Osoby otwierające nową firmę mają wiele na głowie – muszą przemyśleć sprawy związane z finansami, biznesplanem, miejscem na działalność, pracownikami. Niewielu początkujących biznesmenów poważnie podchodzi do kwestii bezpieczeństwa informacji.
Zakładają, że zajmą się tym problemem później, niektórzy sądzą, że akurat ich firmę cyberprzestępcy będą omijać szerokim łukiem. Tymczasem warto sobie uświadomić, jak ważny jest kapitał intelektualny firmy. Wtedy oczywiste stanie się to, że niezbędna jest ochrona cennych danych przedsiębiorstwa. Na czym powinna więc skupić się młoda firma, aby nie paść ofiarą przestępstw, niedbalstwa, złośliwości pracowników czy też nieprzewidzianych katastrof?
Już na samym początku działalności firmy powinno się opracować i udokumentować zasady bezpieczeństwa. Spis zasad powinien jasno określać prawa i obowiązki pracownika w miejscu pracy, każda z zatrudnionych osób winna też mieć obowiązek zapoznania się z tym dokumentem. Dzięki obecności takiego regulaminu pracownik nie będzie mógł powiedzieć, że ewentualne niedopatrzenie nastąpiło z powodu niewiedzy. Regulamin nie musi być obszerny, powinien być jednak dostosowany do profilu działalności firmy, niezbędne jest także to, by uwzględniał główne obszary ryzyka związane z działalnością przedsiębiorstwa. Powinien być jasny i zwięzły – by każdy, kto go podpisuje, w pełni rozumiał jego treść. Zbiór zasad powinny uwzględniać następujące zagadnienia:
Dopuszczalne użycie
– cele, do jakich mogą być użyte zasoby informatyczne firmy, w tym dostęp do internetu, powinny być wyraźnie określone. Osoby zatrudnione w firmie powinny na przykład wiedzieć, czy mogą przesyłać osobiste maile lub wykonywać prywatne rozmowy telefoniczne – jeśli tak, to z jakimi ograniczeniami. Pracodawca określa, czy ograniczony jest czas, w jakim zasoby firmy mogą być użyte do celów osobistych, czy ograniczony jest dostęp do niektórych stron www, czy pracownicy mogą podłączać do sieci firmy swoje prywatne urządzenia, w jakich wypadkach powinny być stosowane hasła, czy są jakieś ograniczenia na rodzaj zawartości, jaka może być przesyłana przez e-mail lub faksem bądź też publikowana w sieci.
Warto pamiętać o tym, że konsumeryzacja IT (czyli wykorzystanie prywatnych urządzeń pracowników do wykonywania przez nich obowiązków zawodowych) oraz popularyzacja modelu BYOD (Bring Your Own Device – przynieś swoje własne urządzenie) nastały już na dobre w wielu firmach, dlatego również startupy powinny wziąć pod uwagę szanse i zagrożenia, jakie są związane z nowymi trendami.
Należy przy tym pamiętać o tym, że jeżeli będziemy próbowali zbyt restrykcyjnie ograniczać działania pracowników, możemy doprowadzić do ich niezadowolenia, a nawet do rezygnacji z pracy. Na przykład jeżeli wprowadzimy zakaz korzystania z mediów społecznościowych możemy spodziewać się tego, że osoby zatrudnione w firmie będą poszukiwać sposobów na obejście zakazu – a to może spowodować pojawienie się nowych czynników ryzyka.
Również mała firma winna określić to, jakie będą konsekwencje naruszenia polityki bezpieczeństwa przez pracownika.
Bezpieczeństwo danych
– regulamin firmy winien koncentrować się na trzech głównych aspektach: poufności, integralności i dostępności danych. Musimy zdefiniować strategię zabezpieczenia najważniejszych (w tym sensytywnych lub tajnych) danych i zasobów przed nieuprawnionym dostępem, utratą i uszkodzeniem. Niezwykle istotne jest też zapewnienie ciągłego dostępu do firmowych zasobów zgodnie z potrzebami pracowników przedsiębiorstwa. Firma rozpoczynająca działalność powinna przeprowadzić szkolenie dla pracowników – w trakcie takiego spotkania osoby zatrudnione w firmie mogą dowiedzieć się o tym, jakie są zasady korzystania z danych.
Równie ważne jest też przeanalizowanie dostępnych na rynku technologii umożliwiających szybkie odtworzenie firmowej infrastruktury i uzyskanie dostępu do danych w razie nagłego wypadku.
Dzięki opracowaniu i udokumentowaniu zbioru zasad bezpieczeństwa na samym początku działalności przedsiębiorstwa możliwa będzie lepsza ochrona firmowych danych. Z pewnością nie warto odkładać momentu obowiązywania regulaminu na później, lepiej bowiem już teraz zapobiegać sytuacjom, w których cenne firmowe zasoby będą narażone na niebezpieczeństwo.
Autor:
Rik Ferguson – Dyrektor ds. komunikacji i badań nad bezpieczeństwem
w firmie Trend Micro
