08.06.2011

Bezpieczeństwo w dobrych rękach

Ilość przechowywanych danych w firmach i instytucjach systematycznie rośnie. Z raportu IDC wynika, że w 2020 roku będziemy przechowywać 44 razy więcej informacji niż w roku 2009.

Najczęściej mają one postać elektroniczną i znajdują się na dyskach twardych komputerów lub na serwerach. Przechowywanie, jak i niszczenie danych, zwłaszcza danych osobowych oraz niejawnych, wymaga odpowiednich zabezpieczeń.

Obecnie ok. 70 proc. informacji, w tym informacji wrażliwych, przechowywana jest wyłącznie w formie elektronicznej. Wydawać by się mogło, że takie dane, szyfrowane i zabezpieczone hasłami, są najlepiej chronione. Trzeba jednak zdać sobie sprawę, że wraz z rozwojem zabezpieczeń elektronicznych wzrasta wiedza na temat ich łamania.

Zapewnienie odpowiedniego bezpieczeństwa danych przechowywanych przez firmy i instytucje to nie tylko dobra praktyka, ale przede wszystkim wymóg prawny. Zgodnie z ustawą o Ochronie Danych Osobowych z dnia 29.08.1997 (Dz. U. Nr 133, poz. 883), wszystkie firmy oraz instytucje, które w swojej bazie danych umieszczają dane osobowe klientów, mają ustawowy obowiązek chronić je przed dostępem osób trzecich.

Wiele instytucji państwowych przechowuje z kolei informacje poufne wagi państwowej, które nie mogą dostać się w niepowołane ręce. Osoby, które dopuściły się wycieku takich danych, ponoszą odpowiedzialność dyscyplinarną lub karną. Szczególnej ochronie podlegają także tajemnice przedsiębiorstwa, czyli „nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”

Czy dane są dobrze chronione?

- Ze względu na ciągły rozwój technologiczny, zapewnienie bezpieczeństwa przechowywanych danych może nastręczać wiele trudności. Najlepszym sposobem, aby sprawdzić czy informacje są pod dobrą opieką i co ewentualnie wymaga poprawy, jest audyt bezpieczeństwa – mówi dr Paweł Markowski z firmy BOSSG Technology Research Corporation. Jest to proces oceniający stan bezpieczeństwa obiektów, mienia i procesów danej organizacji. Stanowi materiał służący do uzyskania informacji na temat aktualnego poziomu ochrony osób i mienia, jego stanu w odniesieniu do funkcjonujących regulacji prawnych, powszechnych standardów bezpieczeństwa, tzw. dobrych praktyk oraz polityki bezpieczeństwa organizacji.

Jednym z celów audytu bezpieczeństwa jest podniesienie poziomu bezpieczeństwa i zwiększenie efektywności zastosowanych rozwiązań poprzez ujawnienie zasobów niewykorzystanych, bądź wykorzystanych niewłaściwie. Audyt może być wewnętrzny, przeprowadzany przez pracownika organizacji lub zewnętrzny zlecany wykwalifikowanej firmie.

Audyt może odbywać się na kilku różnych poziomach w zależności od potrzeb danej firmy czy instytucji. Najpopularniejszym podziałem są trzy poziomy: skrócony audyt bezpieczeństwa - w odniesieniu do obiektu, procesu i całej organizacji; rozszerzony audyt bezpieczeństwa - odnoszącego się do obiektu i procesu przeprowadzanego na podstawie audytu skróconego, gdy któryś z ocenianych parametrów nie osiągnął pożądanego poziomu oraz pełnego audytu bezpieczeństwa kompleksowo oceniającego organizację.

Pierwszy sposób, choć jest najmniej dokładny, nie pochłania dużo czasu ani pracy, co oznacza, że może być wykonywany często w celu pokazania ogólnych trendów w dziedzinie ochronie danych w firmie. Drugi sposób służy poddaniu dokładnej kontroli tych sfer, gdzie bezpieczeństwo nie jest należycie zachowane. Ostatni, najbardziej dokładny sposób, jest też najbardziej czasochłonny, daje jednak całościowy obraz bezpieczeństwa w firmie.

Ze względu na jego specyfikę, audyt pełny najczęściej zleca się firmom zewnętrznym. Spojrzenie na kwestie bezpieczeństwa osoby spoza firmy pozwala dostrzec nie tylko problemy, ale także szanse na usprawnienia, które nie były zauważane przez pracowników firmy. Audytor zewnętrzny to osoba o bogatym doświadczeniu zdobytym podczas współpracy z wieloma przedsiębiorstwami, dlatego może wnieść nowe pomysły i rozwiązania, o których nie wiedzą pracownicy firmy lub organizacji.

