Students and Academics of All Countries, Unite! :-)

Wstęp do ochrony informacji w przedsiębiorstwie

Pod adresem http://in.hdt.pl/viewtopic.php?t=1553 blisko półtora roku temu wystartowała dyskusja Tajemnica przedsiębiorcy a informacja niejawna, w której rozważano relacje pomiędzy informacjami chronionymi w przedsiębiorstwie na mocy Ustawy o ochronie informacji niejawnych i na mocy Ustawy o zwalczaniu nieuczciwej konkurencji. W których wypowiedziach, i jakie, dostrzegacie błędy w rozumowaniu? Czy bylibyście w stanie tam, bądź tutaj, dorzucić nowe argumenty na poparcie stanowiska którejś ze stron tamtej dyskusji?

Przy okazji, jak kształcący dla Was, przyszłych autorów prac dyplomowych, jawi się w omawianym wątku dyskusyjnym podwątek o konieczności przestrzegania w wypowiedziach na forum internetowym reguł cytowania publikacji, na które się wypowiadający powołują? Przypominam na wszelki wypadek o wiadomości 8825 ... oraz literackie Feb 28, 2004 10:06 am, TadFromPoland ( http://groups.yahoo.com/group/forthenewuniverse/message/8825 ) z literatury uzupełniającej Wspomaganie on-line kształcenia off-line ( http://www.lemant.user.icpnet.pl/tad/sem1t0.html ) do studiowania przedmiotu Metody i techniki kształcenia na odległość ( http://www.lemant.user.icpnet.pl/tad/ester1.html ).

0 members like this

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on March 17, 2009 at 11:34am

Przygotowując się do dzisiejszego wykładu nie mogę, niestety, poprzestać na przyjemności wysłania stosownego uzupełnienia do swojej odpowiedzi na wiadomość wysłaną blisko dwa miesiące temu przez Bonnie Hohhof ( http://competitiveintelligence.ning.com/forum/topics/businss-lesson... ). We wiadomości, do której ustosunkowuję się w tym momencie, znalazło się łącze z mojej strony domowej, która funkcjonując bezbłędnie od ponad dekady na GeoCities (tym, jeszcze sprzed połączenia się z Yahoo - http://en.wikipedia.org/wiki/GeoCities ), w ostatnich miesiącach sprawiać zaczęła kłopoty tak duże, że umieściłem ją dodatkowo w INEA (dawniej ICPNET - http://www.icp.pl/ ). Gdybyście kiedykolwiek spotkali się z wadliwie funkcjonującą stroną spod adresu http://www.geocities.com/tadfrompoland/ , tak jak tutaj w przypadku http://www.geocities.com/tadfrompoland/sem1t0.html , śmiało podpinajcie do końcówki, zamiast tamtego adresu, adres następujący - http://www.lemant.user.icpnet.pl/tad/ . W omawianym przypadku efektem takiej zamiany byłby adres internetowy http://www.lemant.user.icpnet.pl/tad/sem1t0.html .

Permalink Reply by Tadeusz Lemańczyk on March 12, 2010 at 12:09pm

Wczoraj miałem ponownie okazję sięgnąć po to kształcące wideo

Find more videos like this on Multilingual Studies at a Distance

wykorzystane w moim komentarzu do wiadomości nadanej przez Bonnie Hohhof ( http://competitiveintelligence.ning.com/xn/detail/2036441:Comment:2... ). Czy i Wy potrafilibyście docenić jego użyteczność? Konkretnie, jak postrzegacie swoją przyszłą działalność zawodową w przedsiębiorstwach w zakresie przestrzegania reguł ochrony informacji? Unikając skraju w postaci paraliżującej podejrzliwości i przeciwnego jej skraju w postaci naiwnej łatwowierności, w którym miejscu dzielącego je pola widzielibyście siebie w kontaktach ze swoimi kontrahentami?

