5 polityk bezpieczeństwa informacji, które musi posiadać organizacja, jeśli chce ubiegać się o certyfikację ISO/IEC 27001
Wszystko, co robi organizacja, aby zachować bezpieczeństwo informacji, począwszy od wdrażania najnowocześniejszych zabezpieczeń technologicznych po wprowadzenie wyrafinowanych fizycznych barier, ma sens jedynie wtedy, gdy ludzie to rozumieją i prawidłowo z tego korzystają. Wystarczy jeden pracownik otwierający zainfekowany e-mail wyłudzający informacje lub wpuszczający oszusta na teren firmy, aby doszło do naruszenia.
Celem polityki bezpieczeństwa informacji jest zapobieganie temu poprzez dostarczenie pracownikom instrukcji, w jaki sposób mają się zachować w różnych sytuacjach.
Lista polityk może być obszerna, obejmując wszystko, co jest istotne dla procesów organizacji. Poniżej przedstawimy pięć polityk, które powinny istnieć w każdej firmie chcącej zadbać o bezpieczeństwo informacji.
Polityka zdalnego dostępu
Na przestrzeni kilku ostatnich lat obserwujemy gwałtowny wzrost liczby osób pracujących z domu. Wpływ na to ma nie tylko pandemia covid, ale również wygoda i czynniki ekonomiczne. Rozwój technologii sprawia również, że dziś nikogo już nie dziwi dostęp do służbowej poczty e-mail na telefonie komórkowym lub praca podczas podróży służbowej.
Oczywiście wszystkie te rozwiązania są niezwykle przydatne ze względu na wydajność i elastyczność pracowników, ale stwarzają również spore zagrożenia związane z bezpieczeństwem informacji. Dlatego należy ich poinstruować, co trzeba zrobić, aby zapobiec tym naruszeniom. Polityka powinna obejmować między innymi zasady korzystania z publicznej sieci Wi-Fi, dostęp do poufnych informacji w miejscach publicznych, bezpieczne przechowywanie urządzeń, a także zasady łączenia się z firmowymi systemami informatycznymi.
Polityka tworzenia haseł
Niemal wszyscy używają haseł w domu i w pracy, aby zabezpieczyć dostęp do poufnych informacji. Można by zatem sądzić, że zasady tworzenia bezpiecznych haseł zostały opanowane do perfekcji.
Niestety tak nie jest. Wykradzione hasła należą do najczęstszych przyczyn naruszeń bezpieczeństwa danych i nie jest to żadną niespodzianką. Dzieje się tak, ponieważ ludzie zazwyczaj ustawiają słabe hasła lub korzystają z tego samego hasła logując się do wielu systemów.
Organizacje powinny minimalizować to zagrożenie, opracowując zasady tworzenia bezpiecznych haseł, częstotliwości ich zmiany oraz instrukcje dotyczące ich przechowywania. Hasła powinny być kombinacją, co najmniej dwunastu małych i wielkich liter, cyfr i znaków specjalnych. Jednak zastosowanie się do tej instrukcji nie zawsze gwarantuje sukces, gdyż pracownicy nadal są podatni na tworzenie łatwych do zapamiętania i efekcie łatwych do odgadnięcia haseł takich jak "Haslo12!@".
Polityka zarządzania hasłami
Silne hasła działają tylko wtedy, gdy ich poufność pozostaje nienaruszona. Jeśli zostawisz je zapisane, udostępnisz je lub zaznaczysz "zapamiętaj to hasło" na publicznym komputerze, ryzykujesz, że wpadną w niepowołane ręce.
To samo dotyczy używania tego samego hasła do logowania się na wielu kontach. Załóżmy, że haker włamuje się do bazy danych i wykrada Twoje hasło. Prawdopodobnie spróbuje wykorzystać je, aby zalogować się również do innych systemów. Dlatego tak ważne jest, aby w polityce uwzględnić zasady zakazujące używania jednego hasła do wielu kont, a także zakazujące pracownikom udostępniania i zapisywania swoich haseł na kartkach i w innych miejscach, z których mogą zostać łatwo wykradzione. Dobrym pomysłem na to, aby ułatwić zarządzanie wieloma hasłami jest wykorzystanie menedżera haseł.
Polityka korzystania z wymiennych nośników danych
Oszuści mogą łatwo zainfekować systemy organizacji, przenosząc złośliwe oprogramowanie na wymiennym nośniku danych, a następnie podłączając je do komputera firmowego. Wiele organizacji przeciwdziała temu zagrożeniu, blokując możliwość podłączenia takiego urządzenia do komputera, zamiast tego opierając się na e-mailu lub chmurze do przesyłania i udostępniania plików.
Oprócz tego można także wprowadzić ograniczenia mówiące o tym, kto może korzystać z urządzeń wymiennych a także określić zasady nakazujące skanowane takiego urządzenia przed użyciem.
Polityka dopuszczalnego użytkowania
Menedżerowie często zastanawiają się, ile czasu pracownicy poświęcają na czynności niezwiązane z pracą i co robią w tym czasie.
Jeśli pracownik chce spędzić kilka minut sprawdzając swoją prywatną pocztę e-mail lub sprawdzając ile osób polubiło jego najnowszy wpis na LinkedIn, to szef nie powinien mieć dużych powodów do zmartwień. Tego samego nie można jednak powiedzieć, jeśli pracownik wykorzystuje ten czas na pobieranie plików z podejrzanych stron internetowych lub odwiedzaniu witryn, które mogą być źródłem infekcji złośliwym oprogramowaniem.
Można ograniczać ryzyko, blokując określone strony internetowe, ale należy pamiętać, że nie jest to system odporny na błędy. Lepszym rozwiązaniem może być wprowadzenie polityki określającej, co wolno, a czego nie wolno robić na służbowym sprzęcie. Zasady powinny jasno określać typy stron, które są niedostępne i karę, którą każdy poniesie za naruszenie zasad.
Informacje są obecnie jednym z najcenniejszych zasobów każdej organizacji. Dlatego warto poświęcić sporo uwagi ich bezpieczeństwu. Jeśli uważasz podobnie, już dziś rozpocznij swoją podróż z ISO/IEC 27001 i poznaj najskuteczniejszy system bezpieczeństwa informacji. Aby uzyskać więcej informacji na ten temat skontaktuj się z naszym biurem telefonicznie, pod numerem tel. 22 649 76 64 lub wyślij wiadomość za pośrednictwem formularza kontaktowego.