Specjaliści od bezpieczeństwa

Audyt służy nie tylko sprawdzeniu poziomu bezpieczeństwa w organizacji, ale także wskazaniu i zaimplementowaniu nowych, lepszych rozwiązań. Wiele firm oferuje także profesjonalne szkolenia i warsztaty dla pracowników. Tematyka takich szkoleń zależy od poziomu wiedzy i specjalizacji kadry. Wiedza uzyskana podczas zajęć powinna zaowocować lepszym przepływem informacji w zespole oraz wskazaniu jasnego podziału na obowiązki związane z zapewnieniem ochrony danych.

Firmy coraz częściej decydują się na powierzenie obowiązków związanych z zapewnieniem bezpieczeństwa informacji zewnętrznym partnerom. Przedsiębiorstwa outsourcingowe oferują zarządzanie danymi oraz zapewniają odpowiednią ich ochronę. Outsourcing może dotyczyć całej infrastruktury bezpieczeństwa lub tylko wybranego jej obszaru. – Niektóre firmy nadal postrzegają powierzenie części zadań firmie zewnętrznej jako swoją osobistą porażkę, a outsourcing kojarzy się im z nieudolnym zarządzaniem i słabą kadrą. Tymczasem duże koncerny chętnie korzystają z firm zewnętrznych ze względu na dostęp do wysoko wyspecjalizowanych pracowników, bez konieczności ich osobistego zatrudniania, co pozwala na redukcję kosztów – dodaje dr Paweł Markowski.

Dane rozpuszczone

Bezpieczeństwo danych to nie tylko odpowiednie ich przechowywanie, ale także skuteczne niszczenie. Dokumenty w formie papierowej utylizowane są w niszczarkach, a co z danymi elektronicznymi?

Kasowanie informacji z poziomu systemu operacyjnego prowadzi wyłącznie do niewielkiej zmiany pewnego fragmentu struktury danych zapisanych na dysku, przez co większość informacji pozostawiona jest w stanie nienaruszonym, a zatem jest możliwość ich odtworzenia przy użyciu dostępnych na rynku programów, nie wspominając już o możliwościach specjalistycznych firm, zajmujących się odzyskiwaniem danych.

Dlatego, aby nieodwracalnie usunąć dane, konieczne jest zastosowanie specjalistycznego sprzętu lub oprogramowania. Firmy oferujące utylizację nośników danych proponują różne rozwiązania. Obecnie stosowane metody kasowania danych to: programowe, polegające na wielokrotnym nadpisywaniu sektorów zawierających informacje przez losowe ciągi liczbowe, oraz sprzętowe, polegające np. na niszczeniu nośnika działaniem fal elektromagnetycznych lub w specjalnych maszynach mielących, niszczeniu nośnika danych metodami pirotechnicznymi, zdzieraniu warstwy magnetycznej itp.

- Jedną z najnowszych metod jest technologia chemicznego niszczenia nośników, która bezpowrotnie rozpuszcza utylizowany dysk w taki sposób, że nie pozostaje z niego nic, co pozwala na odzyskanie danych. W wyniku odpowiednich reakcji chemicznych utylizowany nośnik zostaje nieodwracalnie rozpuszczony do postaci cieczy, dzięki czemu nie ma jakiejkolwiek możliwości odtworzenia jego pierwotnej struktury i zapisanych na nim danych. Metoda ta jest nie tylko całkowicie skuteczna, ale także bezpieczna dla środowiska – zauważa dr Markowski.

Przed procesem chemicznym z nośników odzyskiwane są wszystkie elementy nadające się do recyklingu, a produkt końcowy reakcji można następnie wykorzystać przy oczyszczaniu innych ścieków lub w elektrolitycznym procesie produkcji aluminium. Co więcej, cały proces rozpuszczania odbywa się z samochodzie-laboratorium, który dojeżdża w wyznaczone przez daną firmę czy instytucję miejsce. Dzięki temu wrażliwe dane mogą zostać zniszczone bez konieczności przewożenia ich na znaczne odległości i narażania na możliwość dostania się w niepowołane ręce. Jednocześnie dzięki zamontowanym w samochodzie kamerom wizyjnym, systemowi rejestracji dźwięku oraz przezroczystym elementom konstrukcyjnym reaktorów chemicznych klient ma pełny nadzór nad procesem utylizacji.

Zapewnienie bezpieczeństwa danych to obowiązek firm i instytucji. Dostępne na rynku środki ochrony pozwalają uzyskać stuprocentową pewność, że informacje nie dostaną się niepowołane ręce. Choć wielu przedsiębiorców uważa, że sami najlepiej potrafią zadbać o swoje dane, to jednak trudno im nadążyć za dynamicznym rozwojem technologicznym. A postęp służy nie tylko coraz lepszej ochronie danych, ale także sprawniejszemu ich wykradaniu.

Źródło: Modern Office Manager, maj 2011 (pobierz wersję JPG: str 1 (256 Kb), str 2 (294 Kb), elektroniczna kopia dostępna jest także pod adresem http://www.officemanager.pl/

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000