Směrnice

Bezpečnostní směrnice obsahuje obecná pravidla a doporučení pro manipulaci s daty a výpočetní technikou. S těmito dokumenty se seznamují zaměstnanci při nástupu do firmy. Ta úplně nejdůležitější pravidla je dobré co nejvíce zjednodušit a sepsat do tzv. desatera bezpečnosti, které si každý zaměstnanec musí pamatovat a bezpodmínečně dodržovat.

Více informací najdete v našem slovníku - IT směrnice.

Oprávnění

Z bezpečnostních důvodů je obzvlášť důležité ve firmě vymezit, kdo má jaká práva v určitých systémech nebo aplikacích. Toto je typicky dané pozicí ve firmě. Zaměstnanci na různých pozicích vykonávají různé činnosti a potřebují přístupy do různých částí systémů. Je proto důležité, aby změna pozice nebo dokonce odchod zaměstnance vyvolaly změnu oprávnění v příslušných aplikacích. Velmi často se bohužel stává, že zaměstnanci pracující ve firmě 10 let mají přístup již skoro ke všem aplikacím a nikdo už nemá přehled o tom, kam všude se takový zaměstnanec vlastně dostane. To je samozřejmě špatně. Člověk, který pracuje např. na pozici HR (personalista) a přejde na pozici marketéra, nebude svá původní oprávnění již potřebovat pro výkon práce a k těmto informacím přístup mít nemá.

Nesmíme opomenout, že například i mateřská/rodičovská dovolená se považuje za změnu pracovního poměru.

Důležitost firemních informací

Je potřeba zajistit, aby jednotlivci věděli, která data ve firmě jsou důležitá a jakým způsobem je chránit. Pokud mluvíme o datech, mohou mít různou formu, důvěrnost a důležitost. Od podrobně propracovaných a dlouhodobě budovaných databází obchodních partnerů po výrobní či vývojové postupy.

Důvěrnost dat je jejich zajištění proti neautorizovanému vyzrazení. To znamená, že po celou dobu k nim mají přístup jen oprávnění uživatelé.

Nejprve je potřeba data zařadit (klasifikovat) do určitých kategorií podle jejich důvěrnosti. Například smlouvy bereme jako důvěrné informace, ke kterým má přístup pouze určitý úzký okruh osob. Potom co zařadíme naše data do správných kategorií, určíme, kdo k těmto informacím má mít přístup.

Zároveň musíme definovat, jaké úrovně bezpečnosti chceme v dané kategorii dosáhnout. Vezmeme si jako příklad zmíněnou pozici HR. Tato pozice se setkává s citlivými informacemi zaměstnanců, jako například jejich zdravotní stav. Tyto informace klasifikujeme typicky jako důvěrné, a proto budeme požadovat, aby systémy, ve kterých se tyto informace vyskytují, byly řádně technologicky zabezpečeny (např. šifrováním dat, dvoufázovou autentifikací uživatele apod.).

Není podstatné, jak je klasifikace navrhnuta, ale měl by ji znát každý zaměstnanec. To znamená především skutečnost, že každý ví, jak smí s daty dané kategorie nakládat, a jak moc jsou dokumenty v ní citlivé. Na obrázku níže si můžeme přehledně přiblížit příklad klasifikace dat ve firmě:

Klasifikace informací

Základní audit IT ve firmě

Základní audit typicky hodnotí bezpečnost a efektivitu IT. Zjišťuje, zda je formálně bezpečnost nastavena správně a dodržuje se. Je to první krok k proměně IT ve spolehlivou a měřitelnou službu, která podporuje byznys.

Tento audit si necháváme zpracovávat v případě, kdy nejsme spokojeni s výkonem tohoto oddělení nebo pochybujeme, zda chápe, co byznys potřebuje, či zda výdaje jsou adekvátní.

Základním auditem se také začíná ve chvíli, když vedení společnosti má obavy ze ztrát hrozících v případě výpadku systémů a IT oddělení není schopno doložit jakým způsobem je toto zajištěno.

Pojištění na kybernetická rizika

V dnešní době je již možné pojistit se i na kybernetická rizika. Pojištění je vhodné typicky pro společnosti, které potřebují chránit citlivé údaje (zdravotní dokumentace, finanční situace klienta atd.) nebo zpracovávají velké množství dat třetích osob.

Pojištění kryje odpovědnost společnosti v případě škod třetím osobám a pokrývá náklady na IT experty, vyjednávací odborníky pro komunikaci s hackery apod.