5 polityk bezpieczeństwa informacji

Sprawdź, które 5 polityk bezpieczeństwa informacji musi posiadać organizacja, jeśli chce ubiegać się o certyfikację ISO/IEC 27001

Polityka bezpieczeństwa informacji ma zasadnicze znaczenie dla rozwiązania największych problemów organizacji: ich pracowników.

 

Wszystko, co robi organizacja, aby zachować bezpieczeństwo, od wdrażania najnowocześniejszych zabezpieczeń technologicznych po wprowadzenie wyrafinowanych fizycznych barier, polega na tym, że ludzie prawidłowo ich używają. Wystarczy jeden pracownik otwierający e-mail wyłudzający informacje lub wpuszczający oszusta do lokalu, aby doszło do naruszenia.

 

Celem polityki bezpieczeństwa informacji jest zapobieganie temu poprzez dostarczenie instrukcji dla pracowników jak mają się zachować w różnych sytuacjach.

 

Lista polityk organizacji może być obszerna, obejmując wszystko, co jest istotne dla ich procesów, ale poniżej opiszemy pięć, które powinny istnieć w każdej organizacji chcącej dbać o bezpieczeństwo informacji.

 

Dostęp zdalny

Czas pracy biurowej od 9 do 17 już minął. Pracownicy są często zachęcani do korzystania ze swoich telefonów w celu sprawdzania swoich służbowych wiadomości e-mail poza godzinami pracy, inni pracują podczas podróży, a od kilku ostatnich lat obserwuje się gwałtowny wzrost liczby osób pracujących w domu.

 

Jest to świetne ze względu na wydajność i elastyczność, ale stwarza również problemy związane z bezpieczeństwem. Dlatego należy ich poinstruować, co mogą zrobić, aby zapobiec naruszeniom. Zasady powinny obejmować między innymi korzystanie z publicznej sieci Wi-Fi, dostęp do poufnych informacji w miejscach publicznych i bezpieczne przechowywanie urządzeń.

 

Tworzenie hasła

Niemal wszyscy używają haseł w domu i w pracy, aby uzyskać dostęp do poufnych informacji, więc można by sądzić, że wszyscy już tworzenie haseł opanowali.

 

Niestety tak nie jest. Zhakowane hasła należą do najczęstszych przyczyn naruszeń bezpieczeństwa danych i nie jest to niespodzianką, ponieważ zazwyczaj ludzie ustawiają słabe hasła.

 

Organizacje powinny łagodzić to zagrożenie, tworząc zasady haseł zawierające szczegółowe instrukcje dotyczące tworzenia haseł. Hasła powinny być kombinacją, co najmniej ośmiu liter, cyfr i znaków specjalnych. Jednak nie zawsze gwarantuje to silne hasło, ponieważ pracownicy są nadal podatni na łatwe do odgadnięcia frazy, takie jak "Hasło1".

 

Być może lepiej zachęcić pracowników do zabierania pierwszej litery, jak również wstawiania liczb czy znaków interpunkcyjnych w tworzonym haśle.

 

Zarządzanie hasłem

Silne hasła działają tylko wtedy, gdy ich integralność pozostaje nienaruszona. Jeśli zostawisz je zapisane, udostępnisz je lub zaznaczysz "zapamiętaj to hasło" na publicznym komputerze, ryzykujesz, że wpadną w niepowołane ręce.

 

To samo dotyczy tych samych haseł na wielu kontach. Załóżmy, że haker kryminalny włamuje się do bazy danych i znajduje hasło do Twojego osobistego konta e-mail. Jeśli oszust może pracować tam, gdzie pracujesz wypróbuje to hasło na służbowej poczcie e-mail i innych kontach związanych z pracą.

 

Dlatego ważne jest, aby uwzględnić zasady nakazujące pracownikom, aby nie udostępniać haseł, nie zapisywać ich i nie używać ich na wielu kontach.

 

Przenośne urządzenia

Oszuści mogą łatwo zainfekować systemy organizacji, przenosząc złośliwe oprogramowanie na wymiennym urządzeniu, a następnie podłączając je do komputera firmowego. Wiele organizacji przeciwdziała temu zagrożeniu, banując urządzenia wymienne, opierając się na e-mailu lub chmurze do przesyłania informacji.

 

W firmie można na przykład ustawić limity mówiące o tym, kto może korzystać z urządzeń wymiennych lub poinstruować, że są one zawsze skanowane przed użyciem.

 

Dopuszczalne użycie

Menedżerowie i pracownicy często zastanawiają się, ile czasu w biurze pracownicy poświęcają na czynności niezwiązane z pracą i co robią w tym czasie.

 

Jeśli pracownik chce spędzić kilka minut sprawdzając swój osobisty adres e-mail lub sprawdzając ile osób lubi jego najnowsze posty na Instagramie, to szef nie ma na co narzekać. Tego samego nie można jednak powiedzieć, jeśli pracownik chce spędzać czas na pobieraniu plików z podejrzanej strony lub odwiedzaniu innych stron, które są znane z infekcji złośliwym oprogramowaniem.

 

Możesz zapobiec większemu ryzyku, blokując określone strony internetowe, ale nie jest to system odporny na błędy, więc powinieneś również wprowadzić politykę zabraniającą pracownikom odwiedzania witryn, które uważasz za niebezpieczne. Zasady powinny jasno określać typy stron, które są niedostępne i karę, którą każdy poniesie za naruszenie zasad.

 

Rozpocznij swoją podróż z ISO/IEC 27001 i wprowadź w swojej organizacji najskuteczniejszy system bezpieczeństwa informacji. Aby uzyskać na ten temat więcej informacji skontaktuj się z naszym biurem telefonicznie, pod numerem tel. 22 649 76 64 lub wyślij wiadomość za pośrednictwem formularza kontaktowego.

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies