Świadomość ochrony zasobów informacyjnych w firmie jest bardzo zróżnicowana w zależności od świadomości kierownictwa organizacji.  Kolejny czynnik mający wpływ na postrzeganie roli ochrony informacji ma związek z uregulowaniami prawnymi obowiązującymi w branży, w której działa firma. Zupełnie inaczej wygląda ochrona informacji w prywatnym życiu każdego człowieka.

Jakie dane chronić w firmie?

W zasadzie można odpowiedzieć, że wszystko, zapewne takie zdanie ma wielu decydentów. Warto jednak mieć świadomość, że ochrona kosztuje i tym samym zwiększa koszty funkcjonowania organizacji. Czy w takim razie można wyjść z założenia, że nic nie warto chronić w organizacji? Te dwa skrajne podejścia do ochrony zasobów informacyjnych można spotkać na co dzień w wielu organizacjach. Właściwe wyważenie proporcji wymaga narzędzi i danych które pozwolą kierownictwu organizacji podejmować odpowiednie decyzje dostosowane do potrzeb i możliwości firmy.

W pierwszej kolejności warto zrobić wykonać inwentaryzację wszelkich zasobów informacyjnych zgromadzonych i przetwarzanych przez organizację. W kolejnym kroku do każdego zasobu informacji można przypisać odpowiednie znaczenie. Waga informacji będzie pomocna do ich sortowania, tym samym nadania im odpowiednich priorytetów – od najwyższego do najniższego. W ten sposób organizacja może dowiedzieć się jakimi informacjami dysponuje i odjąć decyzję – które z nich chronić.

Klauzule tajności

W dalszej kolejności warto przygotować kilkupoziomową skalę oceny wagi informacji (klauzule tajności), np.: tajne, poufne, zastrzeżone, publiczne. Każda firma może dowolnie kształtować nazewnictwo, warto skorzystać z ustawy o ochronie informacji niejawnych. Poszczególne klauzule tajności można przyporządkować do informacji w poprzednio sporządzonej listy zasobów informacyjnych. W efekcie uzyskamy wstępne rozeznanie jakie informacje warto chronić. Warto zaznaczyć, że w tym momencie nie są jeszcze znane koszty ochrony, które policzymy później.

Szacowanie ryzyka

W kolejnym kroku warto sporządzić matrycę ryzyka, która zobrazuje prawdopodobieństwo zmaterializowania się zagrożeń dla każdego typu informacji. Przygotowanie matrycy ryzyka warto poprowadzić z pracownikami zaangażowanymi w proces przetwarzania informacji. Analiza matrycy ryzyka umożliwi oszacowanie realnych zagrożeń dla wybranych zasobów informacyjnych. Na jej podstawie można wyliczyć poszczególne wskaźniki ryzyka pomocne przy szacowaniu szkód. Do analizy ryzyka można wykorzystać różne metody.

Szacowanie ryzyka zapewne przeprowadzają również przestępcy 🙂 Można szacować, że w wyniku analizy ryzyka inteligentni przestępcy wybierają takie przestępstwa, dzięki którym mogą najwięcej zyskać jak najmniejszym kosztem w myśl powiedzenia: „jak tu zarobić aby się nie narobić”. Dlatego przy szacowaniu ryzyka warto wejść w skórę wilka (przestępcy) i oszacować korzyści z przestępstwa, z drugiej strony przykładając miarę ryzyka. Utrudnienie lub uniemożliwienie przestępczej działalności wymaga ze strony organizacji poniesienia pewnych nakładów.

Szacowanie kosztów

Na kolejnym etapie warto podjąć próbę wstępnego oszacowania kosztów ochrony poszczególnych informacji, warto uzyskać opinie z wielu działów które mają na to wpływ. Pomocne będzie przejrzenie udokumentowanych procesów biznesowych, oczywiście jeśli takowe istnieją w firmie. Koszty można wstępnie podzielić na koszty organizacyjne, materialne, osobowe i bezosobowe. Koszty organizacyjne będą się wiązały z reorganizacją pracy na poszczególnych stanowiskach pracy. Z kolei koszty materialne mają związek z finansowaniem nabycia środków trwałych (np. firewalle, routery, kamery) czy wartości niematerialnych i prawnych (licencje na oprogramowanie).

