12 listopada 2014

Bezpieczeństwo danych a szkolenia pracowników

Bezpieczeństwo danych a szkolenia pracowników


Autor: Filip Turyk


Podczas codziennej pracy biurowej borykamy się z dużą ilością problemów. Jednym z nich jest wiedza pracowników na temat bezpieczeństwa naszych danych. Cóż, bowiem pomogą nam najlepsze nawet zabezpieczenia sieciowe, jeśli dostęp do poufnych danych może uzyskać ktoś bez specjalistycznej wiedzy informatycznej?


Chroniąc dane osobowe w naszej firmie wydajemy majątek na zabezpieczenia informatyczne. Kupujemy drogi serwer, router, najnowsze komputery i oprogramowanie. Często też zlecamy obsługę informatyczną firmie zewnętrznej. Wprowadzamy hasła i szyfrowane połączenia. Wyznaczamy osobę odpowiedzialną za nadzór, którą jest administrator bezpieczeństwa informacji. Czy jednak to wystarczy? Pracownicy naszej firmy otrzymali najnowszy sprzęt komputerowy, informatyk zadbał, aby uprawnienia dostępowe były na jak najniższym poziomie..., Co się jednak stanie, jeśli do którejś z osób zadzwoni ktoś, kto przedstawi się, jako konserwator sieci, który właśnie przeprowadza badania ruchu sieciowego, aby zadbać, o jakość naszego połączenia sieciowego? Doda jeszcze, że dla prawidłowej analizy pakietów przechodzących z naszego komputera poprzez zdefiniowaną listę ACL routera do dostawcy musi na chwilę wyłączyć zaporę na tym stanowisku. Kontaktował się już z dyrektorem, ale ten skierował go do tego właśnie użytkownika żeby przesłał w mailu login i hasło. Oczywiście dla bezpieczeństwa spakowanym rar -em i zabezpieczonym dodatkowym hasłem żeby nikt postronny nie mógł odczytać tej wiadomości...

Jeśli osoba podająca się za konserwatora sieci trafi na nowego i nieprzeszkolonego pracownika dodatkowo zestresowanego ogromem pracy i nałożonymi na niego obowiązkami ma duże szanse hasła otrzymać. W takim wypadku ochrona danych osobowych przestaje działać. Zawinił najsłabszy element systemu ochrony informacji - człowiek. Wyobraźmy sobie jednak sytuację, w której potencjalny złodziej naszych danych trafia na pracownika po szkoleniu. Ten niewiele się zastanawiając informuje o incydencie administratora bezpieczeństwa informacji. Ten w porozumieniu z dyrekcją zawiadamia policję o próbie włamania do systemu informatycznego firmy. Niezależnie od wyników dalszych działań nasze dane pozostały bezpieczne i nienaruszone.


Filip Turyk
Idcon ochrona danych osobowych
www.idcon.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Brak komentarzy:

Prześlij komentarz