Podstawy cyberbezpieczeństwa w organizacji

Obecnie każda organizacja opiera swoje działanie na systemach komputerowych, bez których nie mogłaby funkcjonować efektywnie. Dlatego powinna ona zadbać o procesy zabezpieczenia swojej infrastruktury technicznej i informatycznej, gdyż każdy cyberatak może spowodować straty ty nie tylko finansowe,  czy wizerunkowe, ale również wiąże się z  możliwością  postępowania  kontrolnego przeprowadzonego przez Urząd Ochrony Danych Osobowych.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wydała poradnik wskazujący na  12 podstawowych kroków,  jakie trzeba podjąć w celu zabezpieczenia organizacji przed cyberzagrożeniami.
Są to ogólne wytyczne, które należy dostosować do każdej organizacji mając na względzie jej specyfikę i związane z jej działalnością zagrożenia.

1. Rozwijaj dobrą kulturę cyberbezpieczeństwa.

To podstawowe zalecenie, bez którego niemożliwe jest zapewnienie cybernetycznego bezpieczeństwa organizacji. Każda organizacja powinna wyznaczyć osobę odpowiedzialną za nadzór nad procesem zapewnienia cyberbezpieczeństwa. Pomocne  jest również opracowanie standardów bezpieczeństwa spisanych w jednym dokumencie. Poziom przyjętych zabezpieczeń i adekwatność  przyjętych rozwiązań powinna być weryfikowana poprzez audytorów. Tworząc system cyberbezpieczeństwa należy pamiętać o spełnieniu wymagań RODO stosując zasadę „privacy by design” tak by system przewidywał bezpieczne przetwarzanie danych osobowych już w fazie projektowania nowych produktów lub usług.

2. Organizuj odpowiednie szkolenia.

Żadna organizacja nie może dobrze funkcjonować bez odpowiednio przeszkolonych pracowników. W świecie szybko zmieniających się zagrożeń jest to zadanie, które nie może być jednorazowe. Cykliczność szkoleń warto uwzględnić w polityce cyberbezpieczeństwa.

3. Zapewnij skuteczne zarządzanie podmiotami zewnętrznymi.

Przy wyborze dostawcy organizacja powinna kierować się nie tylko jakością wykonanych usług, ale również odpowiednim poziomem zabezpieczeń,  jaki dostawca posiada. Pomocna w ocenie poziomu zabezpieczeń może być ankieta weryfikująca. Nie można zapomnieć również, iż w przypadku przetwarzania danych osobowych w ramach realizacji umowy należy zabezpieczyć  proces przetwarzania poprzez zawarcie odpowiedniej umowy powierzenia.

4. Opracuj plan reagowania na incydenty.

Przygotowanie szczegółowych procedur jest konsekwencją wdrożenia w organizacji polityki cyberbezpieczeństwa. Opracowanie planu działania przed wystąpieniem incydentu jest przejawem pragmatycznego podejścia oraz zapewni organizacji ukierunkowanie podjętych działań w stresującej sytuacji. Należy zatem przygotować odpowiednie procedury i przeszkolić z ich stosowania pracowników, tak aby w momencie wystąpienia incydentu można było działać według wcześniej przyjętego scenariusza.

5. Zabezpiecz dostęp do systemów.

W polityce cyberbezpieczeństwa konieczne jest ujęcie kwestii zabezpieczenia i dostępów do zasobów organizacji. Ważną kwestią jest ustalenie i przekazanie pracownikom wytycznych dotyczących haseł,  tj. ich długości, konieczności  zawarcia małych i wielkich liter, cyfr, znaków specjalnych. Warto mieć na względzie m.in. to aby hasła były odpowiednio zabezpieczone  przed dostępem innych osób i  nie powtarzały się.

