Bezpieczeństwo Informacji w organizacji w zgodzie z Normą PN-ISO/IEC 27001:2007

Postępująca informatyzacja życia ułatwia szybki dostęp do wiarygodnych informacji, w efekcie zwiększając efektywność pracy oraz wygodę życia. Łatwy dostęp do informacji niesie jednak ze sobą szereg zagrożeń- obok kradzieży danych, dojść może do ich niezatwierdzonej modyfikacji czy zniszczenia.  Przedsiębiorcy z roku na rok przykładają coraz więcej uwagi do aspektów odpowiedniej ochrony informacji, zarówno w małym liczącym kilku pracowników przedsiębiorstwie, jak i w dużej kilkudziesięcioosobowej organizacji- w większości przypadków jednak te działania dotyczą wyłącznie dalszego zabezpieczania systemów informatycznych, bagatelizując zagrożenia wynikające z braku stosowania odpowiednich zasad bezpieczeństwa informacji oraz sposobów postępowania zapobiegającym jej naruszeniom.

Wbrew powszechnym opiniom, iż bezpieczeństwo informacji to domena informatyków, okazuje się, że dotyczy głównie kwestii organizacyjnych oraz świadomości całego personelu. Na dowód tego przytaczam dziesięć metod najczęściej stosowanych przez osoby chcące pozyskać informacje wartościowe od firmy bez pozostawienia jakichkolwiek śladów np:

• przesiewanie śmieci (łatwy dostęp do śmieci, worków śmieciowych w biurach- wyciągnięcie kilku informacji jest nie zauważalne)‏
• zmyślony gość (m. in. obsługa z zewnątrz, telekomunikacja, serwis komputerowy, elektrycy, budowlańcy, serwis urządzeń alarmowych)
• telefony komórkowe (analogowe telefony komórkowe to najłatwiejsze źródło podsłuchu- cyfrowe tylko dekoder cyfrowy)
• telefony bezprzewodowe (mogą być podsłuchiwane w promieniu 1 mili),
  
• telefony i sieć telefoniczna (duża łatwość do podłączenia się do systemu telefonicznego - do słuchawki, korpusu telefonu, wtyczki telefonicznej lub kabla)
• automatyczne sekretarki (bardzo łatwy dostęp z zewnątrz, często niezmieniony kod fabryczny, prosty dwu lub trzy cyfrowy)
• nieautoryzowane modemy (dobrze zabezpieczona sieć, lecz użytkownik posiada swój modem do sieci publicznej- możliwość obejścia wszystkich zabezpieczeń „tylnymi drzwiami"),
• faksy (te same zagrożenia, co w przypadku telefonów- rolki z kalką stanowią wierną kopię wysłanych faksem dokumentów),
• wewnętrzne spisy telefonów (źródło informacji na temat kluczowych członków kierownictwa, nr wewnętrznych, nr komórek, e- maili, adresów domowych, nr faksów)
• najniebezpieczniejsza forma ataku, jaką może stanowić niezadowolony z pracy pracownik.

Wynika stąd, że bezpieczeństwo informacji to nie tylko zabezpieczenia informatyczne czy fizyczne. To także odpowiednio przeszkolony i świadomy zagrożeń personel, to ustalone zasady i sposoby postępowania (polityki i procedury bezpieczeństwa informacji), to odpowiednio zdefiniowane umowy z dostawcami, to również sformalizowane i przetestowane plany ciągłości działania. Bezpieczeństwo informacji to proces- i jak każdy proces wymaga ciągłego doskonalenia. Jak walczyć oraz przeciwdziałać tym i innym zagrożeniom ataku na informację można dowiedzieć się na szkoleniu „Menadżer Bezpieczeństwa Informacji".