2016-03-31

(Nie)bezpieczeństwo informacji – 10 najczęstszych błędów w systemie ochrony informacji

Informacje – w tym dane osobowe, know how, dane finansowe, itp. – to współcześnie najcenniejsze zasoby każdej firmy. Pracowników, nawet tych najlepszych, wcześniej czy później uda się zastąpić. Siedzibę firmy można zmienić. Wyposażenie biur czy najdroższy nawet sprzęt elektroniczny również są do odtworzenia. Jednak w przypadku utraty lub wycieku kluczowych dla firmy danych, straty mogą być nieodwracalne, a nawet prowadzić do upadku przedsiębiorstwa.

Na postawie setek audytów bezpieczeństwa informacji, przeprowadzonych w średnich i dużych firmach, a także w międzynarodowych korporacjach, eksperci ODO 24 opracowali listę 10 najczęstszych błędów, jakie firmy popełniają chroniąc swoje zasoby informacyjne.

 

1.    Nieprawidłowe zabezpieczenie systemów informatycznych.

Często spotykanym błędem jest pozostawienie aktywnych kont serwisowych lub testowych po wykonaniu prac wdrożeniowych lub rozwojowych. Konta te umożliwiają późniejszy dostęp do funkcjonujących już systemów osobom nieupoważnionym.

2.    Wykorzystywanie niezabezpieczonych urządzeń mobilnych.

Równie często mamy do czynienia z dopuszczeniem do korzystania przez pracowników z niezabezpieczonych laptopów, telefonów, tabletów oraz dysków i pamięci zewnętrznych. Brak też wdrożenia dobrych praktyk w postępowaniu z takimi urządzeniami.

3.    Brak stosowania oznaczeń poufności.

Firmy stosunkowo rzadko korzystają z oznaczeń stopnia poufności informacji przekazywanych w formie papierowej czy na nośnikach elektronicznych. Może to skutkować udostępnieniem informacji osobom do tego nieuprawnionym lub zniszczeniem nośnika niezgodnie ze sklasyfikowanym poziomem ochrony zawartości.

4.    Pozostawianie dokumentów bez nadzoru.

Brak właściwego nadzoru nad dokumentami w formie papierowej to wciąż ogromna bolączka wielu firm. Niemal każdego dnia można się spotkać z dokumentami pozostawionymi w kserokopiarce, faksie czy na półce w korytarzu.

5.    Brak efektywnej kontroli dostępu.

Częstym uchybieniem jest również brak właściwej kontroli dostępu zarówno do pomieszczeń jak i poszczególnych systemów informatycznych, funkcjonujących w przedsiębiorstwie. W obszarze bezpieczeństwa fizycznego częstym przypadkiem jest brak ewidencji osób postronnych, obecnych z różnych powodów w pomieszczeniach kluczowej infrastruktury teleinformatycznej. W obszarze bezpieczeństwa teleinformatycznego błędem jest brak kontroli uprawnień użytkowników.

6.    Niestosowanie zabezpieczeń kryptograficznych.

Mimo coraz większych ułatwień w stosowaniu tego typu rozwiązań, wciąż zbyt rzadko szyfrujemy urządzenia magazynujących chronione informacje firmowe. Mowa tu głównie o dyskach twardych, pamięciach zewnętrznych i taśmach z kopiami. Warto jednak pamiętać również o załącznikach wiadomości elektronicznych.

7.    Problematyczne kopie bezpieczeństwa.

Tu obserwowane są trzy rodzaje nieprawidłowości. Po pierwsze, w wielu firmach w ogóle nie ma czegoś takiego jak kopie bezpieczeństwa. Po drugie, kopie bywają niewłaściwie zabezpieczone. Po trzecie, co stwierdzane jest najczęściej, firmy nie weryfikują poprawności zapisu kopii bezpieczeństwa.

8.    Niski poziom świadomości.

Niestety, wraz z rozwojem technologii i związanych z tym zagrożeń dla bezpieczeństwa informacji, nie idą w parze właściwe szkolenia dla pracowników, w tym również dla tych odpowiedzialnych za zabezpieczanie kluczowych zasobów przedsiębiorstwa. Mowa tu głównie o informatykach, którzy często nie mają zagwarantowanych szkoleń z zakresu obsługi urządzeń i technologii, wykorzystywanych do zabezpieczeń teleinformatycznych.

9.    Brak podziału na zasoby prywatne i służbowe.

Niemal nagminne jest wykorzystywanie przez pracowników prywatnego sprzętu elektronicznego w celach służbowych lub wykorzystywanie różnych służbowych zasobów do celów prywatnych.

10.    Brak monitoringu, identyfikacji i blokady.

Poważne zagrożenie dla firmowych danych stanowi brak mechanizmów monitorujących, identyfikujących i blokujących podejrzany ruch w sieciach teleinformatycznych oraz przesyłane w nich treści. Szczególnie istotne jest blokowanie wypływu danych.

 

Komentarz eksperta

Wdrożenie zabezpieczeń z zakresu ochrony informacji pozwala uchronić organizację przed wyciekiem, zmianą lub utratą przetwarzanych przez nią danych. Szczególną uwagę należy przy tym zwrócić na informacje chronione prawnie, takie jak tajemnica przedsiębiorstwa, dane osobowe czy tajemnice handlowe, a także na informacje dotyczące know-how czy stosowanych w firmie technologii.

Niewłaściwe zabezpieczenie informacji może skutkować ogromnymi stratami finansowymi, odpowiedzialnością prawną, a także utratą dobrego wizerunku, co dla zdecydowanej większości organizacji ma kluczowe znaczenie w prowadzeniu biznesu.

Maciej Jurczyk
Inżynier ds. bezpieczeństwa informacji, ODO 24

Biuro prasowe | ODO 24

Do pobrania

Logo ODO 24

"Jeden człowiek na etacie
może więcej niż zespół ekspertów"

Jesteś tego pewien?

Zoptymalizuj
koszty

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>