Polityka bezpieczeństwa
Wraz z rozwojem Internetu, coraz więcej firm decyduje się udostępnić swój system informacji swoim partnerom i dostawcom. Dlatego też tak ważne jest, aby wiedzieć, które z zasobów systemu informacji firmy muszą być chronione i do których z nich dostęp powinni mieć tylko uprawnieni użytkownicy. Ta sama zasada obowiązuje w sytuacji, gdy chodzi o nadanie w firmie dostępu do Internetu.
Co więcej, biorąc pod uwagę fakt, iż w dzisiejszym społeczeństwie jest coraz bardziej popularny system pracy zdalnej i to z różnych zakątków świata, który pozwala pracownikom na łączenie się z systemem informacji z różnych miejsc, są oni tym bardziej zobowiązani do przestrzegania zasad bezpieczeństwa dotyczących konsultowania informacji poza infrastrukturą bezpieczeństwa w obrębie firmy.
Wprowadzenie do bezpieczeństwa
Ryzyko w kontekście bezpieczeństwa można przedstawić za pomocą poniższego schematu:
Zagrożenie przedstawia rodzaj potencjalnie szkodliwego zachowania, podczas gdy Czułe punkty (czasem nazywane brakami lub lukami) reprezentują poziom narażenia na zagrożenia w konkretnym kontekście. Z kolei Powzięte środki to całość działań wcielonych w życie, by zapobiec zagrożeniu.
Pod pojęciem powziętych środków nie kryją się jedyne techniczne rozwiązania mające na celu uniknięcie zagrożenia, ale również szkolenia dla użytkowników podnoszące poziom ich świadomości na ten temat oraz jasno zdefiniowane zasady bezpieczeństwa.
W celu zapewnienia bezpieczeństwa systemowi, potencjalne zagrożenia, ale też możliwe ruchy ze strony przeciwnika powinny być przewidywane z wyprzedzeniem. Stąd też celem tego dokumentu jest dostarczenie pobieżnego przeglądu możliwych powodów działań hakerów, ich kategoryzacja oraz przybliżenie metod ich działań, w celu zmniejszenia ryzyka ataku na system.
Cele bezpieczeństwa IT
Systemy informacji zazwyczaj obejmują wszystkie dane posiadane przez firmę, sprzęt oraz oprogramowanie umożliwiające firmie przechowywanie i przetwarzanie tych danych. Systemy informacji są zatem nieodzownym elementem każdej firmy i muszą być chronione.
Utrzymanie bezpieczeństwa IT polega zatem na zarządzaniu sprzętem, oprogramowaniem i danymi tak, aby były one używane jedynie zgodnie ze swoim przeznaczeniem.
Bezpieczeństwo IT składa się z pięciu głównych filarów:
- Integralność: gwarancja, że dane faktycznie zawierają te informacje, które powinny.
- Poufność: pewność, że jedynie uprawnione osoby mają dostęp do wymienionych informacji.
- Dostępność: gwarancja dostępu do danych w każdym momencie.
- Brak odmowy dostępu: gwarancja braku odmowy dostępu przy przeprowadzaniu operacji.
- Uwierzytelnianie: gwarancje, że jedynie uprawione osoby mogą korzystać z udostępnionych zasobów.
Poufność
Poufność polega na uczynieniu informacji nieczytelną dla wszystkich osób poza tymi, które uczestniczą w konkretnej operacji.
Integralność
Weryfikacja integralności danych polega na stwierdzeniu, czy były one zmieniane podczas transmisji (celowo lub przypadkowo).
Dostępność
Celem tego filaru jest gwarancja dostępu do zasobów i usług.
Brak odmowy dostępu
Brak odmowy dostępu do informacji gwarantuje, że osobom uprawnionym nie może zostać odmówiony dostęp do danych w jakimkolwiek momencie operacji.
Uwierzytelnianie
Uwierzytelnianie polega na potwierdzeniu tożsamości użytkownika, co znaczy, że gwarantuje, iż każda ze stron faktycznie jest tym, za kogo się podaje. Kontrola dostępu (na przykład za pomocą szyfrowanego hasła) służy więc temu, by dostęp do danych miały jedynie upoważnione osoby.
Potrzeba globalnego przybliżenia problemu
Bezpieczeństwo systemu informacji często jest pojmowane metaforycznie. Wielu porównuje go do łańcucha, którego moc zależy zarówno od najmnocniejszego, jak i od najsłabszego ogniwa. Można to również porównać do sytuacji, w której nawet najlepiej zabezpieczone drzwi nie służą niczemu, jeżeli zostawimy szeroko otwarte okna.
Wszystko to znaczy, że kwestia bezpieczeństwa musi być zaplanowana na lokalnej i globalnej płaszczyźnie oraz musi zawierać następujące elementy:
- Uświadamianie i uczulanie użytkowników na kwestie bezpieczeństwa.
- Logiczna ochrona, na przykład: na poziomie danych, szczególnie danych firmy, wszystkich aplikacji, a nawet systemu operacyjnego.
- Bezpieczeństwo telekomunikacyjne: technologie sieciowe, serwery firmy, dostęp do sieci itd.
