Bezpieczna organizacja
Tomasz Dacka
Aspekty techniczne szeroko rozumianego bezpieczeństwa są bez wątpienia istotne, lecz wymagają profesjonalnej obsługi przez człowieka. Do pełni szczęścia brakuje tu również elementu stricte zarządczego (governance). To tutaj technika i ludzie zaczynają współgrać w sposób adekwatny do potrzeb organizacji. Przyjrzyjmy się kilku sposobom, jak można rozumieć tę tematykę „z góry” (tzw. helicopter view – z lotu ptaka) oraz w ujęciu bezpieczeństwa przetwarzanych danych.
Bezpieczeństwo na e-papierze
Coraz częściej pracujemy na dokumentach elektronicznych, porzucając formę papierową. Dokumentacja natomiast, bez względu na swoją formę, pełni znaczącą funkcję w życiu codziennym jednostek organizacyjnych:
- określa jasne zasady działania dla wszystkich, jest zatem zrozumiała,
określa jasno prawa i obowiązki, wytycza strefy, - pomaga zrozumieć proces (odnosi się do innych dokumentów uzupełniających),
wprowadza rozliczalność, - z założenia powinna być samodoskonaląca poprzez aktualizacje iteracyjne,
podnosi świadomość bezpieczeństwa, - podkreśla działanie kierownictwa z tzw. należytą uwagą (due care, due diligence).
Jeśli oczekujemy od pracowników określonego zachowania w określonych sytuacjach, musimy te zasady jasno komunikować. Trudno oczekiwać od instalatora poprawnie wykonanej instalacji, nie wyposażając go w odpowiednie narzędzia i wiedzę, jak z tych narzędzi korzystać.
Najważniejszym dokumentem powinna być polityka bezpieczeństwa. Dokument ten, komunikowany przez najwyższe kierownictwo jednostki organizacyjnej (tzw. C-Team), powinien w jasny, zwięzły sposób opisywać cele bezpieczeństwa, tym samym potwierdzając zaangażowanie i wsparcie kadry zarządzającej. Taki poziom ogólności wymaga jednak doprecyzowania. Wykonuje się to za pomocą trzech innych typów dokumentów (gradacja może być różna i zależna od wymagań poszczególnych jednostek organizacyjnych):
- Standard – dokument również o ogólnym charakterze, dotyczący mierników oceny zgodności z polityką bezpieczeństwa. Mówi o tym, co należy wykonać.
- Procedura – zawiera opis, jak krok po kroku osiągnąć dane zadanie; powinna być raczej dokumentem „sztywnym”.
- Wytyczna – pojawi się tam, gdzie nie ma pokrycia w procedurach (obszar nie został jeszcze odpowiednio rozpoznany, a istnieje potrzeba szybkiej regulacji lub cały proces jest na tyle skomplikowany, aby pokryć go „sztywną” procedurą). Wytyczne mogą również zawierać odstępstwa od procedur.
Są to dokumenty wewnętrzne firmy. Powinny być zgodne z obowiązującą regulacją prawną oraz, gdy to zasadne, opatrzone odpowiednią klauzulą.
Przekładając to na obszar bezpieczeństwa fizycznego, można przykładowo określić:
- standard bezpieczeństwa fizycznego,
- procedurę wejścia do obiektu chronionego,
- wytyczne w sprawie obsługi VIP-ów.
Jak widać na powyższym przykładzie, wytycznych i procedur może być bardzo dużo. Nie da się jednak opisać wszystkiego dokładnie. Z biegiem czasu oraz przyrostem dokumentacji dużym wyzwaniem staje się ich spójność. Sytuacją, której chcemy uniknąć, jest wzajemne wykluczanie się zapisów dokumentacji. Przy uzgadnianiu dokumentacji z obszaru bezpieczeństwa fizycznego bardzo często biorą udział zespoły interdyscyplinarne. Dochodzi zatem do sytuacji, że dany proces musi spełniać wymogi przedstawicieli różnych obszarów, które nie zawsze mają ten sam cel (np. biznesowi zależy na ułatwieniu dostępu dla klientów, podczas gdy względy bezpieczeństwa wymagają wprowadzenia restrykcji w tym zakresie).
Dokumentacja powinna być przeglądana co najmniej raz w roku i w razie potrzeby uzupełniana. Zdarzają się jednak sytuacje, kiedy przegląd należy przeprowadzić ad hoc (np. po poważnym incydencie bezpieczeństwa lub przy zmianie regulacji prawnych).
