Ewa Żak-Lisewska, dyrektor ds. rozwoju w braf.tech, w komentarzu eksperckiem dla ISBtech o danych jako składniku majątku firmy i cyberbepieczeństwie.
Informacja jest jednym spośród wielu składników majątku firmy. Bezpieczeństwo danych, szczególnie tych gromadzonych, przetwarzanych i przesyłanych za pośrednictwem narzędzi informacyjno-komunikacyjnych, nabiera obecnie szczególnego znaczenia.
Jednak jak pokazują ostatnie dane GUS, mniej niż co piąte przedsiębiorstwo w Polsce szkoli swoich pracowników w zakresie ICT. Tymczasem kultura bezpieczeństwa cybernetycznego w miejscu pracy może decydować nawet o istnieniu firmy.
Jak taką kulturę zbudować?
Przede wszystkim należy mieć świadomość, że zabezpieczenia technologiczne czy wykwalifikowany personel działów IT to istotne, ale niewystarczające elementy bezpieczeństwa informacji. Trzeba pamiętać, że najważniejszym i często też najsłabszym ogniwem każdego systemu jest człowiek.
Wystarczy jedno zaniedbanie pracownika, aby firma miała kłopoty, zarówno wizerunkowe, jak i prawne, będące konsekwencją np. wycieku danych. Prosty przykład: firma ma programy szyfrujące, ale użytkownicy po pierwsze – nie wiedzą, że określone dokumenty wymagają szyfrowania, po drugie – nie umieją zaszyfrować pliku i nie wiedzą, jak prawidłowo przekazać hasło.
Zatem w kontekście kształtowania i doskonalenia kultury bezpieczeństwa informacji wagi nabiera wiedza, umiejętności oraz budowanie właściwych nawyków wśród „zwykłych użytkowników komputerów”.
Doskonałym punktem wyjścia jest przeprowadzenie audytu otwarcia, który pomoże zidentyfikować słabe punkty w procesach funkcjonujących w firmie, a także pokaże poziom wiedzy pracowników na temat bezpieczeństwa ICT. Warto taki audyt zlecić specjalistom, którzy sprawdzą np. czy pracownicy skorzystają z pozostawionych w różnych miejscach w biurze pendrive’ów, pozwolą obcej osobie wpiąć się do sieci firmowej, udzielą odpowiedzi na fałszywy mail czy wejdą w podejrzany link. Ważne jest też, aby nadzorować, czy uprawnienia są prawidłowo nadawane użytkownikom w organizacji oraz przekazywać know-how. Na bazie pozyskanej wiedzy firma powinna opracować i wdrożyć działania doskonalące.
Traktując firmę jako spójny organizm…
należy przyjąć podejście, że każdy pracownik swoim codziennym postępowaniem wpływa na ograniczenie ryzyka dla bezpieczeństwa informacji. Kluczową rolę w tworzeniu kultury organizacyjnej, która potrafi zarządzać ryzykiem, odgrywa najwyższe kierownictwo, które stale powinno podkreślać wagę ochrony informacji. Co więcej, zarząd musi wspierać pracowników w zdobywaniu wiedzy na temat pożądanych zachowań w kontekście bezpieczeństwa cyfrowego, m.in. poprzez organizację szkoleń.
Szkolenie to musi realnie prezentować zarówno korzyści z zakresu bezpieczeństwa, jak i ryzyka w przypadku ignorowania obowiązujących w firmie zasad. Zarządzanie ryzykiem jest procesem ciągłym i wymagającym zaangażowania wszystkich pracowników oraz utrzymywania i podnoszenia wiedzy w organizacji.
Wiele firm w Polsce bagatelizuje znaczenie bezpieczeństwa ICT albo zaczyna przykładać do tego odpowiednią wagę dopiero po wystąpieniu incydentów bezpieczeństwa. Pamiętajmy jednak, że w przypadku wycieku wrażliwych danych w firmie, szkody, zarówno materialne, jak i wizerunkowe mogą być tak duże, że dana organizacja tego nie przetrwa.
braf.tech to polska spółka, która od 10 lat tworzy innowacyjne aplikacje dopasowane do potrzeb dużych i średnich firm, zarówno z Polski jak i zza granicy. Zapewniamy kompleksową obsługę IT w zakresie tworzenia, integracji, optymalizacji i rozwoju rozwiązań, a także dzielimy się wiedzą naszych ekspertów podczas specjalistycznych szkoleń. Specjalizuje się w tworzeniu aplikacji dedykowanych, jak np. systemy Access Management dla firm działających w zgodzie z regulacjami SOX. Oferuje także wsparcie w zakresie Lotus Notes czy raportowania z wykorzystaniem XML oraz XBRL.
