Dziś postanowiliśmy zaprezentować Wam zaledwie kilka pytań, które zadajemy podczas audytu bezpieczeństwa informacji lub wdrożenia systemu ochrony danych. Dotykają one najważniejszych sfer z zakresu bezpieczeństwa informacyjnego, dzięki czemu przekonasz się, czy chociaż w podstawowym zakresie chronisz dane swojej organizacji?
1.Czy Twoja firma posiada politykę bezpieczeństwa informacji?
Jeżeli zatrudniasz pracowników warto poosiadać tego typu dokument. Polityka bezpieczeństwa informacji opisuje standardy przetwarzania informacji, których powinni przestrzegać pracownicy po to, aby dane firmy nie wyciekały. Wg statystyk ok. 70% przypadków ujawnienia informacji powodowanych jest prostymi błędami człowieka. Polityka bezpieczeństwa konstruowana jest w oparciu o analizę procesów biznesowych w firmie i normy bezpieczeństwa np. ISO 27001. Posiadanie polityki bezpieczeństwa jest często tańszym i skuteczniejszym sposobem zachowania poufności informacji niż zakup drogiego sprzętu lub oprogramowania.
2. Czy Twoja firma posiada klasyfikację informacji?
Jeżeli nie posiadasz standardów klasyfikacji informacji to prawdopodobnie chronisz wszystkie dane jednakowo np. przy użyciu tych samych narzędzi lub procedur. Może to, więc oznaczać, że niektóre informacje są chronione za mocno (dane powszechnie dostępne, więc ich ochrona jest za droga), a niektóre zbyt słabo (dane o szczególnej istotności dla przedsiębiorstwa). Klasyfikację informacji pozwala kontrolować metody ochrony danych oraz dobierać odpowiednie środki techniczne (np. oprogramowanie) w zależności od stopnia poufności. W efekcie ochrona danych jest prostsza i tańsza.
3. Czy posiadasz program antywirusowy?
Posiadanie programu antywirusowego jest warunkiem sine qua non prowadzenia biznesu w oparciu o systemy informatyczne. Antywirus powinien chronić nie tylko dane na komputerze, ale też czuwać nad bezpieczeństwem działania w Internecie. Ceny tego typu aplikacji są na tyle niskie, że koszt ich wdrożenia nie powinien być odczuwalny dla przedsiębiorcy.
4. Czy Twój program antywirusowy to produkt darmowy?
Darmowy program antywirusowy jest najczęściej przeznaczony dla komputerów domowych, a jego instalacja na sprzęcie firmowym łamie licencję użytkowania. Dlatego jeżeli używasz bezpłatnego antywirusa sprawdź, czy robisz to legalnie. Pomijając ten fakt darmowe oprogramowanie antywirusowe może być mniej skuteczne niż ich komercyjne odpowiedniki np. z uwagi na rzadszą lub opóźnioną w czasie aktualizację baz sygnatur wirusów, przez co Twój komputer dowiaduje się o możliwych zagrożeniach później. W czasie, gdy zagrożenia dla bezpieczeństwa komputera pojawiają się kilka razy dziennie, warto posiadać naprawdę aktualny i skuteczny program antywirusowy. Pamiętaj, że program antywirusowy nie służy do tego, aby usuwać wirusy z komputera, ale po to by nie dopuścić do ich instalacji na dysku.
5. Czy Twój program antywirusowy posiada centralną konsolę administracyjno-raportującą?
Nawet, jeżeli posiadasz najlepszy program antywirusowy na sprzęcie firmowym to bez konsoli centralnego raportowania i administrowania traci on znakomitą część swojej wartości. Nie masz bowiem informacji czy na komputerach Twoich (współ) pracowników pojawiają się wirusy i jak często się to dzieje. Nie możesz mieć nawet pewności, czy program antywirusowy nadal tam działa i czy posiada najnowsze sygnatury bezpieczeństwa. Nie masz także wpływu na to, jak często program antywirusowy uruchamia skanowanie i z jaką dokładnością wykonuje tą procedurę. No, chyba, że kontrolujesz wszystkie komputery ręcznie, ale z doświadczenia wiemy, że zwykle tak się nie dzieje. Centralna konsola administracyjna programem antywirusowym w środowisku wielu komputerów jest tak samo ważna jak posiadanie dobrego i skutecznego programu antywirusowego. Jeżeli nie masz czasu się tym zajmować wystarczy, że poprosisz swojego informatyka o miesięczny raport, na którym znajda się skondensowane informacje na temat historii i statystyk pracy programów antywirusowych na wszystkich komputerach w firmie.
