Video


Jak zapewnić bezpieczeństwo w firmie i jak ataki hakerskie wpływają na biznes?

Opublikowano: 13-09-2019 przez Weronika Masternak

Kategoria: cyberbezpieczeństwo | rodo | programowanie |

Lemlock Lemlock logo

Prowadząc organizację, która bazuje na wykorzystaniu systemów IT czy innych aplikacji, należy zawsze uwzględniać kwestie bezpieczeństwa oraz ochrony danych osobowych. Jedno zaniedbanie może wywołać szereg negatywnych skutków, a nawet doprowadzić do upadku firmy. Dowiedz się, czy i Twój biznes może być na celowniku hakerów oraz, jak zapewnić bezpieczeństwo swojej firmie oraz jej zasobom.

Z artykułu dowiesz się:

  • dlaczego nie wolno bagatelizować kwestii bezpieczeństwa w firmie;
  • czy Twój biznes jest zabezpieczony przed atakami hakerów;
  • czy raz wdrożone środki bezpieczeństwa mogą stać się nieaktualne;
  • jakiego rodzaju wsparcia może udzielić Ci specjalista ds. cyberbezpieczeństwa.

Każdego dnia pojawiają się nowe metody i techniki, które są stosowane przez hakerów. Ich przyrost jest na tyle szybki, że raz wdrożone rozwiązania z zakresu bezpieczeństwa biznesu nie są w stanie zagwarantować jego ciągłości oraz 100% pewności. Dlatego warto pamiętać, że utrzymanie wysokiego poziomu ochrony zasobów firmy przez dłuższy czas wymaga interdyscyplinarnego podejścia a także pamiętania o tym, że system IT jest w takim stopniu bezpieczny, jak bezpieczne jest jego najsłabsze ogniwo.

Czy ważne jest bezpieczeństwo w firmie?

W obecnym czasie tak wiele mówi się o kwestiach związanych z bezpieczeństwem w firmie. Co chwilę słyszymy w mediach o sytuacjach w formie cyberataków, takich jak słynny atak „WannaCry” czy infekcja wirusem typu ransomware Petya. Z tego też powodu usługi związane z zapewnieniem zgodności firmy z RODO, z ochroną danych osobowych, z testami penetracyjnymi czy audytami bezpieczeństwa dla firm są coraz bardziej popularne. Nawet bardzo dobrze zabezpieczone systemy IT mogą być zaatakowane przez hakerów i niejednokrotnie jest to spowodowane, tzw. „słabymi ogniwami” w organizacji. Bardzo często najsłabszym ogniwem w systemie zabezpieczeń jest właśnie… człowiek. Myśląc poważnie o bezpieczeństwie w naszej firmie, musimy brać pod uwagę nie tylko krytyczne systemy, ale również potencjalne słabe ogniwa w formie ludzi. Warto rozważyć wprowadzenie odpowiednich procedur ochrony i wprowadzić środki bezpieczeństwa w formie, np.: blokowania poczty mailowej z nieakceptowanymi załącznikami, wprowadzenia bardziej restrykcyjnej polityki haseł czy przede wszystkim edukowania personelu, tj.: szkoleń z ochrony danych osobowych. Dzięki szkoleniom z zakresu bezpieczeństwa w firmie można zyskać pewność, że zatrudniony personel będzie wypełniał swoje obowiązki zgodnie ze standardami bezpieczeństwa, a także, że każdy pracownik szybko oraz odpowiedzialnie zareaguje w nagłej sytuacji kryzysowej, np. podczas ataku hakerskiego czy wycieku danych. Wówczas możemy mówić o ochronie naszych zasobów firmowych i to właśnie zamyka się w pojęciu znanym jako systemowe podejście do bezpieczeństwa.

Jak szybko środki bezpieczeństwa w firmie stają się nieaktualne?