Zmiany w dokumentacji powinny:
- być uzgadnianie ze wszystkimi zainteresowanymi stronami,
- zostać udokumentowane, wraz z historią zmian,
- sprawdzone i przetestowane.
Kto zarządza danymi?
Systemy ochrony fizycznej (zarówno elektroniczne, jak i np. dzienniki posterunków ochrony) gromadzą duże ilości danych, w tym wrażliwych. Dokumentacja mówiąca o tym, jak dany proces ma się odbywać, jest niewystarczająca bez wskazania, kto i w jakim zakresie jest odpowiedzialny za przetwarzane dane. Mówimy wtedy o obszarze data governance. Polityka w tym zakresie powinna ustalić główne role:
Właściciel danych (data owner)
– zazwyczaj osoba z poziomu kierowniczego odpowiedzialna za zapewnienie poufności, integralności i dostępności danego aktywu informacyjnego, zaopatrzenie informacji odpowiednim poziomem dostępu oraz zapewnienie odpowiedniej ochrony. Właściciel danych zazwyczaj deleguje dwie pozostałe role (opisane poniżej).
Data Steward – osoba odpowiedzialna za odpowiednią „jakość” danych. Steward danych odpowiednio określa status informacji (etykietuje informacje), odpowiada za to, że informacje są zbierane i przetwarzane zgodnie z regulacjami.
Data Custodian
– zarządza systemem, w którym dane są przetwarzane. W puli obowiązków opiekuna danych jest zapewnienie odpowiedniego dostępu, szyfrowania oraz sposobów archiwizowania i przywracania danych.
Często w organizacjach można spotkać się z innymi nazwami tych stanowisk, zakres obowiązków natomiast pozostaje podobny.
Retencja danych
Jak długo należy przechowywać dane? Odpowiedź na to pytanie nie jest oczywista i zależy od kilku czynników:
- wewnętrznych regulacji organizacji (polityk),
- regulacji prawnych,
- wytycznych PUODO.
Zaleca się wprowadzać dywersyfikację retencji w zależności od charakteru informacji, np. nie z każdej kamery obraz przez nią generowany musi być przechowywany przez 90 dni.
Utylizacja danych
Dobrą praktyką jest przetwarzanie danych tak długo, jak to konieczne. W momencie przekroczenia tego czasu należy danych się pozbyć. Jednak to, że dla danej organizacji aktywa informacyjne nie są już potrzebne, nie oznacza, że sytuacja jest podobna dla naszych adwersarzy. Na rynku działa wiele firm, które oferują profesjonalną utylizację danych. Fakt zniszczenia musi zostać potwierdzony i udokumentowany, a firma, której powierzamy to zadanie, powinna zostać dokładnie wyselekcjonowana.
Jak zatem pozbyć się niechcianych danych?
Dokumenty papierowe – na pierwszy rzut oka sprawa wydaje się jasna, dokumenty wyrzuca się do śmieci z zachowaniem zasad segregacji. Abstrahując od nieprzypadkowych osób zajmujących się sprzątaniem w biurach, należy również zwrócić uwagę na to, czy śmietniki umiejscowione „na zewnątrz” są odpowiednio zabezpieczone przed nieuprawnionym dostępem. Dobrą zasadą jest niszczenie dokumentów papierowych przed ich wyrzuceniem, niszczarki do papieru można obecnie kupić nawet w popularnych dyskontach. Jeśli zachodzi potrzeba dokładniejszej metody utylizacji, należy zastosować proces spalania albo przerabiania na masę papierniczą poprzez rozpuszczanie w wodzie i sproszkowanie.
Dokumenty elektroniczne – jest sprawą oczywistą, że usunięcie pliku czy nawet formatowanie dysku nie zapewniają wystarczającej ochrony przed przywróceniem danych w momencie, kiedy komuś na tym bardzo zależy. W takim wypadku należy rozważyć:
Nadpisywanie/disk wiping – specjalistyczne oprogramowanie zapewnia wyczyszczenie starych danych za pomocą ustawienia 0 (zera) w każdym bicie. Metoda ta jednak nie jest nieodwracalna, zaleca się w takim wypadku nadpisywanie losowymi 0 oraz 1 (zerami i jedynkami) wszystkich sektorów danego medium.
Format niskiego poziomu – większość dostawców dysków twardych umożliwia ich reset do ustawień fabrycznych. Efekt jest podobny do poprzedniej metody.
Fizyczne zniszczenie – dysk można zniszczyć fizycznie w specjalnie do tego przystosowanych niszczarkach.
Rozmagnesowanie – poprzez poddanie dysku silnemu oddziaływaniu pola elektromagnetycznego.
