Do biura przychodzi pies. Przyjaźnie poszczekuje, wesoło merda ogonem, przekonuje Content Designera, by sprezentował mu wyzierający z kanapki plasterek sojowego salami, a następnie zaplątuje się w kable i strąca z biurka notebooka. Komputer ulega uszkodzeniu. Niezapisane pliki są nie do odtworzenia, praca przepada, projekt ulega opóźnieniu w sytuacji, gdy terminy są na wczoraj. Klient jest wściekły. Zarząd panikuje. Przyszłość firmy stoi pod znakiem zapytania. A wszystko mogłoby potoczyć się inaczej, gdyby zarządzający projektem software house posiadał certyfikat bezpieczeństwa ISO. Tak, jak – przykładowo – KISS digital.

Proszę nie bagatelizować sprawy. Takie – i jeszcze bardziej niespodziewane – przypadki się zdarzają. A już z pewnością zdarzyć się mogą. W KISS digital podobna sytuacja jest jednak nie do pomyślenia. Nie tylko dlatego, że pies Creative Designera jest tyci i niezdolny do wyrządzenia szkód materialnych. I nie tylko dlatego, że KISS-owi kreatywni pracują na macach mini (a nie notebookach). Przede wszystkim dlatego, że przed tego typu nieoczekiwanymi zagrożeniami chronią procedury bezpieczeństwa, których musi przestrzegać firma posiadająca certyfikat ISO/IEC 27001. Tak, jak – przykładowo – KISS digital.

O ISO pisaliśmy w zeszłotygodniowym artykule, ale sprawa jest ważna, więc kontynuujemy temat. W poprzednim tekście wyjaśniliśmy: 1) czym jest certyfikat ISO, 2) dlaczego jest dokumentem o wysokiej wiarygodności oraz 3) dlaczego gwarantuje klientowi wysoki poziom bezpieczeństwa danych i obsługi projektu ze strony certyfikowanego software house'u. Tym razem scharakteryzujemy pokrótce tzw. polityki przewidziane przez normę ISO. Chodzi o zestawy praktyk, które zapewniają maksymalny poziom bezpieczeństwa danych przetwarzanych przez firmę, a także ciągłość realizowanych projektów. Nie chcemy przynudzać, dlatego będzie na temat, ale zwięźle.

Pilnuj dostępu! (Jeśli zależy ci na bezpieczeństwie danych)

Taka sytuacja: do firmy przychodzi facet z ulicy i mówi, że on do prezesa. Prezes akurat ma spotkanie, trzeba czekać. W międzyczasie facet chętnie skorzysta z wolnego komputera, bo musi przejrzeć pewne szpargały, które ma na wirtualnym dysku (sprawa nie na smartfona). Wchodzi na Gmaila, a tam – funkcja podpowiedzi sugeruje mu adresy pocztowe, a funkcja zapamiętywania zwalnia go z fatygi wpisywania haseł. Oczywiście cudzych. Co znajdzie – to jego. No, chyba że firma, którą odwiedził, stosuje Politykę fizycznego dostępu do pomieszczeń i zasobów przewidzianą przez normę ISO. Jedna z jej wytycznych zakazuje zapisywania haseł firmowych w przeglądarce. To bardzo roztropna wytyczna. Jest ich więcej. Środki ochrony dostępu opisane w tej polityce zasadniczo dzielą się na trzy kategorie:

• fizyczne,
• organizacyjne
• i software'owe. Obejmują one szereg praktycznych kwestii: od stosowania alarmu w firmie, przez zabezpieczanie poszczególnych pomieszczeń biurowych, np. kluczami i zamkami cyfrowymi, po wyposażenie serwerowni w gaśnicę czy stosowanie uwierzytelnienia dwuskładnikowego. Jest tego znacznie więcej – ale mieliśmy nie przynudzać.

Jak nie dopuścić do incydentów (i co robić, gdy jednak do nich dojdzie)

Inna sytuacja. Administrator systemów informatycznych (ASI) zapomniał zaktualizować antywirusa. Skutek? Do biura zagląda najnowszy trojan bankowy, który rozgaszcza się na wszystkich firmowych komputerach. A mógłby nie zaglądnąć – gdyby firma przestrzegała Polityki monitorowania systemu. To coś w rodzaju zestawu procedur wczesnego wykrywania zagrożeń. Obejmuje on przede wszystkim zabezpieczenie systemu informatycznego przed szkodliwym oprogramowaniem (m.in. firewall, antywirusy, automatyczne aktualizacje) i zabezpieczenia transmisji danych (m.in. VPN czy WPA2 w przypadku wi-fi). Nie mniej istotnym aspektem tej polityki jest odpowiednia organizacja pracy. W szczególności różnicowanie poziomów uprawnień i dostosowanie ich do zakresu obowiązków poszczególnych pracowników.

