Gdy w grę wchodzi bezpieczeństwo informacji, rozmiar firmy nie ma właściwie żadnego znaczenia – zarówno duże korporacje, jak i małe przedsiębiorstwa powinny robić wszystko, by zapewnić swoim klientom oraz własnym aktywom jak najwyższy poziom zabezpieczeń danych. Stworzenie solidnego, spójnego systemu zarządzania bezpieczeństwem informacji opartego o międzynarodową normę ISO 27001 to w ostatnich latach jeden z najlepszych sposobów na osiągnięcie poziomu bezpieczeństwa informacji znacząco przekraczającego to, co wymagane jest od dużych firm przez prawo i regulacje prawne. Choć zdawać by się mogło, że to właśnie duże firmy i przedsiębiorstwa mają znacznie większą kontrolę nad bezpieczeństwem informacji, rzeczywistość pokazuje że zarządzanie nim w dalszym ciągu sprawia niektórym mnóstwo problemów. Jak robić to skutecznie i efektywnie?
Co właściwie stanowi informację w firmie
Według błędnej powszechnej opinii, informacje i dane które powinny podlegać bezwzględnie wysokiemu poziomowi ochrony w firmach są przetwarzane przez nią dane personalne klientów oraz wszelkie informacje dotyczące kwestii finansowych czy projektowych. W rzeczywistości jednak wszystko, co może zostać użyte w celu zniszczenia reputacji firmy czy narażenia na szwank jej integralności powinno być brane pod uwagę podczas planowania systemu zarządzania bezpieczeństwem informacji. Stworzenie skutecznej polityki prywatności i bezpieczeństwa opartej o analizę zagrożeń to niewątpliwie najważniejszy krok w zarządzaniu bezpieczeństwem informacji w firmie. Należy pamiętać, że nie tylko fizyczne systemy i nośniki komputerowe są miejscem przechowywania informacji – zabezpieczone muszą zostać właściwie wszystkie materiały mające dla firmy jakiekolwiek znaczenie. Przyszłe plany, obecne projekty, dokumentacja, a nawet wiedza jaką pracownicy posiadają na temat technologii i działań firmy mogą stać się źródłem problemów. To, jak nimi zarządzasz ma więc ogromne znaczenie w ogólnym rozrachunku.
Tworzenie i wdrażanie systemu zarządzania bezpieczeństwem informacji
Wspomniana wcześniej międzynarodowa norma ISO 27001 to obecnie najbardziej szczegółowe źródło zaleceń i założeń stojących za tworzeniem spójnego i w pełni funkcjonalnego systemu zarządzania bezpieczeństwem informacji w firmie. Norma została skonstruowana tak, by jej wytyczne mogły zostać z powodzeniem zaadaptowane do dowolnej branży i rozmiaru firmy, przy czym oczywiście największą korzyść czerpią z niej dziś firmy branży teleinformatycznej, w której zarządzanie bezpieczeństwem informacji i danych jest narażone na niezwykle wysoki stopień zagrożenia.
Dobry program zarządzania bezpieczeństwem informacji i danych oparty na ISO 27001 pozwala na wdrożenie i zastosowanie działań, które mają na celu przewidywanie i zapobieganie ryzykom i wypadkom związanym z utratą integralności bezpieczeństwa informacji. Jednocześnie, norma kładzie ogromny nacisk na role odgrywane przez poszczególne jednostki w obrębie firmy, w tym zarówno na pojedynczych pracowników najniższego szczebla, jak i zarząd oraz managerów firmy. Ostatecznie to człowiek stanowi największe zagrożenie przeciw informacji, a jednocześnie najlepszą broń w walce z ryzykiem.
Zarządzanie bezpieczeństwem informacji w oparciu o normę ISO 27001 wymusza prowadzenie dokładnej, uporządkowanej dokumentacji wszystkich procesów zachodzących w obrębie firmy i obszarów, które mają choć w najmniejszym stopniu wpływ na jakość zabezpieczeń informacji. To właśnie dzięki wykorzystaniu wskazówek zawartych w normie i opracowaniu własnego systemu zarządzania firmy są w stanie skutecznie i regularnie pracować nad poprawą własnych zabezpieczeń, mając w pamięci fakt, że to co jeszcze pół roku temu było bezpieczne, może w każdej chwili zacząć stanowić ryzyko i że jego umiejętne zdiagnozowanie i naprawienie to klucz do sukcesu.
Jak upewnić się, że zasady ISO będą zawsze na miejscu?
Każdy, kto próbował wdrożyć system zarządzania bezpieczeństwem informacji oparty o ISO 27001 wie, że jest to proces trudny i żmudny, wymagający często wielu zmian i przyzwyczajania się do nowo panujących zasad. Aby utrzymanie uzyskanego pod koniec procesu poziomu bezpieczeństwa było możliwe, przydatne może okazać się wykorzystywanie specjalnych systemów i programów komputerowych wspomagających zarządzanie bezpieczeństwem w oparciu o ISO, pozwalających na bieżąco odwołać się do określonych wytycznych normy i zestawić je ze stanem faktycznym działań podejmowanych w konkretnym obszarze. Monitoring bezpieczeństwa i wprowadzonych innowacji to podstawa do osiągnięcia bezpieczeństwa informacji w firmie, którą trudno kontrolować osobiście przez cały czas.
Artykuł powstał przy współpracy ze specjalistą w dziedzinie systemów zarządzania organizacją – ins2outs
