Badania przeprowadzone przez amerykańskich ekspertów z zakresu bezpieczeństwa danych i systemów komputerowych wskazują iż ponad 80% zagrożeń w systemie informatycznym generują jego użytkownicy. Najwyższej klasy zabezpieczenia logiczne i fizyczne nie będą wstanie ochronić naszej firmy jeżeli jej pracownicy nie będą znali, rozumieli i stosowali się do obowiązujących zasad bezpieczeństwa. Świetne zabezpieczona infrastruktura nie ma szans w starciu z infekcjami wynikającymi z błędu ludzkiego czy ignorowania podstawowych zasad bezpieczeństwa.
Każda firma powinna rozpocząć swoje zabezpieczenia od stworzenia zasad bezpieczeństwa, spisanych w czytelnej i zwięzłej formie oraz udostępnionych tak, aby każdy mógł się z nimi zapoznać.

GŁÓWNE ZASADY POLITYKI BEZPIECZEŃSTWA W FIRMIE

1. Bezpieczne hasło – wykreowanie silnego, długiego i trudnego do odgadnięcia hasła z małymi jak i wielkimi literami, cyframi oraz znakami specjalnymi. Unikanie zapamiętywania hasła w przeglądarce oraz zapisywania go w widocznym miejscu (np. na karteczce przyklejonej do monitora). Ważna jest również regularna zmiana hasła – np. co dwa, trzy miesiące)

2. Wprowadzenie kategorii danych – w zależności od ich ważności, wrażliwości oraz wskazanie zasad postępowania z każdymi z nich.

3. Odpowiednie zabezpieczenia komputerów pod kątem aktualnego systemu operacyjnego oraz oprogramowania antywirusowego.

4. Określenie zasad związanych z transportem danych w związku z używaniem nośników, urządzeń zewnętrznych jak również możliwości korzystania z własnych urządzeń przez pracowników (BYOD).

5. Wskazanie na jakich zasadach można korzystać z prywatnych usług online, w tym – w jakim zakresie można korzystać z popularnych komunikatorów na urządzeniach firmowych lub na urządzeniach prywatnych do celów służbowych.

6. Oddzielenie danych firmowych od prywatnych – uświadomienie pracownikom, aby nie korzystali ze służbowego adresu do spraw prywatnych(również na odwrót), nie podawali firmowego adresu e–mail na forach, listach adresowych czy mediach społecznościowych.

7. Jasno określone zasady tworzenia kopii zapasowych – ich częstotliwość, lokalizacja, rodzaj danych które obejmują oraz ilość.

8. Wsparcie pracowników w odpowiednie technologie wpływające na bezpieczeństwo używanych przez nich danych np.: technologii RMS (Rights Management Service), która zabezpiecza m.in. przed wysłaniem e-maila pod adres spoza domeny firmowej, zapobiega odczytaniu wiadomości przez osoby niepożądane itp.

9. Aktualizowanie wiedzy o bezpieczeństwie – wprowadzenie systemu szkoleń okresowych dzięki którym pracownicy będą mogli zapoznać się z nowymi zasadami oraz przypomnieć im te już obowiązujące.

10. Wskazanie warunków odpowiedzialności pracowników za naruszenie zasad.

Czym kierować się przy tworzeniu polityki bezpieczeństwa?

Nie ma przepisu na idealną politykę bezpieczeństwa, wskazane powyżej zasady stanowią jedynie ogólne podstawy na których można oprzeć się tworząc własny zbiór reguł. Wszystko zależy od stopnia informatyzacji przedsiębiorstwa. Przy bardziej złożonych systemach warto skorzystać ze wsparcia specjalistów, którzy przeprowadzając audyt bezpieczeństwa, sprawdzą zasady oraz wykorzystywane narzędzia służące wzmocnieniu bezpieczeństwa, określając najlepsze dla danego przedsiębiorstwa zabezpieczenie.

Podstawową zasadą przesądzającą o skuteczności prowadzonej polityki bezpieczeństwa w firmie jest konsekwencja egzekwowania wprowadzonych reguł.