- Fizyczne bezpieczeństwo lub bezpieczeństwo infrastruktury sprzętu: pokój kontrolny (dyspozytornia), miejsca dostępne dla wszystkich, przestrzeń wspólna w firmie, stanowiska pracy itd.
Wprowadzanie w życie Polityki Bezpieczeństwa
System bezpieczeństwa IT zasadniczo ogranicza się do zagwarantowania poprawnego dostępu do danych systemowych i zasobów za pomocą systemu uwierzytelniania i kontroli, co zapewnia z kolei, że osoby korzystające z danych są do tego upoważnione.
Niemniej jednak mechanizmy bezpieczeństwa mogą byc sprawiać niektórym użytkownikom kłopot, szczególnie że instrukcje oraz reguły bardzo często stają się bardzo skomplikowane w miarę rozrastania się sieci. Dlatego też kwestie związane z bezpieczeństwem IT muszą być opracowywane i rozwijane w taki sposób, by umożliwić użytkownikom dostęp do informacji i narzędzi niezbędnych do wykonywania ich pracy.
Z wszystkich wymienionych powyżej powodów, zdefiniowanie Polityki bezpieczeństwa powinno być jednym z pierwszym kroków podjętych przez każdą firmę, a całość działań powinna się opierać na następujących filarach:
- Rozpoznanie potrzeb bezpieczeństwa IT, potencjalnych zagrożeń i ich konsekwencji.
- Spisanie reguł i procedur niezbędnych do rozpoznania ryzyka we wszystkich działach firmy.
- Monitorowanie i wykrywanie informacji na temat słabych punktów systemu oraz braków i luk powstałych w używanych aplikacjach i sprzęcie.
- Zdefiniowanie działań, jakie mają być podjęte oraz osób, które mają być poinformowane w przypadku wykrycia zagrożenia.
Polityka bezpieczeństwa to całość reguł i procedur jakie organizacja (w ogólnym tego słowa znaczeniu) aplikuje. Z tego powodu powinna być ona stworzona przez kadrę zarządzającą, ponieważ dotyczyć będzie wszystkich użytkowników systemu.
Zgodnie z tą zasadą, to rolą kadry zarządzającej, a nie administratorów IT, jest zdefiniowane, którym użytkownikom zostaną nadane prawa dostępu. Z kolei rolą administratora IT jest zagwarantowanie, że zarówno zasoby IT, jak i dostęp do nich zgodne są z zasadami polityki bezpieczeństwa zdefiniowanej przez organizację.
Co więcej, mając na uwadze, że administrator jest jedyną osobą zarządzającą systemem, jest on / ona zobowiązany zapewnić dyrekcji bezpieczeństwo informacji, doradzać w podejmowaniu decyzji dotyczących strategii do wprowadzenia w życie oraz być punktem odniesienia dla użytkowników mających problemy z zasadami bezpieczeństwa lub pytania z nimi związane.
Bezpieczeństwo IT każdej firmy zależy od przyswojenia przez pracowników (użytkowników) reguł dotyczących bezpieczeństwa oraz ich uczestnictwa w szkoleniach pogłębiających ich świadomość w tym temacie. Niemniej jednak kwestia bezpieczeństwa musi zdecydowanie wykraczać poza te ramy i obejmować następujące dziedziny:
- Fizyczny i logiczny mechanizm zabezpieczeń zaadaptowany do potrzeb firmy oraz jej pracowników.
- Procedura zarządzania aktualizacjami.
- Dobrze zaplanowana strategia backup'u.
- Plan naprawczy po incydencie.
- System regularnie uzupełniany o nowe dokumenty.
Przyczyny braku bezpieczeństwa
Możemy je podzielić na dwie główne kategorie:
- Aktywny stan braku bezpieczeństwa,na przykład: niewiedza użytkownika na temat funkcjonalności systemu oraz elementów, które mogą być szkodliwe dla systemu (na przykład: nie wyłączanie niepotrzebnych użytkownikowi usług sieciowych).
- Pasywny stan braku bezpieczeństwa, na przykład: brak znajomości zastosowanych w miejscu pracy środków bezpieczeństwa (jeżeli na przykład administrator lub użytkownik systemu nie wiedzą, jakimi urządzeniami zabezpieczającymi dysponują).
Zdjęcie: © Martial Red - Shutterstock.com
Zobacz również
- Polityka bezpieczeństwa
- Pakiet bezpieczeństwa millennium - Praktyczne porady -Internet
- Ze względów bezpieczeństwa ograniczamy liczbę próśb o kody zabezpieczające w określonym czasie. aby uzyskać pomoc w uzyskaniu dostępu do konta, dowiedz się więcej lub spróbuj później. - Internet Forum
- Polityka film cda - Praktyczne porady -Internet
- Sprawdzanie bezpieczeństwa linku ✓ - Wirusy / Bezpieczeństwo Forum
- Kopia bezpieczeństwa android - Praktyczne porady -Android
Ten dokument zatytułowany "Polityka bezpieczeństwa" opublikowany przez CCM (pl.ccm.net) jest udostępniany na licencji Creative Commons. Możesz kopiować i modyfikować kopie tej strony, na warunkach określonych przez licencję i wymienionych w niniejszym tekście.