Świadomość zagadnień bezpieczeństwa w przedsiębiorstwach

Skala stosowania technologii informatycznych w przedsiębiorstwach gwałtownie rośnie. Szybka realizacja zamówień, prawidłowa gospodarka magazynowa i efektywna wymiana informacji wewnątrz przedsiębiorstwa oraz z partnerami to niezbędne warunki prawidłowego procesu produkcyjnego.

Skala stosowania technologii informatycznych w przedsiębiorstwach gwałtownie rośnie. Szybka realizacja zamówień, prawidłowa gospodarka magazynowa i efektywna wymiana informacji wewnątrz przedsiębiorstwa oraz z partnerami to niezbędne warunki prawidłowego procesu produkcyjnego.

Koncepcja bezpieczeństwa w przedsiębiorstwie musi uwzględniać cztery kategorie, od poufności do dostępności.

Koncepcja bezpieczeństwa w przedsiębiorstwie musi uwzględniać cztery kategorie, od poufności do dostępności.

Systemy informatyczne nie tylko sterują produkcją, ale również instalacjami wewnętrznymi (telefony, klimatyzacja, ogrzewanie, instalacje przeciwpożarowe i alarmowe). Niestety, świadomość własnej zależności od infrastruktury informatycznej i związanej z tym podatności na różne zagrożenia nie jest powszechna.

Wiele się, co prawda, mówi o zabezpieczaniu danych mających krytyczne znaczenie dla przedsiębiorstwa, własności intelektualnej (takiej jak rysunki konstrukcyjne), danych klientów, danych finansowych itd., ale mało kto wie, o co naprawdę chodzi. Mimo wielu potencjalnych zagrożeń, jak choćby ryzyko ataku elektronicznego, brak właściwego wyczulenia na te zagrożenia.

Informacja ciągle jeszcze nie jest traktowana jako właściwy, często najważniejszy składnik majątku przedsiębiorstwa. A przecież dezintegracja tej informacji lub utrata jej wiarygodności może oznaczać utratę klientów lub przewagi konkurencyjnej.

Kwestie bezpieczeństwa w małych i średnich przedsiębiorstwach obejmują przede wszystkim problemy bezpieczeństwa połączeń internetowych, sieci lokalnych i bezpieczeństwa aplikacji.

Zapewnienie bezpieczeństwa obejmuje środki, które mają zagwarantować wiarygodność, poufność, integralność i wiążący charakter wiadomości i informacji, a także dostępność i uprawnione użytkowanie zasobów informatycznych przedsiębiorstwa.

Aspekty bezpieczeństwa informatycznego

Wraz z rozwojem systemów sieciowych wewnątrz i na zewnątrz przedsiębiorstw rośnie niebezpieczeństwo, że osoby nieuprawnione zdobędą dostęp do informacji w celu jej zniekształcenia ze szkodą dla przedsiębiorstwa lub w celu uzyskania własnych korzyści. Oszacowanie potencjalnych zagrożeń wymaga określenia, przed kim należy się bronić. Potencjalne osobowe źródła zagrożeń można podzielić na następujące kategorie:

  • byli pracownicy, którzy odeszli z przedsiębiorstwa w wyniku konfliktu

  • nieuczciwi pracownicy

  • źle wykształceni lub źle wyszkoleni pracownicy

  • hakerzy

  • konkurenci.
Należy przy tym pamiętać, że niektórzy z wyżej wymienionych mogą łamać zasady bezpieczeństwa świadomie, inni zaś nieświadomie. Wiele analiz dowodzi, że naruszający zasady bezpieczeństwa w firmach w 60-80 procentach rekrutują się z własnych szeregów.

Cztery kategorie: poufność, integralność, wiarygodność i dostępność tworzą kryteria, jakie musi spełnić koncepcja bezpieczeństwa informatycznego w przedsiębiorstwie.

Poufność oznacza, że dostęp do danych powinny mieć wyłącznie osoby uprawnione. Niestaranne zabezpieczenie poufności danych to potencjalne źródło poważnych problemów. Każdy aspekt działalności przedsiębiorstwa wymaga zastosowania niezbędnych środków, które uniemożliwią nieuprawnionym dostęp do informacji w przedsiębiorstwie.

Zapobieganie nieuprawnionym modyfikacjom informacji nosi nazwę zapewnienia integralności danych. Chodzi o to, żeby określony odbiorca otrzymał dokładnie te dane, które zostały wysłane przez nadawcę. Kryterium integralności obowiązuje również wewnątrz przedsiębiorstwa.

Pracownik przedsiębiorstwa, pobierający dane, musi je otrzymać dokładnie w takiej postaci, w jakiej ostatnio zostały zapisane. Istnieje niebezpieczeństwo, że osoby nieuprawnione mogą dokonywać manipulacji w wewnętrznych zasobach informacji przedsiębiorstwa lub że dokumenty mogą zostać zmienione w trakcie ich przesyłania online.

Wiarygodność danych oznacza, że odbiorca może ustalić, kto jest rzeczywistym nadawcą dokumentu. Również nadawca musi mieć pewność, że wysłane dane dotrą do wybranego odbiorcy.

Czwarty aspekt bezpieczeństwa informatycznego to dostępność usług informatycznych, funkcjonalności, informacji i danych. Konieczne jest zagwarantowanie pełnej dostępności przez cały czas.

Potencjał zagrożeń

Przedstawiona tu lista potencjalnych zagrożeń dla małych i średnich przedsiębiorstw nie jest, oczywiście, kompletna - chodzi o zasygnalizowanie problemu.

Każde małe i średnie przedsiębiorstwo jest potencjalnie zagrożone. Nie tylko wielkie koncerny, ale również mniejsze przedsiębiorstwa dysponują ważnymi informacjami lub kontaktami. Ryzyko stania się ofiarą szpiegostwa przemysłowego wzrasta wraz z rozbudową kontaktów zewnętrznych, która oznacza wzmożoną wymianę informacji. Istotny element ryzyka to outsourcing - np. zlecenie obsługi systemów informatycznych firmie zewnętrznej.

Małe i średnie przedsiębiorstwa rzadko dysponują ogólną strategią w zakresie technologii informatycznych. Decyzje o stosowaniu nowych technologii podejmowane są często z konieczności lub chwilowej potrzeby. Typowy przykład to stosowanie systemów ERP i CRM. Decyzja o zakupie nie wynika z ogólnej strategii, lecz ma charakter wycinkowy.

Zakupowi technologii informatycznych nie towarzyszy na ogół zakup koncepcji bezpieczeństwa. Inwestycja ma jedynie rozwiązać określone problemy w przedsiębiorstwie, dlatego nie wiąże się z planowaniem i zapewnieniem niezbędnych środków bezpieczeństwa.

Stopień ryzyka rośnie ze wzrostem wykorzystania technologii informatycznych. Zachodzi ścisła zależność między wzrostem zagrożenia a intensywnością korzystania z nowych technologii - w przedsiębiorstwach aktywniej korzystających z technologii informatycznych jest więcej zasad bezpieczeństwa do złamania. Jednocześnie w tych przedsiębiorstwach szkody powstałe w wyniku błędów własnych pracowników mają mniej groźne skutki, bo kadra jest lepiej wykształcona.

Wszystkie aspekty działania małych i średnich przedsiębiorstw narażone są na niebezpieczeństwo, jednak z punktu widzenia potencjalnego napastnika najbardziej obiecujące są takie działy, jak księgowość, controlling, dział badawczo-rozwojowy i dział produkcji.


Zobacz również