Dane w biznesie – jak je zabezpieczyć? 5 dobrych praktyk

Obecnie walka z cyberprzestępczością i zapewnienie bezpieczeństwa danych jest jednym z największych wyzwań dla firm. Analitycy zauważają stale rosnącą liczbę ataków na serwery, wykorzystujące coraz bardziej zaawansowane metody, które korzystają z szyfrowania w celu ukrycia szkodliwej aktywności.

Według raportu Cisco 2016 Annual Security cyberprzestępcy ze swojej działalności czerpią milionowe zyski, podczas gdy firmy stale walczą z wykrywaniem i zwalczaniem zagrożeń. Polskie przedsiębiorstwa (sektor MSP) deklarują wysoką dbałość o bezpieczeństwo danych. Zgodnie z raportem przeprowadzonym przez Microsoft, aż 73% przedsiębiorstw inwestuje w obszar bezpieczeństwa.

Świadomość przedsiębiorców w zakresie bezpieczeństwa danych i ochrony przed cyberprzestępczością stale rośnie. Koszty związane z utratą firmowych danych i konsekwencjami, takimi jak na przykład koszty zastoju w funkcjonowaniu przedsiębiorstwa czy odzyskiwania danych mogą być ogromne. Poniżej przedstawiamy kilka dobrych praktyk, których przestrzeganie z pewnością pomoże zminimalizować ryzyko utraty danych.

1. Edukacja pracowników

Informowanie pracowników o zagrożeniach bezpieczeństwa jest bardzo ważnym elementem ochrony danych. Warto także zapewniać pracownikom szkolenia na tematy dotyczące bezpiecznego używania haseł, właściwego korzystania ze skrzynki pocztowej czy tworzenie kopii zapasowych danych.

Najczęstszą przyczyną utraty danych są błędy ludzkie. Warto zatem upewnić się, że pracownicy wiedzą, do kogo powinni się zwrócić z problemem związanym z ich pracą w środowisku informatycznym i uświadamiać ich, że w większości przypadków próby rozwiązania tego typu problemów na własną rękę mogą skończyć się katastrofą.

2. Wprowadzenie zasad przechowywania danych

Każde przedsiębiorstwo powinno określić i wdrożyć politykę właściwego magazynowania danych i informacji biznesowych. Takie zasady zazwyczaj określają, jakie dane powinny być przechowywane, przez jaki czas i w jakich warunkach. Ważnym elementem polityki przechowywania danych powinno być także wskazanie, jakie dane mogą zostać skasowane, jak takie kasowanie powinno się odbywać oraz w jakim miejscu (np. w siedzibie firmy czy w firmie świadczącej takie profesjonalne usługi). Zależy to przede wszystkim od tego, czy nośniki z danymi mogą opuszczać mury przedsiębiorstwa.

3. Opracowanie planu bezpieczeństwa

Zadaniem takiego planu jest określenie działań, które należy podjąć w przypadku różnych sytuacji naruszenia bezpieczeństwa, aby zapobiec utracie danych. Plan powinien uwzględniać zasady określające, czy i w jaki sposób pracownicy mogą uzyskać dostęp do różnego typu danych. Plan bezpieczeństwa danych to swoista instrukcja dla wszystkich pracowników na wszystkich szczeblach. Powinien to być dokument poddawany aktualizacji w zależności od zmian zachodzących w firmie, aby jego zapisy przystawały do rzeczywistości.

4. Ochrona urządzeń mobilnych

Urządzenia podłączone do Internetu poprzez sieć firmową mogą obejmować serwery, komputery stacjonarne, laptopy, tablety czy smartfony. Większość przedsiębiorstw zezwala pracownikom na pobieranie aplikacji na swoje urządzenia za pośrednictwem firmowej sieci, otwierając tym samym hakerom drzwi do kradzieży biznesowych danych. Należy zatem wziąć to pod uwagę, tworząc politykę bezpieczeństwa danych i wyraźnie zdefiniować, za pomocą jakich urządzeń można łączyć się z wewnętrzną siecią oraz jak bezpiecznie pobierać aplikacje.

Ponadto warto pamiętać o korzystaniu z silnych haseł, instalowaniu bieżących aktualizacji oprogramowania, używaniu aktualnej wersji programu antywirusowego, a także o zdrowym rozsądku (patrz punkt 1).

5. Przygotowanie Disaster Recovery Plan

Disaster Recovery Plan to narzędzie, które pomaga przygotować się na wypadek niespodziewanej sytuacji kryzysowej. To chłodna kalkulacja ryzyka związanego z utratą danych. Podstawą jest założenie, że w każdej chwili może dojść do nieprzewidzianej awarii o dużym zasięgu, której efektem będzie paraliż infrastruktury IT i – co za tym idzie – paraliż przedsiębiorstwa. Disaster Recovery Plan powinien zawierać takie elementy jak podział ról i obowiązków pracowników, sposoby reagowania na kryzys, plan naprawczy, procedury, dokumentację i szczegóły infrastruktury. Plan naprawczy powinien być regularnie testowany i dostosowywany do zmian zachodzących w przedsiębiorstwie (patrz punkt 3).

W erze Internetu, urządzeń mobilnych, Big Data i szybkiego rozwoju technologii ważne jest, aby nadążać za ciągłymi zmianami i potrafić uchronić się przed zagrożeniami, jakie te zmiany za sobą niosą. Firmy powinny ze szczególną starannością dbać o zabezpieczenia, które obejmują ochronę przed zagrożeniami zewnętrznymi (wirusami, cyberatakami), ale także tymi wewnętrznymi (niewłaściwe wykorzystanie urządzeń przez pracowników czy nieodpowiednie postępowanie z danymi). Wdrożenie powyższych praktyk będzie wymagało poświęcenia odpowiedniej ilości czasu i zasobów, jednak z całą pewnością warto to zrobić, aby zabezpieczyć firmę przed utratą danych i konsekwencjami takiego zdarzenia.