Tworzenie polityk bezpieczeństwa w firmie

17.12.2012 M S Tagi: ,

Pisząc poprzednie artykuły dotyczące m.in zabezpieczania haseł w systemach onlineudostępniania systemów na zewnątrz firmowej sieci LAN, czy też przechowywania danych w urządzeniach mobilnych, pomyślałem, że może warto spojrzeć na zagadnienie bezpieczeństwa od nieco innej, ogólnej strony. Do tej pory starałem się opisywać poszczególne tematy, jednak wszystkie one prowadzą w jednym kierunku – jak zadbać o zapewnienie kontroli nad własnymi danymi i urządzeniami oraz infrastrukturami. Przeciętnemu użytkownikowi komputera podłączonemu do internetu powinno wystarczyć stosowanie kilku podstawowych zasad (np. program antywirusowy z aktualnymi bazami, zabezpieczanie haseł, szyfrowanie danych lub nawet odrobina wiedzy i zdrowego rozsądku). Jak to jednak wygląda w firmach? Czy wystarczą takie proste metody?

Podejście firmy do bezpieczeństwa musi być uzależnione od jej wielkości, profilu i sposobu działania. W działalności jednoosobowej sytuacja przedstawia się bardzo podobnie jak dla użytkowników „cywilnych” – wystarczy odpowiednie podejście i świadomość zagrożeń. Drobna różnica polega na tym, że nawet w tak małej organizacji powstają produkty, które mogą być cenne dla konkurencji (jeżeli firma dostarcza unikatowe usługi może być „na celowniku” firm z tej samej branży). W tym przypadku bardzo niebezpieczna jest niedbałość i ignorowanie podstawowych zasad bezpieczeństwa. Nie są jednak konieczne specjalne metodyki zabezpieczania danych i sieci – właściciel sam powinien wiedzieć co ma robić w danej sytuacji lub zapewnić odpowiednich specjalistów – wtedy sposoby działania muszą być w jakimś stopniu sformalizowane. Nie chodzi oczywiście o skomplikowane procedury i procesy, a bardziej o określenie odpowiedzialności poszczególnych osób czy zespołów dla uniknięcia nieporozumień – przykładowo specjalista d/s bezpieczeństwa odpowiada za odpowiedni poziom konfiguracji komputerów i serwerów, a właściciel jest osobą kontrolującą prace.

Dla firmy zatrudniającej wiele osób (kilkanaście – kilkadziesiąt) nie jest już tak łatwo zapewnić akceptowalny poziom bezpieczeństwa z punktu widzenia potencjalnych zagrożeń i włamań. Z reguły tak liczne firmy tworzą wartościową wiedzę, której utrata może być bardzo bolesna i może zagrozić istnieniu firmy. Trzeba stworzyć procedury, określające działania, czynności i sposoby radzenia sobie z zagrożeniami, a przede wszystkim prewencja i unikanie niebezpieczeństwa. Procedury bezpieczeństwa w takiej firmie mogą określać dozwolone i zabronione działania pracowników, jak w przykładzie poniżej:

