Bądź bezpieczny– szanuj dane 2

Bądź bezpieczny– szanuj dane 2 Jan Stastny (stock.xchng)

Fizyczne narzędzia ochrony danych używane są w każdej firmie - to nie tylko przedmioty, ale i procesy zapobiegawcze. Zwykle są proste w obsłudze, a zasadność ich używania nie podlega dyskusji. Niemniej nietrudno o przykłady zaniedbań w tym zakresie.

Bezpieczeństwo informacji to proces, na który składają się trzy elementy: informacja – narzędzia – ludzie. Choć zdrowy rozsądek wydaje się skutecznym narzędziem, niniejszy cykl ma na celu omówienie najczęstszych zagrożeń i sposobów ich zapobiegania. W pierwszej części wymieniliśmy korzyści wynikające z przestrzegania zasad bezpieczeństwa informacji, w kolejnych skupimy się na narzędziach ochrony danych, które możemy podzielić na trzy grupy: narzędzia fizyczne, technologiczne i administracyjne.


Wychodząc z domu z oczywistych powodόwnie zapominamy o zamknięciu drzwi na klucz - ta sama zasada obowiązuje przy ochronie danych. Pomieszczenie, w którym są przechowywane należy strzec jak własnego domu. W tym celu stosujemy narzędzia fizyczne, takie jak np. klucze do biura czy do szafek z aktami osobowymi.


Mówiąc o zamykanych szafkach warto zadać sobie pytanie czy wszystkie dokumenty papierowe powinny w takiej właśnie formie być przechowywane. Niekiedy zmusza nas do tego ustawodawstwo, niemniej gdy tak nie jest, znacznie bezpiecznej jest chronić dane unikając ich drukowania. Jest to nie tylko bardziej ekologiczne, ale rόwnież pozwala uniknąć naruszeń w zakresie bezpieczeństwa informacji.


Wyobraźmy sobie, że charakter naszej pracy zakłada bezpośredni kontakt z klientem, który może przyjść do biura.. Czy na naszym biurku powinny wtedy znajdować się dokumenty z widocznymi na pierwszej stronie danymi osobowymi? A czy wychodząc z biura jesteśmy pewni, że dokumenty są bezpieczne, nawet gdy pomieszczenie jest zamknięte? Znajoma księgowa opowiedziała mi kiedyś pouczającą historię, w której ona sama stała się ofiarą szpiegostwa handlowego uprawianego przez panią sprzątającą. A zatem – biurko w pracy zasadniczo różni się od jego domowego odpowiednika i nie możemy zakładać, że ktokolwiek oprόcz nas samych będzie przy nim dbał o poufność danych.


Jeżeli siedziba firmy znajduje się w biurowcu, najprawdopodobniej pracownicy używają elektronicznych przepustek lub kart. Dodatkowo takie budynki zwykle są pod nadzorem ochroniarzy, jak i pod czujnym okiem kamer. Ten zestaw środków bezpieczeństwa to ewolucja narzędzia fizycznego jakim jest klucz. Wydawałoby się więc, że nie ma możliwości, aby nikt niepowołany znalazł się w pobliżu naszego miejsca pracy. A jednak – to zwykle nie narzędzia zawodzą, ale ich użytkownicy, czyli my sami.


Co robimy?


Budzimy się rano, szybka kawa, prysznic i już pędzimy do pracy. Pod biurem orientujemy się, że przepustka została w domu. Co robimy? Zwracamy się do ochroniarzy lub recepcjonisty, aby zupełnie wyjątkowo wpuścił nas do budynku. Zazwyczaj podziała, ale teoretyczne nie powinno. Możemy też zadzwonić do przełożonego lub kolegόw z pracy. Taka sytuacja nie jest groźna, o ile nasza twarz wygląda znajomo. Co jednak, gdy podchodzi do nas z analogiczną prośbą osoba podająca się za nowego pracownika? W takiej sytuacji nie możemy być pobłażliwi. Powinniśmy zapytać, kto jest jego przełożonym i to z tą osobą w pierwszej kolejności się skontaktować. Również, gdy nasze biuro odwiedzają goście lub pracownicy techniczni, zawsze ktoś im towarzyszy. Nie dzieje się tak wyłącznie z poczucia gościnności, lecz ma na celu ochronę poufnych informacji.


