(Nie)bezpieczeństwo informacji - 10 błędów

Przeczytaj także: Jak przesłać dane wrażliwe i zadbać o bezpieczeństwo?

Na postawie setek audytów bezpieczeństwa informacji, przeprowadzonych w średnich i dużych firmach, a także w międzynarodowych korporacjach, eksperci ODO 24 opracowali listę 10 najczęstszych błędów, jakie firmy popełniają chroniąc swoje zasoby informacyjne.

1) Nieprawidłowe zabezpieczenie systemów informatycznych.

Często spotykanym błędem jest pozostawienie aktywnych kont serwisowych lub testowych po wykonaniu prac wdrożeniowych lub rozwojowych. Konta te umożliwiają późniejszy dostęp do funkcjonujących już systemów osobom nieupoważnionym.

2) Wykorzystywanie niezabezpieczonych urządzeń mobilnych.

Równie często mamy do czynienia z dopuszczeniem do korzystania przez pracowników z niezabezpieczonych laptopów, telefonów, tabletów oraz dysków i pamięci zewnętrznych. Brak też wdrożenia dobrych praktyk w postępowaniu z takimi urządzeniami.

3) Brak stosowania oznaczeń poufności.

Firmy stosunkowo rzadko korzystają z oznaczeń stopnia poufności informacji przekazywanych w formie papierowej czy na nośnikach elektronicznych. Może to skutkować udostępnieniem informacji osobom do tego nieuprawnionym lub zniszczeniem nośnika niezgodnie ze sklasyfikowanym poziomem ochrony zawartości.

4) Pozostawianie dokumentów bez nadzoru.

Brak właściwego nadzoru nad dokumentami w formie papierowej to wciąż ogromna bolączka wielu firm. Niemal każdego dnia można się spotkać z dokumentami pozostawionymi w kserokopiarce, faksie czy na półce w korytarzu.

5) Brak efektywnej kontroli dostępu.

Częstym uchybieniem jest również brak właściwej kontroli dostępu zarówno do pomieszczeń jak i poszczególnych systemów informatycznych, funkcjonujących w przedsiębiorstwie. W obszarze bezpieczeństwa fizycznego częstym przypadkiem jest brak ewidencji osób postronnych, obecnych z różnych powodów w pomieszczeniach kluczowej infrastruktury teleinformatycznej. W obszarze bezpieczeństwa teleinformatycznego błędem jest brak kontroli uprawnień użytkowników.

6) Niestosowanie zabezpieczeń kryptograficznych.

Mimo coraz większych ułatwień w stosowaniu tego typu rozwiązań, wciąż zbyt rzadko szyfrujemy urządzenia magazynujących chronione informacje firmowe. Mowa tu głównie o dyskach twardych, pamięciach zewnętrznych i taśmach z kopiami. Warto jednak pamiętać również o załącznikach wiadomości elektronicznych.

7) Problematyczne kopie bezpieczeństwa.

Tu obserwowane są trzy rodzaje nieprawidłowości. Po pierwsze, w wielu firmach w ogóle nie ma czegoś takiego jak kopie bezpieczeństwa. Po drugie, kopie bywają niewłaściwie zabezpieczone. Po trzecie, co stwierdzane jest najczęściej, firmy nie weryfikują poprawności zapisu kopii bezpieczeństwa.

8) Niski poziom świadomości.

Niestety, wraz z rozwojem technologii i związanych z tym zagrożeń dla bezpieczeństwa informacji, nie idą w parze właściwe szkolenia dla pracowników, w tym również dla tych odpowiedzialnych za zabezpieczanie kluczowych zasobów przedsiębiorstwa. Mowa tu głównie o informatykach, którzy często nie mają zagwarantowanych szkoleń z zakresu obsługi urządzeń i technologii, wykorzystywanych do zabezpieczeń teleinformatycznych.

9) Brak podziału na zasoby prywatne i służbowe.

Niemal nagminne jest wykorzystywanie przez pracowników prywatnego sprzętu elektronicznego w celach służbowych lub wykorzystywanie różnych służbowych zasobów do celów prywatnych.

10) Brak monitoringu, identyfikacji i blokady.

Poważne zagrożenie dla firmowych danych stanowi brak mechanizmów monitorujących, identyfikujących i blokujących podejrzany ruch w sieciach teleinformatycznych oraz przesyłane w nich treści. Szczególnie istotne jest blokowanie wypływu danych.

Komentarz eksperta

Wdrożenie zabezpieczeń z zakresu ochrony informacji pozwala uchronić organizację przed wyciekiem, zmianą lub utratą przetwarzanych przez nią danych. Szczególną uwagę należy przy tym zwrócić na informacje chronione prawnie, takie jak tajemnica przedsiębiorstwa, dane osobowe czy tajemnice handlowe, a także na informacje dotyczące know-how czy stosowanych w firmie technologii – mówi Maciej Jurczyk, Inżynier ds. bezpieczeństwa informacji, ODO 24. - Niewłaściwe zabezpieczenie informacji może skutkować ogromnymi stratami finansowymi, odpowiedzialnością prawną, a także utratą dobrego wizerunku, co dla zdecydowanej większości organizacji ma kluczowe znaczenie w prowadzeniu biznesu – dodaje.