Strategia bezpieczeństwa cyfrowego nie może być dana organizacji raz na zawsze. Ważne, aby działania mające na celu zapewnienie ciągłości i stabilności działania systemów informatycznych były systematyczne analizowane i dostosowywane do zmieniających się potrzeb firmy i rzeczywistości okołobiznesowej.
CZYM JEST STRATEGIA BEZPIECZEŃSTWA CYFROWEGO?
Strategia bezpieczeństwa to nic innego jak wdrożona w danej jednostce polityka bezpieczeństwa odnosząca się do zasobów cyfrowych firmy – zarówno do warstwy hardware, jak i software.
Powinna ona definiować przede wszystkim wykorzystywaną przez firmę infrastrukturę informatyczną (serwery, laptopy, komputery stacjonarne, różne systemy, w których przechowywane są dane cyfrowe), rodzaje i kategorie danych elektronicznych generowanych i przechowywanych przez firmę, określać rodzaje użytkowników i poziomy przyznawanych im uprawnień w zakresie dostępu do danych, a także wskazywać miejsca przechowywania informacji, zasady wykonywania kopii zapasowych oraz mechanizmy reagowania w przypadku zdarzeń skutkujących brakiem dostępu do informacji wywołanych przez incydenty zachodzące wewnątrz organizacji, bądź czynniki zewnętrzne od niej niezależne, jak wypadki losowe i ataki cybernetyczne. Procedury w zakresie bezpieczeństwa powinny uwzględniać również zasady komunikacji w firmie oraz przepływu i organizacji dokumentacji, a także szkolenia personelu.
KTO POWINIEN WDROŻYĆ STRATEGIĘ BEZPIECZEŃSTWA CYFROWEGO?
Strategię powinno wdrożyć każde przedsiębiorstwo, wykorzystujące w swej pracy dane cyfrowe, zwłaszcza jeśli są one rozproszone w wielu różnych miejscach, np. na komputerach pracowników, czy w kilku bazach wykorzystywanych przez firmę. Strategia taka nie musi być wielotomowym dokumentem, ale zwięzłym i przejrzystym zbiorem zasad i wytycznych uruchamianych w nagłych przypadkach, tak by zminimalizować efekty zdarzenia skutkującego brakiem dostępu do danych.
Wiele podmiotów, zwłaszcza małych firm zupełnie nie przywiązuje wagi do tego obszaru funkcjonowania przedsiębiorstwa, skupiając się na strategicznej działalności firmy, czyli pozyskiwaniu klientów i realizacji na ich rzecz sprzedaży, bądź świadczenia usług, w których organizacja się specjalizuje. Takie podejście podyktowane jest zwykle niezdawaniem sobie sprawy przez właścicieli firm z roli jaką dane cyfrowe odgrywają dziś w życiu każdej firmy i nieprzewidywania skutków braku dostępu do nich w przypadku awarii dysku twardego, czy wykasowania informacji przez pracownika – dopiero utrata danych składnia do refleksji nad ich wartością.
Bardzo często małe przedsiębiorstwa nie outsourcują zadań z zakresu IT na zewnętrz, tym bardziej nie posiadają również w swoich szeregach specjalistów od IT, a w razie awarii sprzętu pomocy udziela znajomy informatyk.
SKUTKI BRAKI STRATEGII BEZPIECZEŃSTWA CYFROWEGO
Ignorowanie konieczności zapewnienia należytego bezpieczeństwa zasobom cyfrowym coraz częściej odbija się jednak przedsiębiorcom czkawką, bowiem koszt odzyskiwania danych w profesjonalnym laboratorium odzyskiwania danych to co najmniej kilka tysięcy złotych. Nie mówiąc już o kosztach przestoju spowodowanego brakiem dostępu do danych, bądź konieczności ich ponownego wytworzenia, kiedy awarii dysku twardego nie da się usunąć nawet przez specjalistów z zakresu data recovery. Za te pieniądze można nabyć zwykle dostosowany do potrzeb przedsiębiorstwa niewielki serwer NAS oraz wykupić abonament na obsługę informatyczną u podmiotów specjalizujących się w tego typu usługach.
Z kolei jeśli za awarią, bądź wyciekiem danych stoją cyberprzestępcy firma musi liczyć się ze spadkiem zaufania ze strony klientów, których dane zostały narażone na niebezpieczeństwo, a także odpowiedzialnością przewidzianą przez przepisy obowiązującego prawa.
STRATEGIA BEZPIECZEŃSTWA POWINNA SIĘ SKALOWAĆ I EWOLUOWAĆ
Wdrażając strategię bezpieczeństwa cyfrowego trzeba jednak pamiętać, że nie jest to procedura przyjęta raz na zawsze, lecz na bieżąco należy ją modyfikować i dostosowywać do zmieniających się warunków i procesów zachodzących na gruncie samego przedsiębiorstwa, ilości pracowników, nowego sprzętu, a także uwzględniać zmieniającą się rzeczywistość okołobiznesową. Strategia powinna uwzględniać także postęp technologiczny i kłaść nacisk na stosowanie aktualnych rozwiązań (np. w zakresie oprogramowania antywirusowego), zwłaszcza, że cyberprzestępcy nie śpią i cały czas udoskonalają swoje techniki działania oraz narzędzia, które wykorzystują w atakach na swe ofiary.
Współczesne przedsiębiorstwa, wykorzystujące w swej pracy nowe technologie nie mogą być obojętne na kwestie konieczności zapewnienia ciągłości pracy wykorzystywanych systemów informatycznych i przechowywanych w nich danych cyfrowych. Strategia bezpieczeństwa cyfrowego to dziś zatem swoisty must have każdej organizacji, przy czym należy pamiętać, że powinna ona dojrzewać oraz ewaluować wraz z rozwojem firmy i zmianą czynników zewnętrznych.