Szyfrowanie – poddanie szyfrowaniu wszystkich danych woluminu. Odczytanie danych nie jest możliwe bez posiadania klucza deszyfrującego.
Patrz, komu ufasz
W kontekście bezpieczeństwa organizacji wiele mówi się o ludziach. Wymienia się departamenty odpowiedzialne za cyberbezpieczeństwo, bezpieczeństwo fizyczne czy regulacyjne. Mało natomiast spotyka się informacji w omawianym kontekście na temat działów HR odpowiedzialnych za kluczowy zasób każdej firmy – ludzi. Pełnią one istotną funkcję w procesach:
rekrutacyjnych – wybór odpowiednich osób do przypisanych zadań wakatu; na tym etapie powinno się też odbywać sprawdzenie kandydatów i kandydatek (tzw. backround check);
operacyjnych – wprowadzenie pracownika do organizacji, komunikowanie zasad bezpieczeństwa, przeprowadzanie okresowych rozmów czy wsparcie w organizacji szkoleń rozwijających kompetencje;
zakończenie współpracy – zaprzestanie świadczenia stosunku pracy (bez względu na powody) również powinno być usystematyzowane, rozmowy na tym etapie (tzw. exit interviews) mogą dostarczyć organizacji cennych informacji.
Działy HR odgrywają ważną rolę także w komunikowaniu pracownikom zmian dotyczących zasad bezpieczeństwa czy kampanii typu security awareness. Ważny jest też sam proces wprowadzania pracownika (tzw. on-boarding). Dobrze przeprowadzony uświadamia pracownika, wprowadza w świat bezpieczeństwa, ostrzega, czego nie wolno (i dlaczego) robić, by nie narazić się na przykre konsekwencje, jak postępować z przetwarzaniem informacji. Dzięki temu zmniejszamy prawdopodobieństwo występowania niecelowych incydentów bezpieczeństwa.
Obecne czasy stanowią również wyzwanie z punktu widzenia zapewnienia odpowiedniej ilości i jakości pracy. Bezpieczeństwo należy zapewniać 24/7, nawet podczas urlopów czy niedyspozycji kluczowych pracowników. Nie bez znaczenia pozostaje również kwestia zagrożeń wewnętrznych (tzw. insider threats). Następujące zasady pomagają zaadresować ryzyka związane z powyższymi zagrożeniami:
Rozdzielenie obowiązków – oznacza, że żaden z pracowników nie powinien posiadać zbyt dużej decyzyjności ani odpowiedzialności, powinno się je rozdzielić pomiędzy zaufanych pracowników. Unikamy w ten sposób również sędziowania we własnej sprawie.
Obowiązkowy urlop – każdy pracownik zobowiązany jest do odpoczynku w minimalnym wymiarze dni. Podczas urlopu inna osoba zastępuje danego pracownika, którego dotychczasowa praca może być audytowana.
Zamiana ról – na danym stanowisku nie można pracować dłużej niż określony czas, co pozwala organizacji na uniknięcie zbyt dużego przywiązania do danego pracownika oraz zapewnia transfer wiedzy pomiędzy zespołami.
Podsumowanie
Ludzie, technika, procedury. Te trzy elementy stanowią o sile ochrony każdej organizacji. Muszą się wzajemnie wspierać i rozumieć. Nawet najlepszy system ochrony elektronicznej będzie nieefektywny, jeśli będzie obsługiwany przez nieprzystosowany do tego personel. Jeśli człowiek będzie dobrze obsługiwał technikę, ale nie będzie świadom kroków, jakie powinien podjąć w danej sytuacji, zdarzenie nie zostanie obsłużone poprawnie, a na tym nam przecież zależy.
Jasno określony cel kompleksowej ochrony obiektu, jego zrozumienie i wsparcie przez kadrę zarządzającą, odpowiednio dobrany personel oraz technika są gwarantem sprawnie działającego systemu ochrony. To temat wymagający dużego wysiłku i zaangażowania wielu obszarów w każdej organizacji. Jeśli dołożymy do tego ciągle zmieniające się zagrożenia (oczekuj nieoczekiwanego), zmiany regulacyjne oraz cele biznesowe organizacji, rysuje się przed nami trudne wyzwanie. Zapewne również dlatego daje nam ono tyle satysfakcji. Bądźmy świadomie bezpieczni.
Tomasz Dacka
Ekspert bezpieczeństwa fizycznego. Z branżą związany ponad 12-letnim doświadczeniem, zwolennik holistycznego podejścia do zarządzania bezpieczeństwem. Prywatnie entuzjasta architektury przedwojennej Warszawy.