Jak podchodzimy do bezpieczeństwa informacji ?
W obecnych czasach wiele firm i organizacji funkcjonuje od lat z
działającymi systemami informatycznymi i wdrożonymi procesami, jednak
to co było dobrym rozwiązaniem kilka lat temu, może obecnie nie
przystawać do wymogów rynku. W rezultacie firma ponosi zbędne koszty
działania na realizację nie efektywnych procesów, narażona jest na nowe
ryzyka o których parę lat temu nikt nie wiedział lub nie brał pod
uwagę. Z biegiem czasu pojawiły się nowe wymogi prawne wobec
organizacji w tym Ustawa o Ochronie Danych Osobowych, nowe standardy
bezpieczeństwa na przykład standard wdrożenia systemu zarządzania
systemem informacyjnym (ISO 27001). Z punktu widzenia współczesnej
organizacji warto spojrzeć na stare systemy nowym okiem. Każdy
zagrożenie zidentyfikowane i odpowiednio wcześnie zdiagnozowane pozwoli
oszczędzić państwa pieniądze, czas i utrzymać wiarygodność w oczach
klientów.
W
pierwszej kolejności chcemy zrozumieć w jakim biznesie działa
organizacja, jakie szanse i zagrożenia niesie obszar w jakim
organizacja funkcjonuje, jaka jest wielkość organizacji i stopień
rozwoju organizacji. Inne ryzyka będą krytyczne dla dużej firmy z
wielomilionowymi przychodami, a inne dla firmy o przychodach kilku
milionów. Dla tych samych istniejących ryzyk organizacje te będą
inaczej podchodziły do sposobu ich mitygacji.
Znając
specyfikę i jej branży możemy przystąpić do identyfikacji i oceny
istniejących w organizacji aktywów informacyjnych. Jako taka informacja jest
ważnym aktywem organizacji, istotnym z punktu widzenia jej potrzeb
biznesowych – ma dla niej wartość i dlatego należy ją chronić.
Informacja może istnieć w różnych postaciach. Może zostać wydrukowana
lub zapisana na papierze, może być przechowywana w formie
elektronicznej, przesyłana drogą pocztową lub elektronicznie,
przedstawiona na filmie lub przekazana ustnie podczas rozmowy (ISO/IEC
17799:2005). Wyceny wartości informacji dokonujemy korzystając z
własnej metodologi, lub metodologii klienta. Niemniej na wartość
informacji patrzymy z trzech punktu widzenia:
Poufności – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. (ISO 27001, punkt 3.3)
Integralności – właściwość polegająca na zapewnieniu dokładności i kompletności aktywów (ISO 27001, punkt 3.8)
i
Dostępności – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu (ISO 27001, punkt 3.2)
W trakcie współpracy z klientem jak i po jej zakończeniu naszym priorytetem jest zachowanie poufności uzyskanych informacji.
Poufności – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom. (ISO 27001, punkt 3.3)
Integralności – właściwość polegająca na zapewnieniu dokładności i kompletności aktywów (ISO 27001, punkt 3.8)
i
Dostępności – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu (ISO 27001, punkt 3.2)
W trakcie współpracy z klientem jak i po jej zakończeniu naszym priorytetem jest zachowanie poufności uzyskanych informacji.