Polityka bezpieczeństwa IT – co zawiera i dlaczego jest konieczna w firmie?

Polityka bezpieczeństwa to kluczowy dokument dla każdej firmy, która poważnie podchodzi do kwestii ochrony zasobów informatycznych i infrastruktury sprzętowej. Dlaczego jest ważna i co powinna zawierać?

Czy w firmie w której pracujesz, jest wdrożona polityka bezpieczeństwa IT?

W wielu firmach zagadnienia związane z cyberbezpieczeństwem są po prostu ignorowane. Przedsiębiorstwa nie mają zdefiniowanej polityki bezpieczeństwa, a jak już ją mają, to… większość pracowników nie stosuje się w pełni do zaleceń w niej zawartych.
Najlepiej pokazują to badania przeprowadzone we wrześniu 2021 r. na zlecenie firmy Sophos wśród pracowników w Polsce, Czechach i na Węgrzech. [1] Niespełna połowa pracowników polskich firm (48%) uważała, że w ich firmie niezbędne jest wdrożenie polityki bezpieczeństwa, ale już tylko 42% kadry deklarowała znajomość tych zasad i ich przestrzeganie. Aż co dziesiąty uczestnik ankiety przyznawał, że często nie stosował się do firmowej polityki bezpieczeństwa.
Brak polityki bezpieczeństwa to nie tylko problem małych i średnich firm. Zaskakująco często tego dokumentu nie posiadają duże, międzynarodowe przedsiębiorstwa. Polityki bezpieczeństwa nie ma większość firm zgłaszających się do SEBITU. Najczęściej tego typu brak odkrywany jest w sytuacji krytycznej, po ataku celowanym, kiedy jest niestety za późno na jakiekolwiek reakcje. [2]
Warto pamiętać, że najsłabszym ogniwem zawsze pozostaje pracownik. Prawie 90% infekcji i włamań wynika właśnie z błędu ludzkiego, w tym ignorowania polityki i zasad bezpieczeństwa, o czym szerzej pisałem w artykule o szkoleniach z cyberbezpieczeństwa dla pracowników >>. Nie wystarczą zabezpieczenia systemowe (PAM >> kontrola dostępu, WAF >>, MACsec itp.) ważne jest również przestrzeganie zasad bezpieczeństwa, które dotyczą całej kadry — od pracowników produkcji po managerów wyższego szczebla.

Przeczytaj również: Cyberataki i malware – rodzaje i metody działania przestępców

Co powinno podlegać szczególnej ochronie w firmie?

Co chronić w firmie, aby zminimalizować ryzyko ataku? Wszystko zależy od rodzaju prowadzonego biznesu. Do danych wymagających szczególnej ochrony należą najczęściej:

• dane osobowe (pracowników, klientów),
• informacje organizacyjne,
• dane dostępowe do sieci wewnętrznej, systemów IT,
• informacje finansowe, informacje o realizowanych kontraktach (zarówno planowane, bieżące, jak i historyczne),
• informacje stanowiące o przewadze konkurencyjnej przedsiębiorstwa,
• inne informacje oznaczone jako „informacji poufne” lub „dane poufne.

Jak widać dane, które musimy chronić, dotyczą wielu obszarów. Polityka bezpieczeństwa powinna uwzględniać je wszystkie, szczególnie te ważne dla danego przedsiębiorstwa.

Czym jest polityka bezpieczeństwa?

Polityka bezpieczeństwa to dokument, który określa najważniejsze zasady dotyczące ochrony zasobów fizycznych i informatycznych IT przedsiębiorstwa. Zawiera zbiór jasnych, precyzyjnych i dobrze zdefiniowanych reguł i wytycznych związanych z ochroną danych i zasobów informatycznych.

Polityka bezpieczeństwa nie jest pojęciem jednoznacznym. Dotyczy wielu sfer działalności firmy. W praktyce możemy mieć do czynienia z kilkoma rodzajami dokumentów.

• Polityką bezpieczeństwa dla całej organizacji, w której wyszczególnione są podstawowe procedury bezpieczeństwa wymagane od pracowników.
• Polityką bezpieczeństwa dedykowaną określonemu systemowi. W tym przypadku zasady polityki bezpieczeństwa ograniczone są do konkretnego systemu informatycznego lub sieci wdrożonej w firmie.
• Polityką bezpieczeństwa w rozumieniu Ustawy o Ochronie Danych Osobowych, która określa zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa (np. informacji niejawnych).

Poza tym polityki bezpieczeństwa mogą dotyczyć określonego, wąskiego zagadnienia, który jest związany z działalnością organizacji np.

• wytycznych związanych z kontrolą dostępu określających na jakich zasadach pracownicy mogą uzyskać dostęp do zasobów firmy;
• zasad reagowania na incydenty, w których otrzymujemy wytyczne jak reagować na każdorazowe naruszenie bezpieczeństwa i w trakcie jego trwania.

Dlaczego polityka bezpieczeństwa jest tak ważna?

Z jednej prostej przyczyny. Jej brak lub niestosowanie się do wytycznych zawartych w polityce bezpieczeństwa może doprowadzić do cyberataku i naruszenia bezpieczeństwa danych, a w efekcie do ogromnych strat finansowych i wizerunkowych firmy.