Czy można samemu zdiagnozować, kiedy techniczne czy organizacyjne środki bezpieczeństwa zaczynają być nieskuteczne? Trudno odpowiedzieć na to pytanie jednoznacznie. Przez długi czas uważano, że protokół SSL jest bezpieczny i rzeczywiście tak było. Z drugiej strony łatki bezpieczeństwa dla systemu Windows wychodzą dosłownie co chwilę. Wobec tego wszystko zależy od tego, w jaki sposób konkretne rozwiązanie informatyczne zostało zaprojektowane i wykonane. Należy zweryfikować, czy już na etapie jego tworzenia architekci systemów oraz deweloperzy stosowali się do takich standardów jak OWASP, NIST, ISO 27000, czy też skupiali się wyłącznie na funkcjonalnościach aplikacji pod względem biznesowym. Zapominanie o standardach bezpieczeństwa w fazie projektowania może skutkować dodatkowymi i koniecznymi pracami modernizacyjnymi systemów IT, aby nie naruszały one wytycznych RODO, nie dopuszczały do wycieków danych osobowych oraz, aby były one w pełni bezpieczne dla użytkowników. Specjaliści ds. cyberbezpieczeństwa podkreślają przy każdej okazji jedną rzecz - nie ma aplikacji, których nie można złamać; są tylko takie, które można złamać trudniej. Dlatego właśnie realizowanie testów penetracyjnych na systemy teleinformatyczne, przeprowadzanie audytów bezpieczeństwa skutkuje posiadaniem aktualnych zabezpieczeń aplikacji. To z kolei wymusza na hakerach poszukiwanie nowych podatności, a jest to proces o wiele trudniejszy. Podsumowując, warto edukować się w tych kwestiach i pilnować aktualizacji zabezpieczeń aplikacji, wprowadzać ciągłe bezpieczeństwo do organizacji, przeprowadzać testy czarnoskrzynkowe oraz wybierać innowacyjne środki bezpieczeństwa dla biznesu rekomendowane przez firmy ds. cyberbezpieczeństwa.

Jak może pomóc Ci specjalista ds. cyberbezpieczeństwa w ramach bezpieczeństwa w firmie i prywatności danych osobowych?

Oczywiste jest, że prawnicy nie są programistami, audytorzy nie są prawnikami, natomiast programiści nie są żadną z wcześniej wymienionych grup. Niezwykle ważne jest to, aby te trzy światy - programistów, audytorów, prawników - potrafiły ze sobą współpracować i rozmawiać wspólnym językiem. Nie wystarczy dobrze zaprojektować rozwiązanie informatyczne pod względem biznesowym, bowiem konieczne jest zagwarantowanie jego spójności z wymogami prawnymi oraz ze współczesnymi, technicznymi standardami bezpieczeństwa. I gdy prawnicy definiują, jak z punktu widzenia prawnego powinien zachowywać się system, to architekci oraz projektanci IT muszą zagwarantować, żeby stosownie wdrożyć te wymogi z punktu widzenia technologii, uwzględniając najlepsze praktyki oraz wzorce projektowania systemu. Zadaniem audytorów bezpieczeństwa aplikacji jest kontrolowanie systemu podczas jego rozwoju i w czasie jego eksploatacji, a także pilnowanie, czy warunki prawne oraz cyfrowej ochrony nieustannie są spełniane. Z tego też powodu, jeśli kwestie bezpieczeństwa oraz prywatności danych osobowych mają być kompleksowo zaadresowane, konieczna jest współpraca pomiędzy kancelariami prawnymi, firmami zajmującymi się testami penetracyjnymi/audytami bezpieczeństwa oraz software house, które wykonują aplikacje.

Artykuł ten stanowi wprowadzenie do e-booka „Poradnik ekspercki - Trzy podejścia do cyberbezpieczeństwa", uwzględniającego punkty widzenia trzech specjalistów na kwestię cyberbezpieczeństwa. Pobierz e-book i dowiedz się m.in.: kto może być na celowniku cyberprzestępców, z jakich technik korzystają hakerzy, jak zabezpieczyć swoją firmę i wykryć jej słabe punkty.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Udostępnij
CZYTAJ WIĘCEJ:
Przygotowanie do RODO krok po kroku
RODO

Przygotowanie do RODO krok po kroku - checklista
Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
RODO

Ogólny wygląd Rozporządzenia oraz najczęściej poruszane zagadnienia w jego ramach
Jak doszło do wprowadzenia RODO? Fakty
RODO

Jak doszło do wprowadzenia RODO? Fakty.
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej [email protected]. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: [email protected].

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: