Bardzo ważne jest uświadomienie sobie tego, jak cenne są gromadzone przez lata informacje – adresy kontrahentów, wrażliwe dane osobowe pracowników, dokumenty firmowe. Ich utrata lub kradzież poważnie zagraża reputacji firmy, wiąże się też z dotkliwymi konsekwencjami finansowymi, a niekiedy także prawnymi. Organizacje na całym świecie cały czas notują olbrzymie straty związane z działalnością cyberprzestępców, co jest skutkiem braku zastosowania odpowiednich rozwiązań chroniących firmowe dane. Przedsiębiorcy ciągle nie wiedzą, jak można chronić najcenniejsze zasoby firmy, czyli informacje. Owszem, niektóre przedsiębiorstwa inwestują duże kwoty w rozwiązania zabezpieczające, ale wiele z nich zapomina o tym, że bardzo ważną rolę w procesie ochrony firmowych zasobów odgrywa również edukacja pracowników.
Kogo edukować?
Szkoleniami powinni być objęci pracownicy wszystkich szczebli – łącznie z administratorami i zarządem. Bardzo często bowiem niski poziom edukacji i świadomości dotyczy wszystkich zatrudnionych osób, niezależnie od stanowiska. Członkowie zarządu, pomimo wielu obowiązków, nie są zwolnieni z konieczności pogłębiania swojej wiedzy dotyczącej bezpieczeństwa danych w firmie. Przechowują oni bowiem na swoich komputerach wiele cennych informacji. Jeżeli nie są wystarczająco świadomi, mogą na przykład narazić się na niebezpieczeństwo związane z atakiem cyberprzestępców. Warto pamiętać, że koszty organizacji szkoleń są nieporównywalnie mniejsze od kosztów ponoszonych przez firmę w przypadku wycieku cennych danych.
Poza szkoleniami wszystkich pracowników warto rozważyć wprowadzenie pewnych procedur i obowiązku ich dokumentacji – zatrudnione osoby nie będą wtedy unikać czynności, które są oczywiste, a o których często się zapomina.
Koordynowane przez dział kadr szkolenia powinny być włączone w plan edukacji pracowników. Ich częstotliwość zależy od tego, jaki jest poziom wiedzy zatrudnionych osób oraz ile czasu można poświęcić na szkolenie. Oprócz zapewnienia obowiązkowych szkoleń nowym pracownikom warto dopilnować, by odbywały się one regularnie, np. raz na pół roku. Dlaczego? Ponieważ cały czas zmienia się krajobraz zagrożeń i specyfika środowiska informatycznego, w życie wchodzą również nowe regulacje prawne, którym podlegają przechowywane dane. Ważnym elementem szkoleń mogłaby być rozmowa z prawnikiem, który wyjaśniłby, jakie są prawne konsekwencje wycieku danych.
Bezpieczne dane w biurze i poza nim
Pracownicy coraz częściej pracują zdalnie. Uczestniczą w spotkaniach biznesowych, podróżach, wykonują swoje obowiązki w innych oddziałach firmy lub w domu. Zmiana modelu pracy była możliwa głównie dzięki pojawieniu się na rynku urządzeń mobilnych, które pozwalają nam na pracę z dowolnego miejsca. Dzięki notebookom, netbookom, smartfonom i tabletom można być cały czas w kontakcie ze współpracownikami i partnerami biznesowymi.
Korzystanie z takich rozwiązań to nie tylko korzyści, to także zagrożenia. Na przykład popularny system operacyjny Android firmy Google stosowany w wielu smartfonach jest podatny na ataki hakerów i wirusów. Android to obecnie druga pod względem popularności platforma mobilna na rynku, rozwijająca się w tempie 850 proc. rocznie.
Utrata danych niekoniecznie musi być bezpośrednio związana z działaniem cyberprzestępczym w internecie. Może być także konsekwencją zwykłej kradzieży laptopa lub telefonu poza siedzibą firmy. Przestępca, który wejdzie w posiadanie takiego urządzenia, może z łatwością zdobyć dostęp do danych na nim przechowywanych, jak również wykorzystać uprawnienia przydzielone użytkownikowi danego komputera lub dostać się do firmowej sieci.
Zatrudnieni powinni być świadomi tego, że złodziejowi niekiedy nie zależy jedynie na wartościowym urządzeniu – czasami chce wykorzystać dostęp do poufnych danych.
Rozwiązaniem chroniącym dane w takim wypadku jest szyfrowanie. Warto zaszyfrować dysk twardy bądź same pliki, które są zapisane na komputerze lub na innych nośnikach. Dobrym wyjściem jest zabezpieczenie dostępu do komputera z poziomu systemu BIOS.
Kolejne zagrożenie jest związane z podłączeniem urządzenia do sieci publicznej w dowolnym miejscu – w hotelu, kawiarni, restauracji czy w innej firmie. W tej sytuacji laptop lub smartfon zostaje połączony ze środowiskiem, które może zagrażać bezpieczeństwu firmowych danych.
Zabezpieczenie komputerów i smartfonów zapewnia instalacja dobrego oprogramowania antywirusowego, systemu wykrywającego ataki, firewalla czy zastosowanie szyfrowania. Równie ważne jest aktualizowanie oprogramowania zabezpieczającego oraz instalowanie łatek na system operacyjny i aplikacje wykorzystywane na urządzeniu przenośnym.
Jeśli urządzenie jest przez długi czas poza siecią firmową, a administrator nie jest w stanie dokonać odpowiednich aktualizacji zabezpieczeń, to użytkownik powinien zrobić to sam. Dlatego każda zatrudniona osoba powinna być odpowiednio wyszkolona w tym zakresie.
Według raportu Głównego Urzędu Statystycznego Społeczeństwo Informacyjne w Polsce 2006–2010, jedynie 10 proc. polskich firm prawidłowo chroni krytyczne dane własne oraz swoich klientów. Przyczyna tkwi nie tylko w niewystarczających nakładach finansowych. Specjaliści od dawna podkreślają, że to człowiek jest najsłabszym ogniwem wszelakich systemów bezpieczeństwa informatycznego. Wynika to głównie w niewiedzy – pracownicy nie są świadomi zagrożeń, jak też konsekwencji związanych z utratą cennych danych.
Kilka ważnych zasad
Podczas szkoleń nie należy zapominać o najważniejszych zasadach, które zapewniają bezpieczeństwo firmowym zasobom. Na pierwszy rzut oka mogą się one wydawać oczywiste, ale wbrew pozorom nie każdy pracownik je zna. Obowiązek zapoznania się z poniższymi zasadami powinny mieć wszystkie zatrudnione osoby, nie tylko informatycy odpowiadający za bezpieczeństwo w firmie.
1. Nie należy powierzać zadań informatycznych pracownikom, którzy nie są specjalistami w tej dziedzinie. Osobę zatrudnioną na stanowisko np. księgowego lub sprzedawcy dodatkowe obowiązki odrywają od właściwej pracy. Dodatkowo brak odpowiedniej wiedzy z zakresu informatyki może stworzyć ryzyko dla firmy.
2. Nie należy stosować ręcznych procedur tworzenia kopii zapasowych. Powinny one być wykonywane automatycznie, w zgodzie z ustalonym harmonogramem.
3. Większość pracowników mobilnych czy handlowców używa smartfonów. Dzięki temu mogą oni korzystać z poczty i mieć dostęp do zasobów firmowych. W telefonie przechowywane są także informacje poufne – dane osobowe, finansowe – wszystko, co może mieć dla potencjalnego złodzieja dużą wartość.
Smartfony muszą być należycie zabezpieczone, podobnie jak komputery. Te, na których przechowuje się coraz więcej ważnych informacji, należy objąć polityką bezpieczeństwa danych firmy.
4. Nie należy wyrzucać starego sprzętu wraz z zapisanymi na nim danymi. Przestarzałe lub zużyte urządzenia trzeba oczywiście wymieniać na nowe, ale wcześniej trzeba dopilnować, aby dyski zostały wyczyszczone. Pozornie bezwartościowe stare komputery i drukarki mogą stać się kopalnią cennych danych dla złodziei tożsamości. Warto pamiętać również o ochronie środowiska – zużyty sprzęt należy oddać w punkcie recyklingu.
5. Firma powinna opracować reguły dotyczące ochrony danych klientów, odpowiedzialnego korzystania z mediów społecznościowych oraz używania urządzeń zewnętrznych, takich jak pamięci USB lub smartfony. Reguły powinny być zapisane w formie dokumentu.
6. Firma, która decyduje się na obecność na Fecebooku lub Twisterze, powinna opracować odpowiedni plan obecności w mediach społecznościowych. Nieprzemyślane korzystanie z portali tego typu może wpłynąć negatywnie na opinię klientów o firmie.
7. Nie należy zaniedbywać szkoleń – powinny zostać wyznaczone osoby odpowiedzialne za ich organizację, a udział w nich powinny brać wszystkie osoby zatrudnione w firmie. Szkolenie powinno dotyczyć zarówno bezpieczeństwa informatycznego, jak i fizycznego.
8. Warto propagować dobre nawyki związane z bezpieczeństwem danych. Nie należy zakładać, że dane firmowe są doskonale zabezpieczone – bardzo ważny jest też zdrowy rozsądek pracowników.
9. Używanie pirackiego oprogramowania jest niedopuszczalne. Pracownicy nie mogą sami instalować programów na swoich komputerach. Aby działać zgodnie z prawem, potrzebujemy legalnych licencji na oprogramowanie. Wymaga tego nie tylko uczciwość – jest to jedyny sposób, by mieć zapewnione wsparcie techniczne producenta.