Polskie firmy a ochrona danych

Przeczytaj także: Sieci firmowe nie są gotowe na cyberataki

Według raportu GUS Społeczeństwo Informacyjne w Polsce 2006 – 2010, polityka bezpieczeństwa danych, która zawiera kluczowe procedury ochrony najważniejszych dokumentów cyfrowych, wdrożona została jedynie w jednym na 10 polskich przedsiębiorstw. Eksperci Kroll Ontrack zauważają, że w oparciu o dane przedstawione w raporcie GUS oraz ich własne analizy, polskie przedsiębiorstwa pozostają jednymi z najgorzej zabezpieczonych firm w Europie pod kątem ochrony kluczowych danych komputerowych, w tym plików zawierających klauzule poufności, dane osobowe klientów czy strategiczne umowy biznesowe.

Stworzenie odpowiedniej polityki bezpieczeństwa danych pozwala tymczasem na zabezpieczenie się w przypadku wycieku danych spowodowanych nie tylko przez nieuczciwych pracowników, lecz także w przypadku utraty danych z powodu awarii sprzętu bądź ich przypadkowego skasowania. Chroni także firmy przed stratami finansowymi, które w przypadku braku dostępu do kluczowych danych mogą wynieść nawet 500 tys. złotych dziennie.

Wśród głównych błędów związanych z polityką bezpieczeństwa danych i zabezpieczeniem danych polskich przedsiębiorstw, specjaliści Kroll Ontrack wymieniają m.in.

Brak procedur prawnych dotyczących ochrony infrastruktury IT podczas zatrudniania nowych pracowników – w umowie o pracę bądź w regulaminie powinny zostać określone takie sytuacje, jak użytek komputera do celów osobistych czy przechowywanie prywatnych danych. Ponadto w firmie powinna zostać wdrożona procedura tzw. Data Collection, zabezpieczająca dane z urządzeń elektronicznych użytkowanych przez pracownika.

Nie stosowanie zaleceń stworzonej polityki bezpieczeństwa – wiele firm, które poświęciły czas i środki finansowe na przygotowanie polityki bezpieczeństwa w ogóle nie korzysta z wypracowanych rozwiązań. Firmy ograniczają się jedynie do spełnienia wymogu wybranych norm, co skutkuje brakiem świadomości pracowników w kwestii podjęcia odpowiednich działań w momencie zagrożenia dla danych ich przedsiębiorstwa.

Brak szkoleń pracowników – firmy powinny organizować cykliczne szkolenia dla pracowników w zakresie ochrony kluczowych danych. Szkolenia powinny dotyczyć zarówno ochrony danych przechowywanych na firmowych urządzeniach, jak i reguł używania informacji np. na portalach społecznościowych, które coraz częściej stanowią źródło poufnych informacji dotyczących firmy.

Brak przeprowadzania audytów bezpieczeństwa – wzorem zachodnich korporacji, firmy powinny cyklicznie (średnio raz do roku) przeprowadzać audyty śledcze, które badają możliwość wycieku danych i pomagają określić, które dane są najbardziej narażone na utratę.

Brak procedur kasowania danych – firmy powinny wprowadzić szczegółowe procedury kasowania danych na nośnikach, które nie są już przez firmy używane i wystawione zostają na sprzedaż lub są przekazywane poza firmę. W przypadku przetwarzania danych osobowych, procedury kasowania danych określane są ustawowo w ramach ustawy o Ochronie Danych Osobowych.

"Głównym problemem związanym z zabezpieczeniem firmowych danych jest podejście kadry zarządzającej do ich ochrony. Firmy błędnie zakładają bowiem, że w momencie zakupu konkretnego oprogramowania bądź wybranych rozwiązań, są już w pełni bezpieczne. Tymczasem polskie firmy powinny rozpocząć procedurę ochrony strategicznych informacji od szczegółowej analizy, która wskazuje, które informacje rzeczywiście należy chronić, gdzie są one przechowywane i przetwarzane oraz na jakie ryzyka narażone. Jedynie tworzona od podstaw polityka bezpieczeństwa danych pozwoli bowiem ochronić biznes przed wielomilionowymi stratami i utratą zaufania klientów" - mówi Paweł Odor, główny specjalista polskiego oddziału Kroll Ontrack.

Według ekspertów Kroll Ontrack, najlepszymi zabezpieczeniami ochrony danych dysponują największe firmy, w tym polskie oddziały zagranicznych korporacji, niezależnie od tego czy działają w branży IT czy też w innych sektorach biznesu. Potwierdzają to wyniki tegorocznego raportu GUS, w którym wśród firm posiadających politykę bezpieczeństwa danych 40 procent to duże przedsiębiorstwa, 20 procent średnie, natomiast jedynie 10 procent to małe firmy.