» Software-Konferencje        » Software-Wydawnictwo       » Referencje       » Złoty Bit      » Plan imprez       » Kontakt
     



GigaCon   SQAM   Lexinar - Prawo, ...   Business Energizing Factory   ISecMan   IT Underground   Linux Techshare   Business Process Management   Internet Banking Security   Sector Development Center   Xpose  
Szkolenia  |  Konsultacje  | Konferencje  | Referencje  | Certyfikaty ISecMan  |  


W dzisiejszych czasach informacyjne zasoby firm są coraz ważniejszym aktywem biznesowym i coraz ważniejsza staje się też ich ochrona. Niewiele osób wie, że zaledwie 20% przypadków naruszenia bezpieczeństwa informacji dotyczy IT, a ponad 2/3 wynika z powodu błędu ludzkiego i to popełnionego przez pracowników danej firmy. Skuteczne wdrożenie polityki bezpieczeństwa, wbrew pozorom, nie jest takie proste.





Po co polityka bezpieczeństwa?


Jak wiadomo, informacje to nie tylko dane przechowywane na dyskach komputerowych lub w postaci papierowych dokumentów. To również wiedza przekazywana podczas rozmów telefonicznych oraz ta zawarta w głowach pracowników firmy. Przepływ informacji wewnątrz firmy stanowi podstawę jej konkurencyjności i płynności finansowej. Coraz częściej też utrzymanie konkurencyjności wiąże się z wdrażaniem usług informatycznych, które mają na celu polepszenie przepływu informacji. Ważne jest jednak, by wdrażać te usługi tak, żeby zamierzone zyski nie zamieniły się w straty. Dlatego tak bardzo ważna jest polityka bezpieczeństwa informacji. Nie jest to jednak zadanie łatwe. Polityka bezpieczeństwa informacji musi być wdrażana w taki sposób, aby z jednej strony - zapewnić ciągłość działania organizacji, z drugiej zaś - zminimalizować niebezpieczeństwo oraz zmaksymalizować efektywność działań biznesowych. Tymczasem, im bardziej rozbudowane systemy i sieci informatyczne (tzn. posiadające więcej połączeń między sieciami publicznymi i prywatnymi), tym trudniejsza jest nad nimi kontrola. Nieodpowiednia rozbudowa zasobów informacyjnych w konsekwencji prowadzi do rozproszenia danych i osłabienia ich bezpieczeństwa.

Polityka nieskuteczna – więcej szkody niż pożytku


Firmy, aby ochronić swoje aktywa biznesowe, opracowują politykę bezpieczeństwa informacji w postaci zbiorów zasad i procedur, mających na celu uregulowanie sposobów utrzymywania poufności, integralności i dostępności informacji. Sposób działania jest jak najbardziej odpowiedni. Znacznie gorzej wygląda jednak realizacja.
W rzeczywistości tworzenie tak ważnych dokumentów, jak procedury ochrony informacji sprowadza się do jednego polecenia, na dodatek wydanego jednemu pracownikowi: „Opracuj politykę bezpieczeństwa informacji
– potrzebujemy tej dokumentacji, aby móc konkurować z innymi firmami”.
Od tej chwili wykonanie tak ważnej pracy spoczywa w rękach tylko jednej osoby (np. z działu IT), która do tego bardzo często ma niewielkie doświadczenie w tworzeniu procedur dotyczących polityki bezpieczeństwa informacji. Takie wdrażanie polityki bezpieczeństwa może jednak przynieść więcej szkody niż pożytku.
Pracownik, po przeanalizowaniu zleconego zdania, zaczyna dostrzegać ogrom i różnorodność aspektów związanych z polityką bezpieczeństwa. Coraz bardziej zdaje sobie sprawę ze swojej niewiedzy w wielu obszarach i zaczyna poszukiwać gotowych rozwiązań proponowanych przez różne firmy. Skuszony szybkimi rozwiązaniami i adekwatnie niskimi kosztami, kopiuje je do opracowywanego dokumentu.

Zarząd firmy wierzy z kolei, że pracownik przygotował szczegółowo opracowaną i przeanalizowaną politykę bezpieczeństwa informacji, i akceptuje ją. Następnie wdraża opracowane procedury w strukturę swojej organizacji. Schematy bezpieczeństwa informacji, które z założenia miały ułatwić i ustabilizować obieg informacji w firmie, po pewnym czasie okazują się nieżyciowe i kompletnie nieprzystosowane do procesów zachodzących w organizacji, co automatycznie powoduje, że nie są one realizowane przez pracowników. Wdrożona w ten sposób polityka bezpieczeństwa informacji z upływem czasu staje się nic nieznaczącym stosem papierów, który tylko zajmuje miejsce na półce.

W trosce o bezpieczeństwo informacji

Aby stworzyć skuteczną politykę bezpieczeństwa informacji, nie wystarczy oprzeć się na krajowych normach, które zawierają zaledwie schemat takiej polityki. Nie wystarczy więc jedynie:
Tak ważny dokument nie powinien być traktowany jak projekt, który po napisaniu można „odstawić na półkę”. Nie powinien też być zlecany do opracowywania tylko jednej osobie, lecz grupie wspartej niezależnymi konsultantami, którzy są stanie spojrzeć na strukturę organizacji kompleksowo i niezależnie. Opracowywanie i wdrażanie polityki bezpieczeństwa powinno być działaniem starannie zaplanowanym i przeanalizowanym w najmniejszych szczegółach, a co najważniejsze powinni brać w niej udział wszyscy pracownicy, jak również dostawcy, klienci i udziałowcy.
Jak już wspominaliśmy, polityka bezpieczeństwa informacji nie jest jedynie pojedynczym projektem. Jest to szereg ciągłych działań, które cyklicznie powinny być poddawane audytowi weryfikującemu kierunek rozwoju wdrożonej polityki.

Dopiero takie pojmowanie polityki bezpieczeństwa informacji pozwoli ustrzec się przed niepożądanymi skutkami wycieku bądź utraty informacji z organizacji. W dzisiejszych czasach nie możemy sobie pozwolić na zaniedbania
w tej kwestii, bo każde działanie nastawione na ograniczenia czasowe i finansowe pociąga za sobą niepożądane skutki w działalności biznesowej danej organizacji. Polityka bezpieczeństwa informacji musi być traktowana
z należną jej powagą.

Wychodząc naprzeciw Państwa potrzebom, organizacja ISecMan zaprasza do wzięcia udziału w cyklu szkoleń. Nasze szkolenia stwarzają możliwość zdobycia praktycznych umiejętności w zakresie zarządzania bezpieczeństwem informacji (projektowanie i wdrażanie polityki bezpieczeństwa informacji, planów ciągłości działania i procedur awaryjnych). Są one skierowane przede wszystkim do osób zarządzających, administratorów danych osobowych oraz informatyków projektujących i zarządzających systemami, które przechowują i przetwarzają informacje objęte ochroną. Wszystko po to, by dać Państwu możliwość uzyskania kompleksowej wiedzy, niezbędnej w skutecznym planowaniu i wdrażaniu polityki firmy w zakresie ochrony informacji.





»SPECJALISTA MYSQL
»WWW DEVELOPER
»PROGRAMISTA PHP
»Administrator ... »