No dobra, wszystko brzmi pięknie w teorii, ale przecież incydenty się zdarzają. W takiej niefortunnej sytuacji do akcji wchodzi Polityka zarządzania incydentami. To zbiór zasad postępowania w sytuacjach zagrożenia bezpieczeństwa danych. W największym skrócie przewiduje on szczegółową analizę zdarzenia i wdrożenie działań korygujących oraz zapobiegawczych.

Procedury nie dostarczają jednak uniwersalnych narzędzi rozwiązywania problemów. Dlatego firma z certyfikatem ISO musi być przygotowana na rozmaite sytuacje. Tego wymaga Polityka szacowania ryzyka. Ma ona na celu określenie sposobu szacowania ryzyka biznesowego związanego z utratą informacji. Opisuje m.in. metodykę dokonywania takich szacunków, skalę ocen ryzyka oraz sposoby zarządzania ryzykiem. Sedno sprawy można ująć następująco: firma musi być świadoma zagrożeń, by skutecznie się przed nimi chronić.

Czyste biurko, kopie zapasowe i likwidacja nośników

Jeszcze inna heca. Admin wyrzucił zepsute pendrive'y do kosza, skąd trafiły do kubła z napisem „Plastik”. Pendrive'y zauważył sąsiad z lokalu piętro wyżej, gdy pozbywał się butelek po mineralce. A że jego szwagier prowadzi firmę zajmują się odzyskiwaniem danych, sąsiad pomyślał, że może uda się z tych flashów wydrapać jakieś bitcoiny. Albo ciekawe dane finansowe. Przykra sytuacja, ale mogłoby do niej nie dojść. Gdyby firma posiadała certyfikat ISO zobowiązujący do przestrzegania Polityki postępowania ze sprzętem. Przewiduje ona (polityka) m.in. to, że zużyty sprzęt powinien zostać zniszczony pod okiem zarządu spółki. Reguluje również kwestie związane z przenoszeniem nośników, przydzielaniem sprzętu pracownikom czy sprzedażą urządzeń. To lista dobrych praktyk, które minimalizują ryzyko wycieku danych.

Zagrożeniom związanym z utratą poufności przeciwdziałają również procedury opisane w Polityce zasad postępowania w SZBI (Systemie Zarządzania Bezpieczeństwem Informacji). Zapewniają one ochronę przed wirusami i regulują zasady korzystania z internetu oraz poczty elektronicznej. Wprowadzają także zasadę czystego biurka, czyli ochrony poufnych informacji przed ciekawskimi.

Jednak dane mogą nie tylko wyciec, ale również „wyparować”. Na przykład gdy nie zostaną zapisane albo zostaną zapisane tylko na jednym nośniku, który przecież może ulec awarii (jak w historii z psem). Dlatego Polityka tworzenia kopii zapasowych zaleca ni mniej, ni więcej, tylko tworzenie kopii zapasowych. Szczegółowe wytyczne różnią się w zależności od źródła i rodzaju danych. Na przykład informacje na temat bieżących projektów w Jirze backupowane mogą być cztery razy dziennie, a dane rekrutacyjne – raz na dzień. Ale tworzenie kopii nie załatwia sprawy. Do pełni bezpieczeństwa niezbędne jest testowanie backupów, aby mieć pewność, że w razie awarii spełnią swoją funkcję.

Przezorny zawsze zabezpieczony

Polityki to oczywiście nie wszystko. ISO/IEC 27001 wymaga od certyfikowanej firmy prowadzenia inwentaryzacji zasobów, księgi SZBI, rejestrów upoważnień, incydentów i czynności, deklaracji, stworzenia listy możliwych zagrożeń i sposobów reagowania na nie (tzw. Szacowanie ryzyka) oraz planu ciągłości działania z wytycznymi dotyczącymi sposobu postępowania w sytuacjach kryzysowych. Idea jest jedna: w maksymalnym stopniu zabezpieczyć dane spółki oraz klientów, a także ciągłość realizowanych projektów. Certyfikat ISO/IEC 27001 stanowi potwierdzenie, że posiadająca go firma to poważny i bezpieczny partner biznesowy, gwarantujący współpracę na najwyższym poziomie.

Jeśli szukasz partnera, który zrealizuje Twój projekt z dbałością o jego bezpieczeństwo – porozmawiajmy!