• Zapisane zasady w polityce bezpieczeństwa porządkują i ujednolicają procedury. Mamy jasne i proste wytyczne, do których pracownicy mają się stosować i z których możemy ich rozliczać.
• W razie pojawienia się potencjalnego zagrożenia nie będzie chaosu informacyjnego i paniki.
• Wdrożenie polityki bezpieczeństwa w firmie ma również wymiar edukacyjny – podnosi wiedzę pracowników z zakresu cyberbezpieczeństwa. W ten sposób mamy pewność, że w naszej firmie kadra jest uświadomiona i podchodzi do tych zagadnień z większym zaangażowaniem.

Co zawiera polityka bezpieczeństwa IT?

Nie istnieje szablon czy uniwersalny wzór polityki bezpieczeństwa. Każdy tego typu dokument powinien być zawsze indywidualnie przygotowany dla wybranej organizacji. Przed zdefiniowaniem zbioru zasad i wytycznych należy przeprowadzić gruntowny audyt bezpieczeństwa aplikacji >> i infrastruktury sprzętowej IT >>, który pomoże nam wykryć luki zagrożenia i zdefiniować określone procedury zachowania w razie sytuacji kryzysowej.

Podstawowymi zasadami, na których opiera się polityka bezpieczeństwa, są:

• Zasada poufności informacji (gwarantuje, że dostęp do określonych danych mają tylko i wyłącznie osoby do tego upoważnione)
• Zasada integralności informacji (dane nie mogą ulec modyfikacji przez osoby trzecie)
• Zasada dostępności systemów i danych (dane mogę być udostępnione tylko w określonym momencie i w określony sposób np. przez pracownika w godzinach jego pracy)

W polityce bezpieczeństwa powinny być zawarte jasne i przejrzyste wskazówki dla pracowników, które definiują zagrożenia i ustalają zasady, które pomogą im zapobiec.

W dokumencie mogą być omówione następujące kwestie:

• sposoby ochrony dostępu do danych na stacjach roboczych;
• zasady ustalania i wykorzystywana haseł przez pracowników;
• odpowiedzialność pracowników za dane dostępowe do systemów i odpowiedzialności za dane poufne;
• edukacja pracowników w zakresie bezpieczeństwa;
• ustalenia związane z przetwarzaniem, udostępnieniem poufnych danych;
• sposoby i wytyczne związane z monitoringiem bezpieczeństwa;
• regulacje dotyczące ochrony danych osobowych;
• kwestie ochrony sieci lokalnej (LAN);
• zabezpieczenia systemów IT / serwerów;
• wytyczne dotyczące dokumentowania incydentów bezpieczeństwa;
• zasady korzystania z firmowej infrastruktury IT w celach prywatnych;
• tworzenie kopii zapasowych;
• publiczne udostępnianie infrastruktury IT;
• procedury reagowania na naruszenie bezpieczeństwa;
• regulacje dotyczące dostępu do systemów IT po rozwiązaniu umowy o pracę;
• metody weryfikacji przestrzegania polityki bezpieczeństwa przez pracowników.

W zależności od potrzeb polityka bezpieczeństwa może być wzbogacona o dokumentację dodatkową, która uszczegóławia pewne zagadnienia np. metody uwierzytelniania do sieci WLAN czy sposoby korzystania z kont uprzywilejowanych >>.

Polityka bezpieczeństw a akty prawne

Warto nadmienić, że polityka bezpieczeństwa nie jest dokumentem prawnie wymaganym. Nie musimy jej posiadać, jednak jest to rekomendowane. Jej wdrożenie i zdefiniowanie należy do wewnętrznych procedur przedsiębiorstwa. W przygotowaniu polityki bezpieczeństwa należy opierać się na konkretnych ustawach i stosować się do dyrektyw Unii Europejskiej.
Podstawową normą standaryzującą systemy zarządzania bezpieczeństwem informacji jest ISO 27001. Omawia aż 11 kluczowych obszarów bezpieczeństwa i zawiera specyfikację Systemów Zarządzania Bezpieczeństwem Informacji (SZBI).

Do pozostałych dokumentów i ustaw należą między innymi:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
• Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, (art. 10 ustawy wg którego operatorzy mają obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej).
• Ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
• Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
• Unijna dyrektywa PSD2 (Payment Services Directive 2), która dotyczy głównie sektora finansów i bankowości.

Kto powinien zająć się wdrożeniem polityki bezpieczeństwa?

Jak wspomniałem wcześniej, polityka bezpieczeństwa to kluczowy dokument, który pomaga zabezpieczyć infrastrukturę sprzętową i dane przechowywane w firmie. Polityka musi być ściśle dopasowana do specyfiki prowadzonego biznesu i struktury firmy. Zawsze powinna być poprzedzona audytem, który warto zlecić firmie zewnętrznej.
W związku, z tym że wytyczne i zasady zawarte w dokumencie obejmują kilka obszarów bezpieczeństwa prace nad przygotowaniem spójnej polityki powinny być też poprzedzone rozmowami z poszczególnymi działami firmy. Przy przygotowywaniu dokumenty należy skonsultować się m.in. z działem finansów, kadr czy zasobów ludzkich, aby uwzględnić wszystkie potencjalne luki i zagrożenia.
Zazwyczaj pieczę nad przygotowaniem, rozwojem i aktualizacją polityki bezpieczeństwa sprawuje główny specjalista do spraw bezpieczeństwa w firmie. Jeżeli takiej osoby/stanowiska nie ma, najlepiej zlecić tego typu zadanie firmie zewnętrznej, która będzie wykonywać audyt.

Chcesz zdefiniować politykę bezpieczeństwa w firmie?

Przypisy:

1. Zabezpieczenia: znamy, często stosujemy [dostęp 27.05.2022r.]
2. CRN Vademecum Q1/2022 [dostęp 27.05.2022r.]