Dwa filary cyberbezpieczeństwa

Informacje, które jeszcze niedawno przechowywaliśmy w segregatorach, przenoszone są do systemów informatycznych. Dane dotyczące pomysłów biznesowych, rozwiązań technologicznych, pracowników czy transakcji znajdują się na dyskach komputerów lub w wirtualnych chmurach. Postęp technologiczny oraz liczba mobilnych urządzeń w naszym życiu prywatnym i zawodowym powoduje, że informacje są łatwo dostępne, ale również łatwo je utracić.


Co możemy zrobić, żeby zminimalizować ryzyko braku ochrony danych?

Co chwilę media informują o kolejnych wielkich wyciekach danych lub atakach hackerskich. Utrata danych może oznaczać nie tylko stratę finansową, ale również trudno policzalną utratę konkurencyjności i zaufania kontrahentów. Aby podjąć skuteczne działania zapobiegawcze, musimy zapewnić im solidne fundamenty. Powinny się one opierać na dwóch równoważnych filarach: rozwiązaniach technicznych i ludziach. Oba odgrywają ważną rolę w systemie bezpieczeństwa i nie mogą istnieć samodzielnie.

Rozwiązania techniczne

Pierwszym filarem bezpieczeństwa są rozwiązania techniczne. W aspekcie technicznym szczególną uwagę należy zwrócić na następujące krytyczne obszary:

  • zabezpieczenia stosowane w przypadku procesów realizowanych poza chronionymi strefami (praca zdalna, urządzenia mobilne w podróży służbowej itp.)
  • mechanizmy kontroli dostępu do systemów, umożliwiające niezaprzeczalne uwierzytelnianie oraz autoryzację
  • bariery fizyczne dla stref, w których znajdują się poufne dane, prototypy itp.
  • bezpieczna eksploatacja systemów, zapewniająca stabilność, integralność i odporność na wycieki
  • bezpieczna wymiana danych pomiędzy systemami, z wykorzystaniem silnych algorytmów szyfrujących oraz zaufanych certyfikatów.

Dla każdego z ww. obszarów organizacja powinna przeprowadzić ocenę ryzyka utraty bezpieczeństwa danych. Inaczej mówiąc, zastosowane rozwiązania muszą wykluczyć realne ryzyko np. wycieku danych.

Czynniki behawioralne

Nawet najbardziej zaawansowane rozwiązania techniczne nie będą skuteczne, jeśli zabraknie drugiego filaru bezpieczeństwa. To odpowiednie zachowania i nawyki człowieka decydują o powodzeniu wdrożenia i utrzymania systemów bezpieczeństwa. Według raportu firmy Kaspersky Lab oraz B2B International przedstawiciele aż 52% ankietowanych firm są przekonani, że „najsłabszym ogniwem” bezpieczeństwa ich danych jest pracownik.

Jednym z często spotykanych w cyberbezpieczeństwie błędów jest klikanie linków, które otwierają nieznane załączniki i wprowadzają osobiste lub poufne informacje do pozornie przyjaznego (i znajomego) konta. Aby zrealizować oszustwo hackerzy wykorzystują w tym przypadku tzw. inżynierię społeczną. Problemy z bezpieczeństwem danych związane są również z rosnącą popularnością urządzeń mobilnych. Nie tylko masowo gubimy, zostawiamy na lotniskach czy w taksówkach firmowe laptopy i smartfony, ale także prywatne urządzenia, które często nie są w ogóle zabezpieczone przed nieuprawnionym dostępem.

Czy możemy się obronić?

Nawet jeśli nie obronimy się przed atakami, możemy zminimalizować straty związane z utratą danych. Jednak aby podjąć działania zaradcze, musimy wiedzieć, że incydent miał miejsce. Tymczasem według raportów w ponad 42% przedsiębiorstw, zatrudniających pomiędzy 50 a 999 osób, pracownicy ukrywali negatywne zdarzenia związane z cyberbezpieczeństwem, z którymi mieli styczność. Zatajanie prawdy może wynikać ze strachu przed utratą pracy, konsekwencjami finansowymi itp. Pamiętajmy jednak, że nieświadomość incydentów może wpływać na rozprzestrzenianie się zagrożenia.

Co możemy zrobić, żeby wywołać pożądane postawy pracowników?

Po pierwsze warto zdiagnozować bariery organizacji w zakresie pożądanych postaw i zachowań pracowników. Badania pokazują, że kwestią ważną dla cyberbezpieczeństwa jest edukacja personelu. Nie wystarczy stworzyć obszerne procedury, których pracownicy często w ogóle nie czytają. Niezbędne są szkolenia z ekspertami, wyznaczanie zadań oraz symulowanie sytuacji, jakie mogą stwarzać zagrożenie. Pomogą one pracownikom zrozumieć ryzyka oraz wskażą konkretne sposoby zabezpieczania się przed nimi.

DEKRA dla cyberbezpieczeństwa

Grupa DEKRA od wielu lat pracuje nad rozwiązaniami, które w skuteczny sposób pozwalają przedsiębiorcom zabezpieczyć dane finansowe, osobowe czy know-how przed niekontrolowanymi wyciekami. Klienci DEKRA korzystają z wiedzy i doświadczenia ekspertów m.in. w dziedzinie bezpieczeństwa behawioralnego i organizacyjnego, zarządzania bezpieczeństwem informacji oraz wdrażania strategii zarządzania ryzykiem.

Więcej informacji: www.dekra-certification.com.pl

W listopadowym wydaniu Kwartalnika eksperckiego zostanie opublikowany artykuł, opisujący szerzej zagadnienia związane z zarządzaniem 2 filarami cyberbezpieczeństwa.

Zostaw komentarz

Twój adres e-mail nie będzie widoczny.