Zasady właściwej ochrony danych w Twojej Firmie

Jak firmy mogą ustrzec się przed atakami z Sieci ?

Firma, niezależnie czy jest ogromną korporacją, firmą średniej wielkości, czy małą, rodziną, zwykle nie dostrzega zagrożeń i niebezpieczeństw, jakie mogą wyniknąć ze złej gospodarki danymi czy wręcz całkowitym brakiem zabezpieczeń, które ochronią ją przed szpiegostwem przemysłowym.

Wiele osób wciąż uważa, że jedynym sposobem kradzieży poufnych firmowych danych pozostaje wyniesienie ich w formie dokumentów lub na nośnikach danych. Tymczasem okazuje się, że współcześni cyberprzestępcy nie potrzebują już żadnych wewnętrznych kontaktów w firmie – wystarczy im dostęp do Internetu oraz trochę czasu, aby złamać zazwyczaj mało skomplikowane zabezpieczenia chroniące newralgiczne dane.

Jak więc firmy mogą ustrzec się przed atakami i jak odpowiednio chronić ważne dla siebie informacje oraz dane? Oto kilka najważniejszych zaleceń, których zachowanie w ogromnym stopniu zwiększy poziom bezpieczeństwa przechowywanych danych.

1. Segregacja hierarchiczna danych firmowych, czyli szczegółowe przypisaniu dokumentacji firmowej, umowom, projektom odpowiedniej hierarchii ważności – które dokumenty należy chronić w wyjątkowym stopniu i kto może mieć do nich dostęp; które mogą być przekazywane pracownikom niższego szczebla, a które bez przeszkód mogą ujrzeć światło dzienne. Pozwoli to na zaoszczędzenie czasu jak i środków, które możemy poświęcić bezpośrednio na ochronę najistotniejszych i najważniejszych dokumentów.
2. Odpowiednia polityka bezpieczeństwa, czyli unormowanie stosunków dostępu do konkretnych danych. Określamy jasno granice: jedynie pracownicy z kierownictwa mają dostęp do danych najbardziej poufnych, zaś pracownicy niższego szczebla operować będą tylko na danych mało ważnych. Takie działania pozwalają chronić informacje firmowe przed dostaniem się w niepowołane ręce. Ponadto precyzyjne zasady dotyczące bezpośredniego zarządzania danymi (zasoby nie mogą być one zgrywane na zewnętrzne nośniki) oraz dodatkowe zabezpieczenia w postaci haseł, znanych tylko wybranym użytkownikom.
3. Zachowanie odpowiedniej ochrony przed wirusami oraz szeroko rozumianym złośliwym oprogramowaniem. Obecnie jest to nie tylko wymóg związany ze zdrowym rozsądkiem, ale też zawarty w zaleceniach Unii Europejskiej. Każdy firmowy komputer – czy pracuje się na nim w pracy czy też w domu – powinien mieć zainstalowane aktualne oraz legalne oprogramowanie antywirusowe, zapobiegając tym samym w dużym stopniu ewentualnemu wypłynięciu i kradzieży firmowych danych.
4. Właściwie zabezpieczona wewnętrzna sieć informatyczna, dzięki której pracownicy mogą się ze sobą porozumiewać czy przesyłać dane. Połączenia otwarte VPN powinno odbywać się  na bezpiecznym i sprawdzonym sprzęcie i tylko w przypadkach, które faktycznie tego wymagają. Im dłużej bowiem nawiązywane jest tego typu połączenie, tym większe ryzyko, że osoby trzecie niepostrzeżenie wykradną przesyłane dane lub wręcz włamią się do jednego z komputerów. Istotnym elementem powinno być także szyfrowanie wiadomości e-mail oraz newralgicznych danych. Chodzi o podpis elektroniczny oraz procesy uwierzytelniania danych (tak zwane certyfikaty poufności). Wysłana, zaszyfrowana wiadomość e-mail może być w tym przypadku odszyfrowana dopiero przez właściwego adresata – osoba trzecia nie będzie miała z niej żadnego pożytku.
5. Szkolenie pracowników, których powinniśmy uświadamiać w zakresie bezpieczeństwa. Zakaz wynoszenia danych na nośnikach zewnętrznych, sposoby przechowywania ważnych informacji w formie papierowych dokumentów to absolutna podstawa wiedzy i minimalny zakres szkoleń.
6. Właściwy podział ról w firmie – administrator sieci firmowej zajmujący się IT nie powinien być jednocześnie odpowiedzialny za jej bezpieczeństwo. Dodatkowo uprawnienia poszczególnych pracowników powinny się od siebie różnić, tak jak zakres danych, do których mają dostęp. Ważne dane są strzeżone przez ściśle określoną grupę osób, która cieszy się powszechnym zaufaniem i odpowiednią pozycją w firmie.
7. Hasła. To właśnie one sprawiają, że dostanie się do poufnych danych staje się trudniejsze i wymaga dodatkowych procesów weryfikacyjnych i uwierzytelniania. Warto stosować takie rozwiązania jak smart cards oraz tokeny, które odblokowują dostęp do danych jedynie w przypadku, gdy poprawnie zostanie wpisany identyfikator, hasło oraz hasło uwierzytelniające. Bardziej zaawansowane technologie to czytniki linii papilarnych, DNA czy soczewek oka.

Zachowanie powyższych zaleceń wydatnie zmniejszy ryzyko, jakie przedsiębiorca ponosi w związku z prowadzeniem działalności gospodarczej w zakresie ochrony newralgicznych danych swojej Firmy.