6. Czy program antywirusowy działa także na Twoim smartfonie?
Nowoczesny smartfon, oprócz wielkości, nie wiele różni się od komputera, a przestępcy chętnie to wykorzystują instalując na nim swoje wirusy. Jeżeli przetwarzasz dane firmowy na swoim smartfonie korzystaj z antywirusa i pamiętaj o konsoli centralnego administrowania.
7. Czy wykonujesz kopie zapasowe danych, które są ważne dla Twojego biznesu?
Jeżeli posiadasz politykę klasyfikacji informacji, o której mowa w punkcie nr 2 to wiesz, jakie dane są ważne dla Twojego biznesu i te powinieneś archiwizować. Jeżeli nie posiadasz tego typu klasyfikacji to na pewno czujesz, które informacje są istotne, chociaż nie możesz mieć pewności, że lista jest kompletna. Kopia danych pozwala uniknąć nerwów, przestojów w pracy lub kosztów w momencie, gdy zawodzi sprzęt lub system. Najczęstsza przyczyna utraty danych to awaria dysku twardego komputera lub przypadkowe skasowanie lub nadpisanie plików.
8. Jeżeli tak to czy kopie danych powstają w sposób zautomatyzowany?
Jeżeli Ty lub Twoi pracownicy wykonują kopie danych ręcznie to i tak sukces, którego gratulujemy, ponieważ większość firm z sektora MŚP tego nie robi. Wykorzystując zautomatyzowane systemy kopii zapasowych pozbywasz się obowiązku pamiętana o konieczności backupowania danych oraz dbania o regularność tej procedury. Co więcej, podobnie jak w przypadku centralnej konsoli administracyjnej programu antywirusowego zyskujesz kontrolę nad całością procesu archiwizacji danych w Twojej firmie.
9. Czy zastanawiałeś się nad retencją danych tzn. ile archiwalnych kopii zapasowych powinieneś posiadać?
To zagadnienie powiązane jest z klasyfikacje bezpieczeństwa informacji, ponieważ nie wszystkie dane archiwalne wymagają tego samego okresu przechowywania. Np. bazy danych nadpisywane są w czasie rzeczywistym (codziennie, niemal każdej minuty), dlatego nawet kilkudniowa kopia archiwalna jest już przestarzała. W odniesieniu do baz danych stosuje się, więc politykę częstych backupów, wykonywanych np. kilka razy dziennie oraz dodatkowych pojedynczych kopii tygodniowych, miesięcznych lub rocznych (np. po zamknięciu roku obrachunkowego). Inną politykę retencji powinieneś stosować w przypadku plików ważnych, ale modyfikowanych rzadko np. raz w miesiącu – tutaj utrata danych może być zauważona późno, dlatego dobrze jest posiadać backup, z co najmniej kilkumiesięczną historii. Zarządzanie tymi procesami znacząco ułatwia konsola centralnego zarządzania kopiami bezpieczeństwa.
10. Czy odtwarzasz czasami kopie danych?
Nawet najczęściej wykonywane kopie zapasowe danych nie są nic warte, jeżeli losowo nie sprawdzasz ich poprawności. Zdarzały się przypadki, że odtwarzane kopie danych nie działały prawidłowo, ponieważ ich pliki były uszkodzone. Nie da się przewidzieć takiej sytuacji, ale testowe odtwarzanie backupów raz na kilka tygodni lub miesięcy znacząco ogranicza to ryzyko.