Permalink Reply by Tadeusz Lemańczyk on April 9, 2012 at 11:01am

Jestem pewien, że Ci z Was, którzy wraz ze mną nie przepuścili kolejnej prowokacji intelektualnej zarekomendowanej nam przez Joannę Bogusławską ( https://www.facebook.com/profile.php?id=1099677746 ), potraktują rzeczoną grafikę

jako nader przyjemny bodziec do uważnego przestudiowania tego kształcącego wideo ( http://fedcba.ning.com/video/client-lists ) z tym właśnie aktorem ( http://en.wikipedia.org/wiki/Dwight_Schrute ) w jednej z głównych ról ( http://www.imdb.com/title/tt1248735/ ).

Permalink Reply by Daniel Linka on January 13, 2011 at 5:11pm

Sposób przekazywania, przechowywania informacji powinien być odpowiednio uregulowany i zawarty, o ile to możliwe, w stosownych regułach wewnątrzzakładowych. Jako specjaliści od systemów bezpieczeństwa powinniśmy w dużym stopniu przyczynić się do stworzenia i wdrożenia odpowiedniego dla przedsiębiorstwa systemu zarządzania i zabezpieczania informacji. Polega to na zrozumieniu wymagań bezpieczeństwa informacji w organizacji oraz ustanowieniu zasad i celów bezpieczeństwa informacji, wdrożeniu i eksploatacji zabezpieczeń w celu zarządzania ryzykiem bezpieczeństwa informacji w kontekście całkowitego ryzyka przedsiębiorstwa, monitorowaniu i przeglądzie wydajności oraz skuteczności SZBI, ciągłym doskonaleniu. Należy zastanowić się jakie dane są ważne i poufne a jakie nie, odpowiednia klasyfikacja informacji czyli ustalenie statusu: poufne, tajne, ściśle tajne, obojętne lub jawne pozwoli nam wyodrębnić te dane które należy chronić przed wydostaniem się na zewnątrz do kontrahentów i kooperantów. System bezpieczeństwa jako zestaw reguł i praw określonych w postaci zaleceń i procedur podających, w jaki sposób „wrażliwa” informacja jest zarządzana, zabezpieczana w przedsiębiorstwie i dystrybuowana między jednostkami przedsiębiorstwa i innymi kontrahentami, powinien być jasno określony i zapisany. W przeciwnym razie będzie miał on wiele wad i nie będzie systemem pełnym. Powinniśmy pamiętać, że system ten nie jest statyczny, lecz wymaga ciągłego doskonalenia wraz z rozwojem przedsiębiorstwa, zmieniającymi się warunkami zewnętrznymi i wymaganiami prawnymi.

Współpraca z kontrahentami niesie za sobą duże niebezpieczeństwo związane z umyślnym bądź też nie wyciekiem informacji, dlatego należy poinformować pracownika o grożących mu sankcjach karnych a zarazem „nauczyć go” jak należy rozmawiać z klientem. Najważniejszą, a zarazem najtańszą metodą przeciwdziałania ujawnieniu informacji, jest odpowiednie wyszkolenie pracowników i udzielenie im uprawnień. Określenie odpowiednich procedur podających jakie informacje i dane mogą być przekazane kontrahentowi znacznie ułatwi współpracę. Pracownik będzie poinformowany co mu wolno powiedzieć a w jakich sytuacjach użyć stwierdzenia: „Nie wolno mi tego zrobić,bo procedury na to nie pozwalają” . Jest to nazywane mianem ”wychowania do odpowiedzialnego zabezpieczania posiadanych danych” (ftp://ftp.terebint.com.pl/Ogolne_zasady_polityki_bezpieczenstwa.pdf).

