Jak zapewnić bezpieczny dostęp do danych w firmie?

Często nie zdajemy sobie sprawy, że najcenniejszym dobrem w naszej firmie może być dobro niematerialne w postaci danych. Wyobraź sobie, że nagle bezpowrotnie tracisz dostęp do firmowych plików – faktur, zestawień, notatek, dokumentacji. Gdyby ten scenariusz się ziścił to czy nadal byłbyś w stanie dobrze prowadzić swój biznes? Jeżeli utrata danych byłaby dla Twojego biznesu katastrofą, warto pochylić się nad tematem przechowywania Twoich elektronicznych zbiorów firmowych. Aby zapewnić sobie bezpieczny i pewny dostęp do danych firmowych, powinieneś wziąć pod uwagę kilka bardzo ważnych zasad, które przedstawimy Ci w tym artykule.

Utrata firmowych danych

Zapewne żadna firma nie chciałaby się zetknąć z takim problemem, jednak rzeczywistość jest brutalna i pokazuje, że to coraz większy kłopot w wielu przedsiębiorstwach. Użytkownicy, czyli pracownicy są zazwyczaj najsłabszym ogniwem. To właśnie przez ich nieumyślne działania firmowe pliki są wykradane. Dzieje się tak poprzez nierozsądne działania w sieci, pobieranie podejrzanych załączników zawierających złośliwe oprogramowanie czy klikanie w linki pochodzące od nieznanych nadawców wiadomości elektronicznych. Jeśli pracownik będzie zachowywał się nierozsądnie, nie pomoże nawet najlepszy system zabezpieczeń, dlatego dla pełnego w firmie ważna jest odpowiednia edukacja zespołu w zakresie bezpieczeństwa w sieci.

Kasperski Lab, przedsiębiorstwo zajmujące się tworzeniem oprogramowania antywirusowego, opublikowało jakiś czas temu statystyki dotyczące utraty firmowych danych. Prezentujemy je poniżej.

Utrata firmowych danych – zagrożenia zewnętrzne.

Jak doskonale widać, firmowe informacje są najczęściej wykradane przez szkodliwe programy. Na drugim miejscu klasyfikują się ataki phishingowe, zaś na trzecim włamania do sieci oraz kradzież urządzenia mobilnego.

Jak podaje raport Ponemon Institute, najbardziej narażone na wyciek danych są małe oraz średnie firmy. Warto wiedzieć, że na szefach firm spoczywa obowiązek odpowiedzialności nie tylko za utratę wrażliwych danych na temat działalności biznesu, ale również za utratę danych osobowych pracowników, wspólników czy klientów. 

Bezpieczny dostęp do firmowych danych – jak powinien wyglądać?

Firmowe zasoby muszą mieć zapewnione bezpieczeństwo. Ich wyciek może mieć poważne konsekwencje dla całego przedsiębiorstwa. Niesie za sobą nie tylko zagrożenia finansowe, ale też wizerunkowe. Kto chciałby pracować w firmie, która nie potrafi zabezpieczyć danych? Poniżej zebraliśmy kilka zasad i wskazówek dotyczących bezpiecznego dostępu do firmowych zasobów.

Bezpieczny dostęp przede wszystkim – pliki należy przechowywać w miejscu, które zapewnia im bezpieczeństwo 

Trzymanie ważnych plików na komputerze w pomieszczeniu, do którego każdy ma swobodny dostęp lub na nośniku, którego łatwo wynieść z firmy (np. pendrive, dysk przenośny) nie jest dobrym pomysłem. Urządzenie przechowujące pliki powinno być przechowywane w miejscu, gdzie dostęp ma bardzo ograniczona ilość osób. 

Dojście do danych powinno być maksymalnie uproszczone 

Jest to bardzo ważne dla osób nietechnicznych, które najprawdopodobniej napotkają na problemy, gdy dostęp do danych będzie wymagał wykonania wielu kroków, podawania wielu różnych kont (np. oddzielne konta do VPN, komputera, serwera plików itd.). Uproszczony dostęp powinien zapewniać wszystko jednym kontem. Takie rozwiązanie zminimalizuje możliwość pomyłki użytkownika. 

Dokumenty muszą być chronione za pomocą kopii zapasowych 

Teoretycznie powinna to być oczywistość, jednak nadal w wielu firmach zauważa się brak kopii zapasowych lub ich niepoprawne przechowywanie (np. w postaci pendrive podłączonego bezpośrednio do urządzeń przechowujących dane). To ogromny błąd. W przypadku awarii urządzenia odpowiedzialnego za przechowywanie firmowych plików, odzyskanie informacji jest bardzo trudne, a w niektórych przypadkach wręcz niemożliwe. Ochrona danych za pomocą kopii zapasowych to więc jedno z potrzebniejszych zabezpieczeń w firmie.

Dane powinny być wersjonowane z możliwością szybkiego dostępu do poszczególnych wersji 

Niepożądane zmiany powinny być możliwie łatwe do wycofania dzięki częstemu wersjonowaniu plików. Uchroni to nas przed czasochłonnym wyciąganiem plików z kopii zapasowych. 

Pracownicy i klienci powinni mieć dostęp do koniecznego minimum danych

Trzymanie plików wszystkich użytkowników i wszystkich działów w jednym katalogu nie jest dobrym pomysłem. Przykładowo pracownicy obsługi klienta nie powinni posiadać dostępu do danych księgowych itp. Należy odpowiednio ograniczać dostępy, aby Twój pracownik miał wgląd wyłącznie do niezbędnych plików i katalogów umożliwiających mu pracę. 

Pliki muszą być chronione przed przypadkowym dostępem przez osoby niepowołane w wyniku podania się za naszego pracownika 

Musisz pamiętać, że w większości przypadków, gdy ktoś pozna Twoje dane do logowania (login + hasło) to w wirtualnym świecie stanie się Tobą. Dlatego należy unikać stosowania podobnych lub identycznych haseł w wielu miejscach oraz dodatkowo zabezpieczać konta, za pomocą których uzyskujemy dostępy do ważnych danych za pomocą dodatkowych kodów jednorazowych (tzw. multi-factor authentication) generowanych na przykład na Twoim telefonie. 

Dostęp do danych powinien być odpowiednio rozliczany 

Powinieneś mieć możliwość wglądu w operacje takie jak: tworzenie, usuwanie, modyfikowanie, które są wykonywane na danych w firmie. Dzięki temu będziesz w stanie rozliczać użytkowników z tego co robią i wykryć potencjalnie niepożądane aktywności.

Zwiększenie bezpieczeństwa poczty e-mail

Skrzynka pocztowa to najczęstszy cel ataków cyberprzestępców. Hakerzy poprzez wiadomości e-mail wysyłają nieświadomym użytkownikom groźne wirusy. Zamieszczają je w załącznikach. Po pobraniu takiego pliku na komputerze odbiorcy uruchamia się program, za pomocą którego przestępcy mogą wykraść firmowe dane lub je zaszyfrować. Powinno się regularnie przestrzegać pracowników przed odpowiadaniem na podejrzane wiadomości e-mail i pobieraniem załączników niewiadomego pochodzenia. Samo korzystanie z darmowej poczty jest niedopuszczalne! Nie tylko dlatego, że adres e-mail wygląda nieprofesjonalnie. Chodzi również o poziom zabezpieczeń, który w darmowej usłudze jest na bardzo niskim poziomie. Więcej o bezpieczeństwie poczty przeczytasz tutaj. 

Edukacja na temat bezpieczeństwa w sieci

Warto zainwestować w szkolenia dla pracowników. Powinni wiedzieć, że ich nieodpowiedzialne zachowanie naraża nie tylko ich, ale również całą firmę. Muszą być świadomi zagrożeń i sumiennie stosować się do zasad bezpieczeństwa. Dla utrwalenia, zasady te powinny wisieć w miejscu pracy w widocznym miejscu. Tak, aby codziennie każdy pracownik miał je na uwadze.

Szkolenia pracowników z zakresu cyberbezpieczeństwa.

Gościnny dostęp do sieci Wi-Fi

Pracownicy łączą się poprzez różne urządzenia do firmowej sieci Wi-Fi. Nie jest to nic nadzwyczajnego, jednak dla lepszej ochrony danych, należy ograniczyć to dojście. Owszem ich komputery muszą być podłączone do sieci, ale prywatne telefony już nie powinny. Dobrze jest utworzyć sieć odizolowaną, która przydaje się w przypadku wizyt Klientów w firmie. Gdy jakiś gość musi skorzystać z Wi-Fi, nie dajesz mu dostępu do zasobów firmowych, ale do odizolowanej sieci. Dzięki temu zwiększasz poziom bezpieczeństwa firmowych danych.

Powinieneś pilnować aktualności i słuszności uprawnień Twoich pracowników 

Czy na pewno Twój pracownik, z którym zakończyłeś już współpracę, nie ma dostępu do niczego, co znajduje się w firmie, np. do firmowego VPN czy poczty? Musisz pamiętać, że gdy zakończysz już z kimś współpracę, to należy zabrać takiej osobie wszystkie dostępy, np. do wspomnianej poczty a wszelkie hasła współdzielone, np. do bankowych kont firmowych powinny zostać natychmiast zmienione.

Możliwość dostępu do danych musi być ciągła

Miejsce przechowujące pliki (np. serwer) powinno mieć zapewnione ciągłe warunki pracy i być niezależne od tzw. czynników środowiskowych, czyli od przerw w dostępie do Internetu lub przerw w zasilaniu (krytyczny wymóg, który powinien być spełniony, ponieważ niespodziewane przerwy w zasilaniu mogą spowodować utratę danych). Warto rozważyć przechowywanie firmowych danych w tzw. chmurze (np. Microsoft Azure) lub przetrzymywać serwery w specjalnie do tego projektowanych i udostępnianych pomieszczeniach (tzw. kolokacja). W ten sposób przerzucasz konieczność zapewnienia odpowiednich warunków na inne podmioty. 

Pliki powinny być przechowywane w logiczny, ustrukturyzowany sposób 

Jak już wcześniej wspomnieliśmy, trzymanie wszystkiego w jednym katalogu, nie jest najlepszym pomysłem. Dane firmowe warto uporządkować w logiczną całość, np. działami, następnie stanowiskami a na koniec ograniczyć ich widoczność poprzez nadanie odpowiednich uprawnień, które pozwolą na kontrolę dostępu do Twoich plików. 

Wewnętrzny system bezpieczeństwa

Każda szanująca się firma powinna stworzyć wewnętrzne standardy bezpieczeństwa. Mowa tu chociażby o zwykłym regulaminie, który będzie określał zasady bezpieczeństwa w organizacji. Na jego podstawie będzie można pociągać użytkowników do odpowiedzialności za błędy.

W każdej firmie powinien być regulamin określający zasady bezpieczeństwa.

Zastosowanie się do powyższych wskazówek na pewno zwiększy poziom bezpieczeństwa danych w Twojej firmie. Jeśli jednak nadal czujesz, że to bezpieczeństwo jest zagrożone, skontaktuj się z nami. Podpowiemy rozwiązania, które przyczynią się do lepszej ochrony Twojego biznesu!