Koszty osobowe mają związek z zatrudnianiem wykwalifikowanego personelu który stoi na straży ochrony informacji, najczęściej pracownicy IT. Koszty bezosobowe mogą zawierać wdrożenie nowego systemu służącego do podniesienia bezpieczeństwa informacji w firmie. Szacowanie kosztów ochrony informacji wymaga zaangażowania od pracowników, którzy dobrze znają swoje czynności operacyjne związane z przetwarzaniem informacji. Przygotowanie pełnego zestawienia zasobów informacyjnych z analizą ryzyka i wyliczeniem kosztów jest dosyć czasochłonne i również stanowi koszt dla organizacji. Może z tego powodu wiele organizacji nawet nie próbuje poważnie podejść do tematu ochrony informacji zdając się na uśmiech losu?

Jakie dane warto chronić?

W przypadku firm typowe zasoby informacji obejmują: dane klientów, dane finansowe firmy, umowy handlowe, receptury produktów czy inne dane których utrata może spowodować straty firmy.  Straty mogą obejmować zarówno utratę reputacji, jak i mogą być wprost natury materialnej. W przypadku instytucji publicznych dane wymagające ochrony są zależne od przedmiotu działalności instytucji.

W przypadku osób fizycznych niby każdy człowiek sam decyduje co chce i zamierza chronić. Ochrona informacji w przypadku ludzi może obejmować dane o stanie zdrowia, dane finansowe (numery kart kredytowych) oraz inne informacje o wrażliwym znaczeniu (płeć, orientacja seksualna, poglądy polityczne).  Całość tej sfery wchodzi w zakres sfery określanej mianem prywatności.  Warto jednak zauważyć, że we współczesnym świecie prywatność stała się fikcją nie tylko w przypadku tzw. celebrytów. Ludzie, którzy niekoniecznie chcą się dzielić publicznie wrażliwymi informacjami często są obiektem przetwarzania informacji przez innych ludzi, którzy mają niską świadomość zagrożeń lub inne poglądy na temat prywatności. Przykład z brzegu – numer telefonu, który inni ludzie zapisują w swoich smartfonach które replikują swoją zawartość z chmurą publiczną (np. Gmail).

Środki ochrony informacji

Większość organizacji magazynuje informacje na wszelkiego rodzaju nośnikach elektronicznych włączonych bądź nie w systemy informatyczne. Wydaje się logiczne, aby wysiłki skoncentrować na ochronie systemów IT, co zresztą czyni większość organizacji. W zakres ochrony systemów ICT wchodzi również ochrona kanałów komunikacji w których są przetwarzane informacje. Ochrona komunikacji elektronicznej może przebiegać poprzez ich odseparowanie od innych kanałów (podział logiczny sieci VLAN, fizyczna separacja wybranych segmentów sieci).

Warto pamiętać, że komunikacja w firmie jak i z partnerami organizacji na zewnątrz z reguły wymaga uczestnictwa ludzi. Ludzie z reguły stanowią najsłabsze ogniwo łańcucha wymiany informacji. Można przytoczyć wiele powodów na poparcie tego twierdzenia. Począwszy od niskiej świadomości wagi informacji (nieznajomość procedur firmowych) i zwykłej głupoty (publiczne rozmowy o poufnych tajemnicach). W dalszej kolejności można wymienić niską świadomość zagrożeń i sposobu reagowania na te zagrożenia (z j.ang. security awareness) jak i niwelowanie zagrożeń.

Zagrożenia związane z utratą informacji istniały „od zawsze”, jednak w dobie rozwoju technologii zaczęły się potęgować i rosnąć w postępie geometrycznym. Ochrona informacji w tym kontekście jawi się nie jako jednorazowa akcja przeprowadzana na odgórne zarządzenie kierownictwa organizacji lecz jako ciągły proces.  Proces ochrony informacji obejmuje regularne audyty, wdrażanie wniosków po audycie, regularne szkolenia i ćwiczenia (profilaktyka zagrożeń), można go zamknąć w cyklu Deminga (ciągłe doskonalenie). To wymaga  świadomego zagrożeń kierownictwa które angażuje się w inicjatywy mające na celu unikanie, minimalizowanie strat spowodowanych wyciekami informacji.

A jak to wygląda w praktyce? – podzielcie się obserwacjami w komentarzach 🙂