6. Zabezpiecz urządzenia.

Tak jak odpowiednio przeszkoleni pracownicy również właściwe zabezpieczenia techniczne pozwolą nam uniknięcie zagrożeń w sieci. Dbałość o bezpieczeństwo infrastruktury jest podstawowym działaniem każdej organizacji. Należy regularnie aktualizować oprogramowanie, stosować programy antywirusowe, stosować tylko autoryzowane oprogramowanie. Pomocne jest również szyfrowanie i zabezpieczanie hasłem dokumentów. W przypadku pracy zdalnej należy określić obowiązujące zasady wykonywania takiej pracy.

7. Zabezpiecz swoją sieć.

Należy również pamiętać o zabezpieczeniu wewnętrznej sieci organizacji. Odpowiednie monitorowanie i ograniczanie ruchu, wydawanie dostępów do zasobów oraz ustanowienie zapory sieciowej jest kluczowe dla zapewnienia bezpieczeństwa sieci.

8. Popraw bezpieczeństwo fizyczne.

Oprócz technicznych zabezpieczeń konieczna jest dbałość o zabezpieczania fizycznie, tj. o umiejscowienia i rodzaj zabezpieczeń fizycznych serwerowni, sposoby zabezpieczenia komputerów i telefonów po zakończonej pracy, określenie procedury przenoszenia sprzętu służbowego w celu pracy zdalnej.

9. Zabezpiecz kopie zapasowe.

Robienie kopii zapasowych danych organizacji jest podstawą formą zabezpieczenia organizacji przed utratą dostępu do danych lub ich kradzieżą. Dlatego istotnym jest opracowanie planu tworzenia kopii zapasowych oraz zautomatyzowanie tego procesu. Należy pamiętać aby kopie zapasowe były przechowywane na innej infrastrukturze technicznej – w przypadku cyberataku pozwoli to na zniwelowanie szkód wynikłych z utracenia dostępu do danych.

10. Korzystaj z chmury.

Wartym rozważenia pomysłem jest przechowywanie danych organizacji w chmurze. Obecnie na rynku jest wiele podmiotów świadczących usługi chmurowe. Przy wyborze odpowiedniego dostawcy rozwiązania chmurowego należy sprawdzić czy dostawca oferuje odpowiedni poziom zabezpieczeń.

11. Zabezpiecz strony internetowe.

Równie istotne jak zabezpieczenie infrastruktury wewnętrznej jest zabezpieczenie strony internetowej. Odpowiednio zabezpieczona strona internetowa w przypadku wielu organizacji jest nie tylko wymaganiem prawnym, ale również świadczy o zachowaniu dbałości o bezpieczeństwo danych klientów. Konieczne jest zabezpieczenie strony poprzesz szyfrowanie używając protokołów HTTPS oraz TLS pomagającego zapewnić prywatność w sieci.

12. Poszukuj informacji i dziel się nimi.

Wymiana informacji związanych z cyberbezpieczeństwem w obrębie własnej organizacji pozwoli na budowanie świadomości pracowników oraz będzie rozwijać kulturę cyberbezpieczeństwa w danej organizacji. Również istotne jest zdobywanie wiedzy na temat nowych  zagrożeń oraz odpowiadającym im nowym zabezpieczeniom.

Poza stosowaniem ww.  wytycznych warto również zadbać o cykliczne testowanie stosowanych zabezpieczeń. Musimy być pewni, że zastosowane zabezpieczenia działają i są skuteczne.

Wprowadzenie powyższych zasad i niezbędnych procedur w organizacji nie jest proste. Dlatego warto rozważyć sięgnięcie po pomoc specjalistów w danej dziedzinie. W naszej ofercie znajdą Państwo zarówno usługi wdrożenia i szkolenia z cyberbezpieczeństwa w Państwa organizacji,  jak również wdrożenia i szkolenia z zakresu ochrony danych.

Autor

Kamil Bodzak

Prawnik, Inspektor Ochrony Danych. Doświadczenie zdobywał w warszawskich kancelariach oraz spółkach specjalizujących się w ochronie danych osobowych oraz doradztwie prawnym m.in. w zakresie prawa cywilnego oraz prawa spółek handlowych. Posiada doświadczenie w zakresie projektów związanych z danymi osobowymi oraz w zakresie sporządzania dokumentacji zgodnej z przepisami RODO.