Dobra Polityka Bezpieczeństwa – czy pozwalasz pracownikom na zbyt wiele?

Pełna dowolność w zakresie instalowania programów, używanie niedozwolonych aplikacji, korzystanie z nielegalnego oprogramowania… Tego typu zdarzenia mogą mieć miejsce w sytuacji, kiedy dział IT firmy nie ustali odpowiedniej polityki bezpieczeństwa. Bądź też nie będzie nadzorował jej przestrzegania w sposób konsekwentny. Jeszcze gorzej, kiedy działu IT nie ma w firmie wcale. Ewentualnymi problemami ze sprzętem i siecią, z doskoku zajmuje się zewnętrzny “pan informatyk”. W dzisiejszym wpisie przyjrzymy się sprawie nieco bliżej i spróbujemy odpowiedzieć na pytanie, jak przyjęta polityka bezpieczeństwa wpływa na pracę organizacji.

 

Polityka bezpieczeństwa a wolna amerykanka

Nadal jeszcze w wielu firmach scenariusz wygląda dość podobnie. Pracownik otrzymuje potrzebny do wykonywania zadań służbowych komputer stacjonarny lub laptop, po czym zaczyna się uprawianie przez niego na owym sprzęcie przysłowiowej wolnej amerykanki. Na dysk twardy wgrany zostaje komunikator i „użyteczne” programiki ściągnięte z podejrzanych stron. Czasem również aplikacje wymagające licencji lub przeznaczone wyłącznie do użytku prywatnego. Po pracy (lub jeszcze w trakcie dnia roboczego) pracownik odwiedza mało bezpieczne witryny. Otwiera przesłane przez znajomych zabawne filmiki, zdarza mu się również rozegrać kilka partyjek ulubionej gry. Ani pracodawca, ani dział IT, często niespecjalnie interesują się tego typu działaniami. Pół biedy, jeśli wydarzy się cyfrowe nieszczęście typu zainfekowanie niegroźnym wirusem, z którym szybko poradzi sobie nawet sam użytkownik. Gorzej, jeśli komputer nieodpowiedzialnego pracownika zostanie wykorzystany przez osoby spoza organizacji, poprzez chociażby zainstalowanie na nim programu szpiegującego.

Konsekwentna realizacja

Świadomy tego rodzaju zagrożeń dział IT lub zewnętrzna firma świadcząca usługę outsourcingu IT ustala politykę bezpieczeństwa i konsekwentnie ją realizuje. Odgórnie ustala poziom zabezpieczeń, kierując się wymogami danego stanowiska pracy, chociażby przez zastosowanie zasady „Need-To-Know”, według której użytkownicy posiadają dostęp do informacji i funkcji systemu tylko w takim stopniu, w jakim jest to potrzebne do realizowania przez nich zadań służbowych. Specjalnie zaprojektowane sfery bezpieczeństwa czy ustawienia kontroli dostępu to krok milowy na drodze do zapewnienia infrastrukturze IT optymalnego działania, przy jednoczesnej minimalizacji ryzyka.

Pozytywne wymuszanie

Świadomość samych pracowników organizacji dotycząca zagrożeń to kolejna istotna rzecz. Dobre praktyki typu skomplikowane hasła dostępowe lub ich zmiana raz na 30 dni znacząco podnoszą poziom bezpieczeństwa, ale znowu – muszą być konsekwentnie realizowane właśnie przez dział IT. Przy dużej liczbie zatrudnionych, tego typu działania powinny być niejako wymuszane przez system. Oczekiwanie i naiwna wiara, że każdy z pracowników sam będzie o nich pamiętał, w zasadzie skazuje projekt na porażkę. Podobnie zresztą jak zakazy typu „zabrania się instalowania na służbowych komputerach programów dostępnych w sieci” czy „w godzinach pracy zatrudniony nie może odwiedzać stron internetowych niezwiązanych z wykonywanymi zadaniami”, które nader często są jedynie martwymi zapisami w umowach z pracodawcą. Jeżeli dział IT nie podejmie odgórnych działań związanych z przestrzeganiem polityki bezpieczeństwa, nie zautomatyzuje procesów, ani też nie będzie monitorował zachowań pracowników w tym zakresie, unikanie zagrożeń będzie tylko teorią. Sprawdzony partner IT – taki jak ESKOM – posiada wiedzę oraz niezbędne narzędzia, które automatyzują takie procesy – nie ma więc możliwości, że zasady nie są egzekwowane.

Kodeks karny i prawo autorskie

Warto dodać, iż za zainstalowane na służbowych komputerach nielegalne oprogramowanie odpowiada pracodawca. Zachowanie takie może być uznane za przestępstwo (piractwo komputerowe). Zastosowanie do niego mają przepisy Kodeksu Karnego oraz ustawy o prawie autorskim i prawach pokrewnych. Informację o zakazie instalacji jakiegokolwiek oprogramowania na firmowym sprzęcie warto oczywiście przekazać pracownikowi w formie pisemnego pouczenia, jednak o wiele lepszym rozwiązaniem będzie odpowiednia blokada, założona przez dział IT firmy.

Zarządzanie dostępem do Internetu, uprawnieniami użytkowników czy systemami kontroli sieci to tylko niektóre z usług, jakie oferuje firma ESKOM. Nasi eksperci wykonają też dla Twojej firmy kompleksowy audyt IT dotyczący sprzętu, oprogramowania i licencji.

Nie zastanawiaj się dłużej i już dziś skontaktuj się z nami – polityka bezpieczeństwa systemów zawsze powinna być dla Ciebie sprawą najwyższej wagi. Więcej: https://www.eskom.eu/bezpieczenstwo-systemow/