Efektywne zarządzanie ryzykiem IT wymaga kompleksowego podejścia
Określenie strategii zarządzania ryzykiem IT w wielu firmach w ogóle nie jest praktykowane. Wynika to z nieświadomości przedsiębiorców oraz niechęci do wprowadzania zmian w ramach organizacji ze strony kierowników i pracowników firmy. Jakie zatem podjąć działania, aby zwiększyć poziom bezpieczeństwa przy nienaruszaniu podstaw funkcjonowania firmy? W tym artykule podzielimy się z Wami dobrymi praktykami w obszarze, jakim jest zarządzanie ryzykiem IT.
Weryfikacja poprawności zarządzania danymi biznesowymi
Kontrole bezpieczeństwa procesów biznesowych są prowadzone w oparciu o precyzyjnie wyznaczone wskaźniki skuteczności definiujące cele strategii bezpieczeństwa IT. Wyniki przeprowadzonych audytów i testów penetracyjnych wskazują, na jakich obszarach firma powinna bardziej skupić się, aby zadbać o ochronę wrażliwych zasobów biznesowych. Wśród takich obszarów wymienia się:
- Dostęp pracowników i osób z zewnętrz do firmowych baz danych.
- Poprawność działania urządzeń sieciowych i serwerowych.
- Przetwarzanie danych elektronicznych.
Kontrole bezpieczeństwa elementem procesu zarządzania ryzykiem IT
Kontrole w obszarze bezpieczeństwa IT mogą być przeprowadzane według trzech podstawowych rodzajów. Mogą być zlecane zewnętrznej firmie informatycznej jednorazowo bądź przebiegać cyklicznie w ramach abonamentowej obsługi informatycznej.
- Kontrole fizyczne – sprawdzeniu podlegają urządzenia materialne i elektroniczne, które służą do ograniczenia dostępu do pomieszczeń i zasobów firmowych niepożądanym osobom. Należą do nich karty dostępowe, szlabany, bramy wjazdowe, oświetlenie bezpieczeństwa, kamery monitorujące obiekt, czujniki ruchu, czytniki linii papilarnych oraz inne biometryczne narzędzia kontroli dostępu.
- Kontrole techniczne – polega na wdrożeniu i weryfikowaniu poprawności działania sprzętu i oprogramowania biznesowego, które mają na celu wykrycie i przeciwdziałanie niepożądanym ruchom wewnątrz systemu firmowego. Wśród najczęściej stosowanych form oprogramowania znajdują się: oprogramowanie antywirusowe i antyspamowe, zapory ogniowe typu firewall, systemy wykrywania i ochrony przed włamaniami (IDS/IPS), szyfrowanie danych i haseł oraz oprogramowanie z interfejsem posiadającym ograniczone funkcjonalności dla wybranych grup użytkowników.
- Kontrole administracyjne – spis praktyk i procedur bezpieczeństwa, które wyznaczają przepisy postępowania pracowników w związku z podejrzeniem lub zaistnieniem zagrożenia skierowanego na system bezpieczeństwa IT. W ramach zasad określa się formy informowania o nieprawidłowościach w działaniu systemu komputerowego, urządzeń sieciowych oraz innych komponentów infrastruktury IT oraz rozwiązania technologiczne służące do ochrony danych biznesowych.
Jakie kroki podjąć, aby zarządzanie ryzykiem IT było skuteczne?
Wymienione środki kontroli bezpieczeństwa IT służą do wykrywania, przeciwdziałania zagrożeniom, minimalizowania ich negatywnych skutków oraz prowadzenia działań naprawczych. W ramach strategii zarządzania ryzykiem IT powinny zostać wyznaczone metody prewencyjne, które mają za zadanie powstrzymać niechciane, nieautoryzowane i najprawdopodobniej szkodliwe dane, które mogą zaburzyć prawidłowego działanie systemu informatycznego firmy. Wykrycie szkód w systemie IT lub zauważenie zaburzenia wydajności wybranych parametrów technicznych wymaga podjęcia reakcji, którą określa się mianem kontroli naprawczej. Możliwe niepożądane działania to m.in. poddanie wirusa kwarantannie, uaktualnienie systemu operacyjnego czy wprowadzenie poprawek do oprogramowania służącego do zarządzania procesami biznesowymi.
Wszystkie wymienione działania podejmowane w ramach kontroli fizycznych, technicznych i administracyjnych powinny zostać uwzględnione w strategii bezpieczeństwa firmy. Najlepiej w rozdziale zatytułowanym „Zarządzanie ryzykiem IT”.