Rozpoczynając cykl artykułów na temat ochrony danych osobowych, jak i szerszego pojęcia bezpieczeństwa informacyjnego wywołam temat wycieku danych. W kolejnych odsłonach wyjaśnię dlaczego taki wyciek jest możliwy w każdej firmie, jak się przed tym próbować ustrzec i jakie mogą być tego konsekwencje?

Przeglądając strony informacyjne coraz częściej trafiamy na doniesienia o wycieku poufnych danych z firm zarówno sektora prywatnego jak i publicznego, a nawet służb specjalnych. Coraz częściej menadżerowie firm zadają nam pytanie, jak mogło dojść do takiego wycieku skoro wcześniej zainwestowano w wysoce zaawansowane technologicznie urządzenia i oprogramowanie zabezpieczające sieć komputerową jak i samą siedzibę

firmy?

Rzeczywiście większość instytucji proces zabezpieczania danych rozpoczyna od inwestowania w technologię. Duży procent firm posiada zabezpieczenia fizyczne obiektu i technologiczne w zakresie teleinformatyki na wysokim poziomie. Ochrona  informacji firmy, w tym informacji prawnie chronionych niestety nie zamyka się tylko na technologii. Strategia bezpieczeństwa danych musi opierać się na zastosowaniu odpowiednich (wynikających z analizy ryzyka) zabezpieczeń fizycznych, zabezpieczeń styku komputerowej sieci wewnętrznej z siecią zewnętrzną, ale również zabezpieczeń przed samymi pracownikami firmy. W obszarze bezpieczeństwa osobowego wielką rolę odgrywa polityka szkoleń i uświadamiania wszystkich osób w firmie (w tym również pracowników z firm zewnętrznych współpracujących) dopuszczonych do przetwarzania informacji.  Tak postrzegana strategia dalej może być nieskuteczna jeśli nie zostanie dodatkowo poparta właściwą strategią lojalnościową pracowników. (patrz artykuł: ?Program lojalnościowy a bezpieczeństwo danych")

Zakładając, że fizyczne i technologiczne zabezpieczenia są na wysokim poziomie przyjrzyjmy się jakie zagrożenia znajdują się wewnątrz firmy. Jak wskazują raporty firm badających poziom bezpieczeństwa informacyjnego w Polsce i na świecie jednym z największych zagrożeń dla zapewnienia poufności danych jest sam pracownik firmy. Zagrożenie to można najprościej podzielić na dwie grupy: związane z nieświadomym, czyli nieumyślnym działaniem pracowników oraz te związane z działaniem celowym na szkodę firmy. Działania celowe mogą być najniebezpieczniejsze zarówno dla wizerunku instytucji jak również często majątku.

Można uznać za optymistyczne fakt, że już coraz więcej firm ustanawia wewnętrzną politykę szkoleń i uświadamiania w zakresie bezpieczeństwa informacji. Mniej optymistyczne jest jednak to, że na samym ustanowieniu bardzo często się kończy. Doświadczenie Eagleauditors w związku z prowadzonymi audytami bezpieczeństwa informacyjnego wskazuje, że polityka taka najczęściej dotyczy jednorazowego szkolenia i nie zawsze wszystkich pracowników.  (Szerzej na temat technik podnoszenia świadomości zagrożeń oraz potrzeby ochrony informacji znajdziecie Państwo w artykule: ?Budowanie świadomości buduje bezpieczeństwo".)

Reasumując, na tak postawione ogólne pytanie ?dlaczego wystąpił wyciek?" nie ma jednoznacznej odpowiedzi. Co mogło zadziałać niewłaściwie? Czy powodem był brak odpowiedniej świadomości, czy może nieskuteczny program lojalnościowy pracowników i ktoś dał się zwerbować przez firmę konkurencyjną? Przy tym mogły też zawieść zabezpieczenia fizyczne lub technologiczne i proceduralne. Wszystko to wskazuje na to, że kluczem w zarządzaniu bezpieczeństwem informacyjnym jest kompletność!

Odpowiedzi na te wszystkie pytania co może być przyczyną wycieku danych z firmy będę szukał w kolejnych artykułach tego cyklu do których przeczytania serdecznie zapraszam.

Jeśli chcesz sprawdzić czy Twoja firma zapewnia kompletność systemu bezpieczeństwa informacji zapraszam do skorzystania z oferty Eagleauditors.