eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuRyzyko a przestępczość komputerowa w firmie

Ryzyko a przestępczość komputerowa w firmie

2010-11-04 13:35

Ryzyko a przestępczość komputerowa w firmie

© fot. mat. prasowe

Obecnie we wszystkich dziedzinach zarządzania przedsiębiorstwem korzystamy z komputera. To ważne narzędzie narażone jest jednak na ataki przestępców komputerowych. Wskutek przyłączenia się do Internetu przedsiębiorstwo wystawia się na różne zagrożenia ze strony przestępców komputerowych. Można je podzielić na klasyczne zagrożenia (np. utrata poufności danych, integralności), naturalne (np. pożar, trzęsienie ziemi, uderzenie pioruna, zakłócenia pogodowe), aktywne (np. powtarzanie lub opóźnianie informacji, pozorowanie fałszywej identyczności), pasywne (podsłuchiwanie i przechwytywanie danych) oraz przypadkowe (błędne rozsyłanie informacji - routing, błędy obsługi).

Przeczytaj także: Zarządzanie ryzykiem IT - obalenie mitów

Wyżej wymienione obszary zagrożeń i ryzyka dotyczą zdywersyfikowanego obszaru przestępczości komputerowej. Pojęcie przestępstwa komputerowego należy do kategorii nowych zagadnień cywilizacyjnych. Punktem wspólnym jest określenie „przestępstw komputerowych” jako pewnego zbioru pojęciowego przestępstw, których wspólną cechą jest występowanie w nich komputerów, informacji komputerowych, ścisłe powiązanie z funkcjonowaniem elektronicznego przetwarzania danych.

By minimalizować ryzyko związane z przestępczością komputerową, należy znaleźć i zidentyfikować źródła błędów występujących w przedsiębiorstwie. Można je podzielić na 3 kategorie:
  1. Czynnik ludzki - pracownicy, którzy posiadają aktualną wiedzę o przedsiębiorstwie oraz informacje z przeszłości. Każda osoba, która chce posiadać dostęp do systemu przedsiębiorstwa musi uzyskać uprawnienie w formie hasła. Wszyscy pracownicy, którzy z tytułu swej pracy powinni posiadać dostęp do systemu komputerowego przedsiębiorstwa, otrzymują odpowiednie uprawnienie. Jednak gros uprawnień nie jest związane z osobą pracownika (np. nie są to linie papilarne) i już ten fakt stanowi słabe miejsce w systemie zabezpieczenia komputerowego systemu przedsiębiorstwa. Kiedy pracownik otrzyma już odpowiedni dostęp do systemu, wówczas mogą ujawnić się następujące negatywne postawy tj.: niedbalstwo, naiwność, brak wiedzy czy sprzedajność. Wcale nie mniejszym zagrożeniem dla przedsiębiorstwa są byli pracownicy, którzy znają system i posiadają dużą wiedzę o firmie. Pozostają jednak oni poza kontrolą firmy.
  2. Słabości organizacyjne przedsiębiorstwa - słabe miejsca w organizacji powstają w wyniku interakcji: pracownik– przedsiębiorstwo, technika –przedsiębiorstwo, pracownik –technika. Mowa tu zwykle o logicznej słabości – głównym problemem jest zarządzanie uprawnieniami dostępu do systemu. Chodzi o konkretne ustalenie, w jaki sposób mają być przydzielone pracownikom prawa dostępu do systemu, np. udostępnienie konta. Wydaje się, że niewłaściwe jest przydzielanie prawa dostępu według kryterium hierarchicznego. Natomiast istotnym kryterium powinien być zakres wykonywanej pracy lub posiadane umiejętności obsługiwania systemu komputerowego. Każdy pracownik powinien mieć tylko taki zakres dostępu, jaki efektywnie jest jemu potrzebny.
  3. Technicznie słabe miejsca - chodzi o techniczne podłączenie urządzeń komputerowych przedsiębiorstwa do Internetu oraz o posiadane programy. Techniczne słabe miejsca można zauważyć w architekturze sieci danych i w implementacji jej funkcji.

Po ustaleniu obszarów ryzyka komputerowego, przechodzimy do sposobów zarządzania nim. Zarządzanie ryzykiem obejmuje przenoszenie ryzyka, np. na ubezpieczyciela, ograniczanie powstałych szkód, efektywne zabezpieczanie systemu i urządzeń oraz zorganizowanie obrony przed atakami i wreszcie unikanie ryzyka, czyli zrezygnowanie z Internetu, co nie jest dobrym rozwiązaniem. Przedsiębiorstwa powinny zarządzać ryzykiem w następujących obszarach:

Personel – w tym obszarze niezwykle skuteczne jest systematyczne szkolenie pracowników.

W ten sposób można wyeliminować błędy pracowników wynikające z braku wiedzy i nauczyć ich prawidłowych zachowań w krytycznych sytuacjach, np. kiedy nastąpi atak wirusów na system. Jednak celem podstawowym jest poinformowanie pracowników o potencjalnych zagrożeniach oraz o tym, jak rozwiązywać powstałe problemy. Inny skuteczny mechanizm, to stosowanie zakazów, że np. w firmie nie wolno używać „obcych” dyskietek, CD oraz innych nośników.

W umowie o pracę należy wpisać punkt o zachowaniu tajemnicy na temat stosowanych w firmie zabezpieczeń. Jeżeli trzeba zwolnić pracownika, zwłaszcza odpowiedzialnego za bezpieczeństwo systemu, to należy go natychmiast zwolnić z obowiązku świadczenia pracy i zabronić wstępu do firmy, aby poprzez sabotaż nie uszkodził systemu. Pracownikom trzeba stale przypominać, jak wielkie szkody mogą powstać dla firmy w przypadku ich lekkomyślności w przypadku ustalania łatwych haseł dostępu, np. data urodzenia, imię dziecka itp. Hasła muszą być bardzo skomplikowane, np. T36mAcMiRU. Wówczas osoby nieuprawnione mają utrudniony dostęp do urządzeń komputerowych.

Przedsięwzięcia organizacyjne – jedno z możliwych posunięć to oddzielenie sieci wewnętrznej od sieci zewnętrznej firmy. O ile jest to jednak możliwie np. w kancelariach adwokackich, które stosunkowo rzadko korzystają z Internetu, to w przypadku firm handlowych nie jest to możliwe. Inne rozwiązanie, to wydzielenie bezpiecznego pomieszczenia, w którym będzie stał serwer oraz ustalanie oddzielnych haseł dostępu dla każdego pracownika. Użytkownik musi być zobligowany do utrzymania w tajemnicy swojego hasła oraz regularnego jego zmieniania. Za bezpieczeństwo systemu odpowiedzialny jest administrator. Jasnego i jednoznacznego uregulowania wymaga także sprawa ustalenia procedury w przypadku zidentyfikowania przez pracownika firmy ataku na system komputerowy. Do tego musi być wyznaczona odpowiedzialna osoba.

 

1 2

następna

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: