioty bez odpowiednich uprawnień. Koncepcja ta obejmuje ochronę przed wyciekiem i kradzieżą informacji za pomocą nowoczesnych technologii i innowacyjnych urządzeń.
Bezpieczeństwo informacji obejmuje pełen zakres środków zapewniających integralność i poufność informacji pod warunkiem jej dostępności dla użytkowników posiadających odpowiednie prawa/uprawnienia.
Trzy filary bezpieczeństwa informacji:
- poufność – zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym;
- integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania;
- dostępność – zapewnienie ze osoby upoważnione mają dostęp do informacji i związanych z nią aktywów, gdy jest to potrzebne (czyli szybkie i dokładne wyszukiwanie informacji przez określonych użytkowników)
Celem bezpieczeństwa informacji jest zminimalizowanie szkód wynikających z naruszenia wymogów integralności, poufności i dostępności.
Dlaczego zaangażowanie i świadomość odgrywają istotną rolę w zapewnieniu bezpieczeństwa informacji?
Wszyscy analitycy, zgadzają się co do jednej rzeczy: „czynnik ludzki” jest najbardziej podatny i niesie największe zagrożenie dla bezpieczeństwa informacji organizacji. Nie chodzi tu tylko o „kretów”, którzy sprzedają tajemnicę przedsiębiorstwa, lecz o banalną głupotę, niedbalstwo, nieodpowiedzialność, brak znajomości lub niechęć stosowania zasad, które mogą doprowadzić do bardzo groźnych incydentów, mogących wywołać istotne skutki finansowe i wizerunkowe. Ponadto hakerzy nie są głupcami. Włamanie się do nowoczesnego systemu bezpieczeństwa IT jest niezwykle trudne i kosztowne, ale dość szybko, łatwo i tanio można wykorzystać pracownika.
Każdy specjalista, który jest odpowiedzialny za bezpieczeństwo informacji w organizacji wie, że od 60 do 80% wszystkich incydentów i naruszeń w obszarze bezpieczeństwa informacji jest spowodowanych przez personel. Jednocześnie większa część naruszeń wiąże się przede wszystkim z brakiem świadomości pracowników w kwestiach bezpieczeństwa informacji.
Rys. Straty wg różnego rodzaju zagrożeń
Przy tym większość pracowników organizacji jest przekonana, że nie ma nic wspólnego z bezpieczeństwem informacji.
Owszem, organizacje, zwłaszcza duże, są często atakowane z zewnątrz, ale co najmniej 925 dobrze znanych poważnych incydentów bezpieczeństwa było związanych z działaniami pracowników. I nie wszyscy pracownicy mieli złośliwe zamiary, bądź umyślnie wyrządzili szkodę. Wycieki danych spowodowane nieuwagą lub brakiem świadomości pracowników, w tym kierowników, pojawiają się z dość częstą regularnością. Ze względu na skutki, które są spowodowane incydentami, zagrożenie z wewnątrz zajmuje pozycję wiodącą. Podczas gdy hakerzy ukradli około 1,7 miliarda rekordów, wewnętrzne czynniki doprowadziły do utraty 2,6 miliarda zapisów.
Jak zauważyliście jest dość sporo pracy organizacyjnej w zakresie bezpieczeństwa informacji w organizacji.
Potrzebujesz pomocy?
Skontaktuj się z naszym specjalistą.
Autor: Maryna Kuczyńska (2744)