Narzędzia fizyczne nie zawsze są konkretnymi przedmiotami, są nimi również procesy. Dobrym przykładem może tu być walidacja. Jest to dodatkowy szczebel kontroli czy dany produkt lub usługa, a w naszym przypadku dokument z poufnymi danymi, został skonstruowany prawidłowo pod kątem formy i zawartości oraz zgodnie z proceduramii. Ma to ogromne znaczenie w przypadku umów, gdyż wszelkie pomyłki lub niejasności bardzo trudno jest zweryfikować i naprawić, szczegόlnie jeśli wymagają zaangażowania osόb trzecich. Tego rodzaju błędy powodują utratę zaufania, a dodatkowo pobudzają ciekawość. Wystarczy, że w umowie o pracę, bazując na wypracowanym wzorze dokumentu, wpiszemy wynagrodzenie osoby, dla której sporządzaliśmy dokument wcześniej lub przez niedopatrzenie przesuniemy przecinek w kwocie. Przy prawidłowo wdrożonym i działającym procesie walidacji, z prawdopodobieństwem graniczącym z pewnością błąd zostanie skorygowany. W przeciwnym razie konsekwencje mogą być niezwykle poważne (włączając w to ryzyko naruszenia ustawy poprzez udostępnienie informacji o zarobkach innego pracownika).


Fizyczne narzędzia służą jednak nie tylko ochronie informacji przed niepowołanymi ludźmi, ale i przed nieszczęśliwymi wypadkami. W tym ujęciu wykrywacz dymu również jest takim narzędziem, ponieważ pozwala na szybkie zidentyfikowanie zagrożenia i uratowanie przechowywanych danych. Bardziej zaawansowanym narzędziem w takich przypadkach jest tzw. planowanie ciągłości działania (z ang. Business Continuity). W dużych organizacjach, takich jak Alexander Mann Solutions, plan ten służy wznowieniu pracy w razie katastrofy lub klęski żywiołowej. W jego ramach firma z wyprzedzeniem organizuje możliwość przeniesienia działalności do lokalizacji zapasowej oraz zabezpiecza narzędzia i zasoby. Przy opracowywaniu planu konieczne jest przeprowadzenie testόw oraz zidentyfikowanie zagrożeń związanych z taką niecodzienną sytuacją.


Nasz kontakt z powierzoną informacją wpisać można w pewien cykl. Najpierw ją otrzymujemy i analizujemy, następnie przetwarzamy i przechowujemy, niekiedy ją przekazujemy, aż wreszcie – niszczymy. Również tę ostatnią czynność należy wykonywać starannie. Jeżeli dane są przechowywane w formie elektronicznej na dysku twardym komputera, należy je usunąć nie tylko z bieżącej lokalizacji, ale i z komputerowego kosza. Jeżeli nagrane są na płycie CD o jednokrotnej możliwości nagrywania lub w formie papierowej należy zarówno płytę jak i dokument zniszczyć w niszczarce.


Fizyczne narzędzia ochrony danych używane są w każdej firmie - to nie tylko przedmioty (klucze, przepustki, alarm przeciwwłamaniowy, kamery, niszczarki), ale i procesy zapobiegawcze (walidacja, planowanie ciągłości działania). Zwykle są proste w obsłudze, a zasadność ich używania nie podlega dyskusji. Niemniej nietrudno o przykłady zaniedbań w tym zakresie, a konsekwencje pozornie błahych odstępstw mogą być poważne.


Ewelina Czarnik


Autorka jest pracownikiem firmy Alexander Mann Solutions


Ewelina Czarnik Alexander Mann Solutions