10 zasad bezpieczeństwa informacji dla małych i średnich firm

10 zasad bezpieczeństwa informacji dla małych i średnich firm

Specyfika małych i średnich firm. Duże organizacje coraz częściej doceniają porządek w dokumentach, regularne wykonywanie kopii bezpieczeństwa oraz stosowanie wewnętrznej polityki bezpieczeństwa. W małych i średnich firmach często panuje bałagan w dokumentacji. Dzieje się tak dlatego, że danych jest na tyle mało, że pracownicy i kierownictwo są w stanie w (wydaje się) krótkim czasie odnaleźć lub odtworzyć każdą informację. Jednak małe firmy rosną. Na pewnym etapie rozwoju czas odnalezienia dokumentów staje się zbyt długi. Dodatkowo duża rotacja pracowników powoduje, że szef nie może skorzystać z pamięci podwładnych. Na tym etapie wiele małych firm się rozpada.

Ile trzeba mieć pracowników, aby dojść to takiego etapu? To zależy od specyfiki procesów występujących w firmie. W przypadku bardzo prostej działalności szef może bez trudu zarządzać 20-stoma pracownikami. Jednak, gdy działalność jest bardziej zróżnicowana lub skomplikowana, już 6-8 pracowników może stworzyć "masę krytyczną".

Oprócz zwykłych metod porządkowania dokumentacji, które właściciele firm znają, konieczne jest równoległe stosowanie polityki bezpieczeństwa, która zapewni możliwość  ciągłego korzystanie z niezbędnej dokumentacji.

Rodzaje informacji które powinny być chronione. Każda organizacja musi sobie odpowiedzieć na pytanie: jakie informacje powinniśmy chronić? Najczczęściej odpowiedź będzie brzmiała: informacje o klientach, dane personalne naszych pracowników, know-how, informacje strategiczne związane z różnymi obszarami funkcjonowania firmy. Należy określić ważność poszczególnych typów informacji (ustalić priorytety). Zależnie od ważności, będziemy stosować droższe lub tańsze zabezpieczenia.

Kolejne pytanie brzmi: przed kim chcemy je chronić? Badania przeprowadzone w Wielkiej Brytanii pokazały, że 2/3 pracowników rozstając się z pracodawcą, wynosi wartościowe informacje. Tą kwestię rozwiniemy w kolejnych artykułach. Dziś skupmy się na zapewnieniu dostępności informacji.

Dokumenty papierowe. W naszych organizacjach wciąż mamy sporo dokumentów papierowych, o których bardzo łatwo zapominamy tworząc system bezpieczeństwa. Bardzo częstym błędem (również konsultantów) jest skupianie się wyłącznie na dokumentacji elektronicznej. Tymczasem teczki personalne najczęściej są w formie papierowej.

Zalecanym rozwiązaniem jest uproszczenie systemu zabezpieczeń, a więc stosowanie podobnych zabezpieczeń dla różnych typów danych. Dlatego dobrą propozycją jest skanowanie wszystkich dokumentów papierowych i archiwizacja ich w formie elektronicznej. Zmniejsza to koszty i podnosi jakość zabezpieczeń. Umożliwia też zastosowanie szyfrowania danych, co w przypadku kartki papieru jest co najmniej utrudnione.

Utrzymywanie zabezpieczeń kosztuje. Początkowo dla małej firmy nie będzie to problemem, jednak z czasem można będzie zauważyć, że musimy kupować kolejne urządzenia (dyski, streamery, urządzenia sieciowe), aby podołać naszym procedurom tworzenia kopii bezpieczeństwa.

Powinniśmy to przewidzieć już na początku. Dla każdego typu danych trzeba okreslić czas przechowywania. To pozwoli ograniczyć przyrost danych, a także przyspieszy poszukiwanie informacji. W tym ostatnim przypadku, korzystne jest doinstalowanie programów indeksujących i wyszukujących informacje (beagle, google desktop, itp. - o ile poziom poufności na to pozwala).

Konieczne jest opracowanie procedury usuwania niepotrzebnych informacji, która da nam niemal 100% pewności, że nie skasujemy wartościowych danych.

