Polityka bezpieczeństwa
Zasady infosec, czyli polityka bezpieczeństwa są kluczem do sensownego zarządzania ochroną w organizacji. Nie tylko cyberbezpieczeństwem struktury IT, ale również bezpieczeństwem przepływu informacji.
Prowadzenie prywatnego przedsiębiorstwa lub zarządzanie organizacją — instytucją publiczną lub podmiotem medycznym, powinno prowadzić do ustalenia zasad funkcjonowania. Jedną z nich powinno być cyberbezpieczeństwo.
Użytkownicy systemów i przede wszystkim liderzy IT potrzebują spisanych zasad, które odnoszą się do potencjalnych problemów z bezpieczeństwem i wyjaśniają, w jaki sposób te problemy będą obsługiwane. Zasady te mają również fundamentalne znaczenie dla procesu audytu IT, ponieważ opisują mechanizmy kontrolne, które można zbadać i zweryfikować.
Dlaczego polityki mają kluczowe znaczenie dla bezpieczeństwa?
Jakie są typy polityk cyberbezpieczeństwa?
Jak przygotować politykę bezpieczeństwa IT?
Jakie są składniki polityki bezpieczeństwa?
Zasady i procedury IT wzajemnie się uzupełniają. Polityki często podkreślają obszary bezpieczeństwa, które wymagają zaakcentowania, np. ze względu na specyfikę biznesu, a procedury wyjaśniają, w jaki sposób ten obszar bezpieczeństwa zostanie konkretnie zaadresowany.
Jakie są rodzaje polityk bezpieczeństwa?
Oprócz tej ogólnej, nakreślającej sylwetkę organizacji mogą być polityki dziedzinowe takie, jak polityka uwierzytelniania:
- haseł,
- bezpieczeństwa sieci,
- bezpieczeństwa
- chmury publicznej,
- reagowania na incydenty,
- zarządzania poprawkami,
- dostęp fizyczny.
Audyt systemu IT
Jak to audyt – zawsze jest nie w porę i trudno na niego się przygotować. Podpowiadamy kilka dobrych praktyk, w jaki sposób stworzyć optymalną politykę bezpieczeństwa.
Na początku określ cel biznesowy posiadania określonego rodzaju polityki bezpieczeństwa IT, np. zapewnienie ciągłości sprzedaży produktów w sklepie internetowym oraz zabezpieczenie danych klientów korzystających z usług. Pamiętaj, że należy uzyskać zgodę kierownictwa wyższego szczebla na opracowanie takiej polityki. Później dostosuj istniejące zasady bezpieczeństwa, aby zachować strukturę i format zasad.
Z niezbędnika PM’a — stwórz plan projektu, kamienie milowe, oszacuj czas i koszty z tym związane np. z konsultacjami z ekspertami dziedzinowymi. Staraj się pracować w zespole, bo co dwie głowy to nie jedna, a jednak łatwo pominąć istotne szczegóły.
Zaplanuj spotkania dla kierownictwa podczas procesu tworzenia, aby upewnić się, że odpowiednie zagadnienia zostały poruszone. Zaproś wewnętrzne działy do przeglądu polityki, w szczególności dział prawny, HR i zespół zarządzania ryzykiem. Na bieżąco dziel się wersją roboczą dokumentu, tak aby wyeliminować błędy. Po niezbędnych akceptacjach transparentnie zakomunikuj nową politykę bezpieczeństwa.
Zapamiętaj, aby ustanowić proces przeglądu i zmiany polityki. Nie odkładaj dokumentu na półkę, aby się kurzył. Zaplanuj i przygotuj się do jego corocznych audytów.
Co powinna zawierać polityka bezpieczeństwa?
Wszystko to, co wysoko-poziomowo porusza kwestie operacyjne, takie jak:
- tematy prawne
- współpraca z konkurencją,
- przetwarzanie informacji,
- zarządzanie tożsamością,
- uprawnienia i role określające wymagania bezpieczeństwa dla urządzeń — takich jak laptopy, zapory sieciowe, a także dla oprogramowania i komunikacji.
Dodatkowo warto, aby polityka bezpieczeństwa zawierała informacje o częstotliwości audytów, kontroli i zmian.
Najważniejsze – im więcej sztywnych regulacji, tym mniej niepewności w działaniu.
Zadbaj o cyberbezpieczeństwo pracowników!