Bezpieczeństwo danych i systemów IT w 6 krokach

Przeczytaj także: Bezpieczeństwo IT w 2015 roku: czego należy oczekiwać?

• Sprawdzenie lokalizacji firmy i zabezpieczeń budynku.
• Przeanalizowanie, czy z piętra, na którym znajduje się siedziba firmy, można łatwo przeprowadzić ewakuację i jak szybko w przypadku niebezpieczeństwa pracownicy będą bezpieczni. Zawsze trzeba pamiętać, że to pracownicy stanowią prawdziwą wartość firmy.
• Sprawdzeniu podlegają również zagrożenia geologiczne i cywilizacyjne.
• Należy dokładnie sprawdzić, z jakich zabezpieczeń korzysta administrator budynku
  i przejrzeć raporty z przeprowadzonych planów ewakuacyjnych.

• O podstawowe zabezpieczenia osobowe dba administrator budynku.
• Wydzielenie strefy bezpieczeństwa w biurze i kontrolowanie przepływu pracowników. Pamiętać trzeba, że osoby w działach przetwarzania danych osobowych (dane poufne) podlegają rejestrowi osób z uprawnieniami do przetwarzania tych danych. Osoby bez takich uprawnień nie powinny mieć dostępu do pomieszczeń / obszarów, gdzie dane te są przetwarzane. Dodatkowymi obszarami, jakie można wydzielić, są działy księgowości / IT / produkcji / koncepcyjne. Wszystko musi być dostosowane do wielkości i charakterystyki firmy.
• Należy rozważyć wewnętrzną ochronę fizyczną, niezależną od ochrony świadczonej przez administratora budynku.
• Bezpieczeństwo osobowe to także analiza osób, które zatrudniamy. Coraz powszechniejszym sprawdzaniem pracowników jest wymóg poświadczenia niekaralności. Koszty takiego poświadczenia często w ostatnim etapie rekrutacji (przed podpisaniem umowy) pokrywa pracodawca. Informuje się jednak potencjalnego pracownika o takim działaniu i otrzymuje się jego zgodę na pozyskanie takiego opisu. Potencjalni pracownicy często spotykają się z rekruterami, którzy przeprowadzają psychologiczne testy, mające określić stan emocjonalny przyszłego pracownika. Pracownicy powinni podlegać półrocznej / corocznej ocenie oraz, co bardziej popularne, ocenie 360 stopni, gdzie pracownicy anonimowo oceniają przełożonych.
• Poza zatrudnionymi pracownikami są jeszcze osoby, które zapraszamy do biura. Administrator budynku, który jest pierwszą linią ochrony, daje nam możliwość przyjmowania gości. Jeżeli prowadzimy działalność specyficzną i nietypową, tym bardziej powinniśmy zwracać uwagę na osoby, które odwiedzają nasze biuro. Jeżeli zaś prowadzimy działalność, która nie cieszy się powszechnym zaufaniem (np. firma windykacyjna) powinniśmy szczególnie dbać o bezpieczeństwo. Tym sposobem zabezpieczamy naszych pracowników.

• Najczęstszym wyciekiem z firm jest kradzież danych dokonana przez pracowników niezadowolonych z pracy lub takich, którzy dostali ofertę na sprzedaż danych z ich firm.
• Powszechnie stosowany jest podział zabezpieczeń równoważny z podziałem fizycznym dostępu do biura. Zabezpieczenia klasy DLP (Data Leak/Leakage/Loss Protection/Prevention) również są coraz powszechniejsze. Pozwala to na kontrolę przepływu danych w organizacji. Możemy również znakować dokumenty i zarządzać uprawnieniami dostępowymi do nich.
• Po wdrożeniu DLP ma miejsce ograniczanie dostępu do powszechnego Internetu, a przynajmniej do portali i stron, które umożliwiają wysyłanie plików i danych. Należy pamiętać, że do czatu na portalach społecznościowych również można załączać pliki.
• Wprowadzanie drukowania na kody pracownicze lub karty jest z sukcesem wdrażane i realizowane przez firmy, które cenią sobie bezpieczeństwo danych. W ślad za drukowaniem dokumentów powinno iść oznaczanie dokumentów, których nie można drukować lub których drukowanie wymaga zgody odpowiednich osób.

• Coraz więcej firm na rynku oferuje wsparcie w zabezpieczeniu dostępu do naszych danych z zewnątrz, czyli obrony przed atakami hakerskimi. Po raz kolejny należy pamiętać o stosowaniu zabezpieczeń odpowiednich do wielkości firmy, jak i danych w naszym posiadaniu.
• Jeżeli nasi pracownicy mają możliwość pracy zdalnej należy pamiętać o zabezpieczeniu połączeń VPN i tego, do czego pracownik korzystający z takich połączeń powinien mieć dostęp.
• Dbajmy o niezależność sieci WiFi dla gości od sieci do użytku wewnętrznego firmy. Należy ukryć wewnętrzną sieć WiFi i konfigurować ją poprzez zdalne nadawanie polityk z AD / LDAP (systemy wspierające autentykację użytkowników).

Przeczytaj także: BYOD zmniejsza bezpieczeństwo danych firmowych