  1. Pracownik ma zakaz instalowania na komputerze własnego lub pobranego z sieci oprogramowania bez zgody pracodawcy
  2. W przypadku stwierdzenia problemów z oprogramowaniem antywirusowym pracownik ma obowiązek powiadomić o tym fakcie pracodawcę
  3. Zabronione jest ściąganie z internetu pirackich materiałów i programów i przechowywanie takich plików na dyskach twardych komputerów i serwerów firmowych
  4. W przypadku otrzymania podejrzanej wiadomości e-mail z nieznanego źródła z załącznikiem, należy skasować taką wiadomość bez jej otwierania, a tym bardziej uruchamiania załączonych plików
  5. …..itd…..
Lista powyżej wydaje się prosta i oczywista, ale uwierzcie, że spora część firm nie posiada nawet tak sformalizowanych zasad postępowania, a administratorzy nie dbają, aby na serwerach mailowych były odpowiednio skonfigurowane filtry przeciwspamowe, czy też nie weryfikują konfiguracji poszczególnych komputerów (co jest często niewykonalne).
Utworzenie krótkiej, nawet jednostronicowej instrukcji (a tak naprawdę uproszczonej polityki bezpieczeństwa) i przeszkolenie pracowników (a najlepiej wpisanie tych zasad do regulaminu pracy w firmie) spowoduje, że każdy się przynajmniej zastanowi, zanim wykona coś groźnego w skutkach.
W firmie tej wielkości procedury są ważne, ale powinny także im towarzyszyć odpowiednie konfiguracje infrastruktury – zabezpieczenia sieci, strefy zdemilitaryzowane, firewalle, bezpieczne serwery pocztowe, itd. Bez zaplecza technicznego nawet najlepiej wyszkoleni użytkownicy nie pomogą w zapewnieniu bezpieczeństwa na wymaganym poziomie.
Duże firmy, lub nawet korporacje międzynarodowe, muszą zupełnie inaczej budować świadomość użytkowników i wyznaczać granice. Może być tak, że gotowe procedury i metody postępowania są wytyczane z firmy-matki ulokowanej za granicą, gdzie specjaliści w ciągu wielu lat działalności wypracowali standardy stosowane we wszystkich działach organizacji. Zwykle są na tyle uniwersalne, że działają wszędzie, pozwalając na pewien stopień elastyczności w zależności od kraju (np. dopasowanie do lokalnych przepisów prawa). To pozwala firmom szybko narzucić odpowiednie ograniczenia dla zapewnienia bezpieczeństwa.
Firmy, które nie mają takich gotowych procedur, lub te narzucone są zbyt ogólne, muszą same zatroszczyć się o stworzenie kompletnej polityki bezpieczeństwa. W odróżnieniu od niewielkich firm, tu procedury muszą być naprawdę szczegółowe i obejmować praktycznie każdy aspekt działalności – od podstawowych zasad podobnych do listy przedstawionej powyżej dla mniejszych firm, do szczegółowych zaleceń dotyczących stosowanych w firmie technologii i zabezpieczeń. Nie da się w tym artykule przedstawić takiej polityki, ale może ona w zarysie wyglądać jak poniżej:
  1. Rodzaje informacji – np. prywatne, poufne, tajne – wraz ze szczegółowymi zasadami postępowania w każdym z przypadków
  2. Procedury dla instalacji oprogramowania – zakaz instalacji własnego oprogramowania i opis poszczególnych grup uprawnień użytkowników (np. osobne uprawnienia administracyjne na komputerach lokalnych, możliwość instalacji oprogramowania po akceptacji odpowiedniego wniosku itd.)
  3. Zabezpieczanie połączeń z zewnątrz – np. konieczność dostępu do sieci firmowej przez VPN, określenie wymagań technicznych
  4. Zasady zabezpieczania serwerów WWW – stosowanie połączeń https, certyfikatów itd.
  5. Itp.
Powyżej jest przedstawionych jedynie kilka punktów z często kiludziesięciopunktowej listy zagadnień – dla zapewnienia odpowiedniego bezpieczeństwa musi być opisany każdy aspekt (nawet takie wydawałoby się trywialne zagadnienie jak zakaz udostępniania hasła do swojej skrzynki pocztowej lub konieczność blokowania wyświetlacza komputera przy odejściu od biurka). Taki dokument może mieć kilkadziesiąt stron i nie nadaje się do zapoznania przez przeczytanie. Musi być przygotowane streszczenie najważniejszych zagadnień dla wszystkich użytkowników, a w razie potrzeby czy konkretnego wniosku o dostęp do usług uruchamiane są kolejne procedury. Ważne jest to, żeby dział zajmujący się bezpieczeństwem w firmie był angażowany we wszystkie przedsięwzięcia, wdrożenia i inicjatywy. Dobrą praktyką jest przeprowadzanie analiz bezpieczeństwa w każdym projekcie i weryfikacja, jaki wpływ może mieć np. wdrożenie systemu self-care na bezpieczeństwo danych.
Przygotowanie polityki bezpieczeństwa i zestawu procedur nie ma na celu ograniczania pracowników – służy obniżeniu ryzyka i zagrożenia firmy włamaniem, wyciekami danych i nieświadomymi działaniami użytkowników. Aby zapewnić przynajmniej podstawową wiedzę o polityce bezpieczeństwa każdy z nowych pracowników firmy powinien otrzymać wyciąg z dokumentacji do zapoznania się, zanim rozpocznie pracę, a dodatkowo powinny być przeprowadzane cykliczne szkolenia przypominające. Wszystko to ma na celu uniknięcie działania użytkowników zgodnie z zasadą „co nie jest zabronione, jest dozwolone”, co niestety jest zgubne i powoduje wycieki list adresów mailowych, włamania i inne nieprzyjemności. Najczęściej wystarcza odpowiednia edukacja (np. wyjaśnianie dlaczego nie należy otwierać załączników i klikać w otrzymywane linki.
Wdrożenie dobrej polityki ma także wpływ na personel pracujący w tle (administratorów, programistów itp.), którzy w nieświadomości mogą np. pozostawić hasła domyślnie zakładane w trakcie instalacji oprogramowania – kombinacje username/password, admin/admin lub zwroty w stylu „qwerty” to mocne niedopatrzenie i może spowodować poważne konsekwencje. Szczegółowa polityka bezpieczeństwa może pozwolić tego uniknąć poprzez np. narzucenie zmian haseł natychmiast po instalacji, cykliczne audyty, wdrożenie wymuszenia zmiany hasła co pewien okres czasu. Kompleksowe działania w skali całej firmy i dotyczące wszystkich pracowników, pomogą osiągnąć cel – wysoki poziom bezpieczeństwa.
avatar

M S

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *