W ramach akcji „Bezpieczne Dane” chciałbym przypomnieć o istnieniu zasad dotyczących publikowania danych na udziałach sieciowych. Ponieważ mało komu chce się czytać procedury postaram się zwrócić uwagę na bezpieczeństwo danych w kilku słowach.
Bądźmy świadomi KOMU udostępniamy dane – publikując dane określmy kto ma mieć do nich dostęp i określmy kto ma dostęp do udziału na którym dane są publikowane. Nie jesteś pewny zapytaj informatyka on udzieli ci potrzebnych informacji, doradzi jak to zrobić bezpiecznie. Przypominam katalogi publiczne są dostępne dla wszystkich użytkowników sieci firmy. Znaleźć mogą się tam jedynie informacje ogólnie dostępne np. instrukcje, druki … nie mają prawa znaleźć się tam pliki zawierające informacje wrażliwe.
Bądźmy świadomi CO udostępniamy – myślmy jakie pliki są publikowane, jakie informacje zawierają. Zastanówmy się czy dany plik nie wymagają specjalnego traktowania. Jeśli plik zawiera kwoty, nazwiska, plany to wymaga specjalnego i świadomego traktowania.
Musimy być świadomi (niestety) skrajnej nieodpowiedzialności i ignorancji użytkowników sieci - objawiającej się zostawianiem nie zablokowanego komputera bez opieki; udostępnianie komputera podwykonawcą, kontrahentom, nieuprawnionym pracownikom; udostępnianie hasła. Taka sytuacja niszczy bezpieczeństwo niezależnie od staranności przy budowaniu systemu uprawnień.
Kto czyha na dane. W firmie spotykamy się kilkoma typami zachowań związanych z dostępem do danych.
Turysta – osoba przeglądająca wszelkie dostępne udziały sieciowe i pliki, powodowana nieodpartą chęcią zdobywania wiedzy.
Kolekcjoner – osoba kopiująca wszelkie możliwe dane (niezależnie od zawartości) na dysk lokalny a następnie wynosząca je do domu, ponieważ kiedyś się mogą przydać.
Złodziej – osoba wykorzystująca znalezione dane dla osiągnięcia korzyści lub/i przekazująca dane konkurencji.
Na koniec kilak luźnych „przypominajek”:
Hasła w plikach pakietu Office nie należy traktować jako pewne zabezpieczenie. Hasło uchroni przed przypadkową zmianą, ogranicza dostęp do danych dla Turysty czy Kolekcjonera ale nie jest wystarczającym zabezpieczeniem przeciw Złodziejowi.
Nasza nieodpowiedzialność może narazić firmę na straty finansowe.
Niezgłoszenie odejścia pracownika mającego dostęp do sieci, „pozwala mu” na stały dostęp do danych pracując np. dla konkurencji.
Nie zapominajmy, że poza „gadaniem” informatyka dane firmy są chronione przez prawo i nawet jest kilka paragrafów kodeksu karnego to opisujących.
Lepiej, żeby kilku uprawnionych nie dostało się do danych niż ma się dostać jeden nieuprawniony.
