„E-learning jest nudny i niepraktyczny, wystarczy go przeklikać…"
Informacje – w tym dane osobowe, know how, dane finansowe, itp. – to współcześnie najcenniejsze zasoby każdej firmy. Pracowników, nawet tych najlepszych, wcześniej czy później uda się zastąpić. Siedzibę firmy można zmienić. Wyposażenie biur czy najdroższy nawet sprzęt elektroniczny również są do odtworzenia. Jednak w przypadku utraty lub wycieku kluczowych dla firmy danych, straty mogą być nieodwracalne, a nawet prowadzić do upadku przedsiębiorstwa.
Na postawie setek audytów bezpieczeństwa informacji, przeprowadzonych w średnich i dużych firmach, a także w międzynarodowych korporacjach, eksperci ODO 24 opracowali listę 10 najczęstszych błędów, jakie firmy popełniają chroniąc swoje zasoby informacyjne.
1. Nieprawidłowe zabezpieczenie systemów informatycznych.
Często spotykanym błędem jest pozostawienie aktywnych kont serwisowych lub testowych po wykonaniu prac wdrożeniowych lub rozwojowych. Konta te umożliwiają późniejszy dostęp do funkcjonujących już systemów osobom nieupoważnionym.
2. Wykorzystywanie niezabezpieczonych urządzeń mobilnych.
Równie często mamy do czynienia z dopuszczeniem do korzystania przez pracowników z niezabezpieczonych laptopów, telefonów, tabletów oraz dysków i pamięci zewnętrznych. Brak też wdrożenia dobrych praktyk w postępowaniu z takimi urządzeniami.
3. Brak stosowania oznaczeń poufności.
Firmy stosunkowo rzadko korzystają z oznaczeń stopnia poufności informacji przekazywanych w formie papierowej czy na nośnikach elektronicznych. Może to skutkować udostępnieniem informacji osobom do tego nieuprawnionym lub zniszczeniem nośnika niezgodnie ze sklasyfikowanym poziomem ochrony zawartości.
4. Pozostawianie dokumentów bez nadzoru.
Brak właściwego nadzoru nad dokumentami w formie papierowej to wciąż ogromna bolączka wielu firm. Niemal każdego dnia można się spotkać z dokumentami pozostawionymi w kserokopiarce, faksie czy na półce w korytarzu.
5. Brak efektywnej kontroli dostępu.
Częstym uchybieniem jest również brak właściwej kontroli dostępu zarówno do pomieszczeń jak i poszczególnych systemów informatycznych, funkcjonujących w przedsiębiorstwie. W obszarze bezpieczeństwa fizycznego częstym przypadkiem jest brak ewidencji osób postronnych, obecnych z różnych powodów w pomieszczeniach kluczowej infrastruktury teleinformatycznej. W obszarze bezpieczeństwa teleinformatycznego błędem jest brak kontroli uprawnień użytkowników.
6. Niestosowanie zabezpieczeń kryptograficznych.
Mimo coraz większych ułatwień w stosowaniu tego typu rozwiązań, wciąż zbyt rzadko szyfrujemy urządzenia magazynujących chronione informacje firmowe. Mowa tu głównie o dyskach twardych, pamięciach zewnętrznych i taśmach z kopiami. Warto jednak pamiętać również o załącznikach wiadomości elektronicznych.
7. Problematyczne kopie bezpieczeństwa.
Tu obserwowane są trzy rodzaje nieprawidłowości. Po pierwsze, w wielu firmach w ogóle nie ma czegoś takiego jak kopie bezpieczeństwa. Po drugie, kopie bywają niewłaściwie zabezpieczone. Po trzecie, co stwierdzane jest najczęściej, firmy nie weryfikują poprawności zapisu kopii bezpieczeństwa.
8. Niski poziom świadomości.
Niestety, wraz z rozwojem technologii i związanych z tym zagrożeń dla bezpieczeństwa informacji, nie idą w parze właściwe szkolenia dla pracowników, w tym również dla tych odpowiedzialnych za zabezpieczanie kluczowych zasobów przedsiębiorstwa. Mowa tu głównie o informatykach, którzy często nie mają zagwarantowanych szkoleń z zakresu obsługi urządzeń i technologii, wykorzystywanych do zabezpieczeń teleinformatycznych.
9. Brak podziału na zasoby prywatne i służbowe.
Niemal nagminne jest wykorzystywanie przez pracowników prywatnego sprzętu elektronicznego w celach służbowych lub wykorzystywanie różnych służbowych zasobów do celów prywatnych.
10. Brak monitoringu, identyfikacji i blokady.
Poważne zagrożenie dla firmowych danych stanowi brak mechanizmów monitorujących, identyfikujących i blokujących podejrzany ruch w sieciach teleinformatycznych oraz przesyłane w nich treści. Szczególnie istotne jest blokowanie wypływu danych.
Wdrożenie zabezpieczeń z zakresu ochrony informacji pozwala uchronić organizację przed wyciekiem, zmianą lub utratą przetwarzanych przez nią danych. Szczególną uwagę należy przy tym zwrócić na informacje chronione prawnie, takie jak tajemnica przedsiębiorstwa, dane osobowe czy tajemnice handlowe, a także na informacje dotyczące know-how czy stosowanych w firmie technologii.
Niewłaściwe zabezpieczenie informacji może skutkować ogromnymi stratami finansowymi, odpowiedzialnością prawną, a także utratą dobrego wizerunku, co dla zdecydowanej większości organizacji ma kluczowe znaczenie w prowadzeniu biznesu.
Maciej Jurczyk
Inżynier ds. bezpieczeństwa informacji, ODO 24
Biuro prasowe | ODO 24
„E-learning jest nudny i niepraktyczny, wystarczy go przeklikać…"
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.