11. Jak długie są hasła, które stosujesz?
Przyjmuje się, że na dzień dzisiejszy minimalna ilość znaków bezpiecznego hasła wynosi 8 znaków. Może zaciekawi Cię poniższa statystyka:
Gdy Twoje hasło składa się z 6 znaków – małych i DUŻYCH liter, to liczba kombinacji hasła wynosi 19770609664. Czas potrzebny na jego złamanie wynosi od kilku godzin do kilku dni.Wydłużmy, więc hasło o dwa kolejne znaki oraz wprowadźmy do składu cyfry. Mamy teraz 218340105584896 kombinacji, co wydłuża czas łamania hasła do kilku miesięcy. Gdybyś zechciał zastosować jeszcze znaki specjalne (@#$%., itp.), to liczba kombinacji tego hasła wyniosłaby 5595818096650401, a czas potrzebny do jego złamania nawet kilka lat. Zastosuj hasło o długości 16 znaków, a wówczas (przy znanej obecnie technologii) nikomu nie będzie opłacało się go łamać (no chyba, że jesteś Prezydentem albo Premierem?) ponieważ czas potrzebny na dokonanie takiej czynności wynosi wielokrotnie więcej niż czas życia całego gatunku ludzkiego.
12. Czy posiadasz jedno hasło do wszystkich systemów?
Jedno hasło do wszystkich systemów oznacza, że jeżeli przestępca komputerowy poznał Twoje hasło, to wszystkie inne są zagrożone. Nie zdarza się taka sytuacja? Na początku 2019 roku z polskiego sklepu morele.net wyciekło kilka milionów haseł. Jeżeli posiadałeś/aś konto w morele.net przed 2019r. oraz to samo hasło np. do Facebooka, poczty, czy banku internetowego to Twoja tożsamość w Internecie jest zagrożona.
A tutaj sprawdzisz, czy Twoje hasło nie zostało wykradzione z innej bazy danych: https://haveibeenpwned.com/
Pamiętaj, że nawet najmniejsza modyfikacja hasła – dodanie „kropki” lub innego znaku całkowicie zmienia jego postać.
13. Jak często zmieniasz swoje hasło?
Warto od czasu do czasu zmieniać swoje hasło (średnio raz na ok. 3 miesiące), aby w przypadkach takich jak opisany wyżej nie stać się ofiarą przestępcy komputerowego.
14. Czy posiadasz kontrole nad hasłami do wszystkich systemów komputerowych, którymi zarządzają Twoi współpracownicy lub podwykonawcy?
Na pewno nie kontrolujesz wszystkich systemów informatycznych samodzielnie, a swoje zadania delegujesz na pracowników. Czy w przypadku nieobecności pracownika np. w wyniku choroby, urlopu lub odejścia z pracy potrafisz zalogować się do jego komputera, baz danych lub serwera, po to, aby dostać się do danych lub nimi administrować? Jeżeli nie posiadasz wszystkich haseł do kluczowych systemów informatycznych to istnieje duże ryzyko, że przynajmniej czasowo utracisz zdolność kierowania swoja organizacją, kiedy zabraknie osoby, która, na co dzień dokonuje takich czynności. Odzyskanie dostępu do danych jest najczęściej drogie, ale może okazać się niemożliwe. Wystarczy jednaj regularnie otrzymywać hasła administracyjne od wszystkich pracowników – tą czynność także da się zautomatyzować.
15. Czy zaszyfrowałeś pamięć swojego komputera i telefonu?
Jeżeli zgubiłeś swój komputer, albo został Ci ukradziony wówczas tracisz kontrolę nad informacjami tam zgromadzonymi. Jeżeli posiadasz kopię danych, wówczas możesz je odzyskać i wrócić do pracy operacyjnej. Jednak nie masz pewności, że informacje zgromadzone na dysku twardym komputera lub w pamięci telefonu nie zostaną ujawnione lub nie trafią w niepowołane ręce. Często dane są warte wielokrotnie więcej niż sprzęt, na którym są przechowywane – tylko szyfrowanie daje gwarancję, że w przypadku utraty komputera lub telefonu informacje tam zgromadzone będą dalej poufne.
Jeżeli chcesz dowiedzieć się, w jakiej cenie przeprowadzimy dla Ciebie audyt bezpieczeństwa informacji zamów darmową wycenę.