Wymagania prawne. Mało który przedsiębiorca wie, że oprócz podstawowych zasady ochrony danych osobowych, obowiązuje go szereg ustaw i rozporządzeń okreslających zasady przechowywania danych. Określają one jakie informacje można przechowywać, jak długo, jaki może być poziom zabezpieczeń, itp. Rozpoznanie prawa w tym zakresie powinno być pierwszym krokiem podczas informatyzacji firmy.

System nazewnictwa plików. Bardzo proste, a jakże pomocne. Powinniśmy opracować system nazywania plików. Minęły już czasy, gdy plik mógł mieć 8 znaków nazwy. Dziś nazwy mogą być znacznie dłuższe. Dzięki temu możemy więcej informacji zamieścić w nazwie. Opracowanie systemu nazewnictwa, obejmującego np. typy dokumentów, status dokumentów, ważność, adresatów, znacznie usprawni naszą pracę w dłuższym czasie. Obecni pracownicy odejdą, przyjdą nowi, a system nazewnictwa zostanie. Dzięki temu nowi pracownicy będą w stanie znaleźć stare dokumenty.

Bezpieczeństwo opiera się na pracownikach. W małych i średnich firmach rzadko zatrudnia się ekspertów informatyków. Najczęściej są to studenci lub domorośli informatycy. Zatrudnienie eksperta jest kosztowne. Niektóre organizacje zlecają usługi informatyczne na zewnątrz. Trudno sobie wyobrazić, że przy każdej awarii informatyk będzie musiał samodzielnie uruchamiać procedury odzyskiwania danych. Należy tak zaprojektować system, aby przynajmniej część działań mogli wykonać zwykli pracownicy. Zatem system kopii zapasowych powinien być prosty i łatwy do zastosowania.

Pracowników należy szkolić w tym zakresie i okresowo przeprowadzać ćwiczenia. W przeciwnym przypadku kopii zapasowych możemy nie robić, bo i tak ich nie odzyskamy.

Automatyzacja backupu. Na ile to możliwe, procesy tworzenia kopii zapasowych powinny być zautomatyzowane, niemożliwe do przerwania przez pracownika. Jeśli tworzenie kopii zapasowej obciąża komputer, to pracownik wyłączy ten proces, aby móc sprawniej pracować. Skutki mogą się ujawnić za tydzień, albo za rok.

Kopia zapasowa poza firmą. Dziś nośniki danych są dość tanie. Można z łatwością skopiować dane i zanieść np. do domu, gdzie będzie przechowywana kopia zapasowa na czarną godzinę. Tu jednak przestroga: jeśli wynosisz dane z firmy, to upewnij się, że poziom zabezpieczeń kopii zapasowej w czasie transportu i przechowywania jest nie niższy, niż oryginalnych danych w firmie. W najprostszym przypadku - zaszyfruj dane dobrym szyfrem z użyciem długiego klucza i Twoje dane będą zabezpieczone.

 

Ponad połowa kopii zapasowych nie daje się odtworzyć*. Kiedy ostatnio sprawdzałeś, czy kopia bezpieczeńśtwa może zostać odtworzona? W jakich warunkach możesz ją odtworzyć? Czy możesz to zrobić na dowolnym komputerze, czy tylko na tym jednym w pracy? A jeśli komputer w pracy się rozsypie?

Regularne ćwiczenie odtwarzania kopii zapasowych jest kluczowe dla bezpieczeństwa systemu. W jednej z firm usługowych, pracownik przyzwyczajony był, że do utworzenia kopii bezpieczeństwa bazy danych wystarczy skopiować pliki na płytę CD. Jednak nowa wersja oprogramowania korzystała z innego silnika bazy danych, który wymagał uruchomienia programu generującego kopie bezpieczeństwa. Pracownik jednak nie zmienił swoich zwyczajów. Awaria, która zdarzyła się rok później spowodowała, że przez 2 tygodnie firma nie funkcjonowała. Straciła wiele tysięcy złotych oraz kilku kluczowych klientów.

Testuj regularnie czy umiesz odtworzyć backup. Dobrze zrobiona kopia powinna dać się odtworzyć w każdych (niemal polowych) warunkach. Nie rób kopii w sposób, który wymaga do jej odtworzenia oryginalnego komputera.

To jeszcze nie koniec. To tylko podstawy. Jednak od czegoś trzeba zacząć. :-)

* - no może trochę przesadziłem. :-)

Zdjęcie: SparkFun Electronics, Flicker.com, CC