Zadaniem organizacji a tym samym naszym zadaniem jest ustanowienie,wdrożenie, eksploatowanie, monitorowanie, przeglądanie, utrzymywanie i stałe doskonalenie udokumentowanego SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji (http://www.corbo.com.pl/biuletyn/1%205%20artykul.htm)

Permalink Reply by Agnieszka Andrzejewska on March 5, 2011 at 6:04pm

Obecnie informacja stanowi element podlegający szczególnej ochronie ze względu na jej znaczenie w zarządzaniu przedsiębiorstwem. Ochrona informacji polega na zaprojektowaniu, wdrożeniu i umiejętnym utrzymaniu systemu bezpieczeństwa informacji

Pierwszym standardem obejmującym kompleksowo zarządzanie bezpieczeństwem informacji jest norma ISO 17799 (PN-ISO/IEC 17799: 2007). Zawiera ona wytyczne zarządzania bezpieczeństwem informacji. Dotyczy następujących obszarów: bezpieczeństwa fizycznego i środowiskowego, bezpieczeństwa osobowego, bezpieczeństwa IT, zarządzenia ciągłością działania i zapewnienia zgodności z przepisami prawa.

Bezpieczeństwo systemów informacyjnych jest bardzo ważnym elementem bezpieczeństwa informacji. Ponieważ informacja może być dostępna zarówno wewnątrz jak i na zewnątrz komputera, np. w Internecie, musi być chroniona odpowiednimi zabezpieczeniami, aby nie dostały się w niepożądane ręce. Między przedsiębiorstwami bardzo często istnieje przesyłanie informacji drogą mail-ową, istnieje zawsze niebezpieczeństwo, że ważna informacja może się dostać do innej osoby.

Bezpieczeństwo informacji powinno być stawiane na takiej samej wysokości w hierarchii ważności jak każde inne procesy biznesowe mające miejsce w przedsiębiorstwie dotyczące bezpieczeństwa np. pracowników.

Każda informacja mająca miejsce w firmie niezależnie czy dotyczy kontaktu ze sprzedającymi i kupującymi, pomysłu zmian czy ogólnie prowadzenia działalności przedsiębiorstwa, tajemnic o produkcie, jego składu czy technik produkcji. Informacja bardzo często wpływa na sukces firmy bądź porażkę w przypadku dostania się np. do przeciwnika. Dlatego też podstawą każdej firmy jest ochrona informacji, nie tylko dotyczących pracowników.

Zapewnienie bezpieczeństwa jest procesem ograniczającym wystąpienie ryzyka lub możliwości powstania szkody, straty w przedsiębiorstwie.

Wymaga ono wielu kompromisów. Aby poziom bezpieczeństwa był dość wysoki należy zastosować dużą ilość środków administracyjnych i mechanizmów kontrolnych, co w konsekwencji prowadzi również do ograniczenia swobody użytkowania przez pracownika.

Przedsiębiorstwa są zobowiązane zapewnić bezpieczeństwo przede wszystkim aktyw informacyjnych, aby wszystkie nakłady finansowe w celu zdobycia i tworzenia owych aktyw nie zostały stracone. Jest to konieczność również prawna. Firma zobowiązana jest chronić swoje aktywa informacyjne, w przeciwnym razie może ona być oskarżona przez akcjonariuszy. Oczywiści koniecznością jest ochrona danych osobowych pracowników oraz klientów. W przypadku ujawnienia owych danych przedsiębiorstwo narażone jest na roszczenia cywilnoprawne.

Permalink Reply by Paulina Grabowska on March 10, 2011 at 8:22pm

Witam!

Ochrona informacji w przedsiębiorstwie nie jest zadaniem łatwym jednak koniecznym, aby mogło ono funkcjonować i być konkurencyjne. Podstawa to zaufany personel, a że o bezinteresowną lojalność trudno, kadra musi być wyszkolona i podpisać stosowne oświadczenie, dzięki któremu, w razie ujawnienia przez pracownika informacji chronionych, sprawa będzie mogła trafić na drogę sądową. Po pierwsze należy jednak określić co jest informacją poufną w przedsiębiorstwie. Według artykułu http://mojafirma.infor.pl/poradniki/432,2452,Jakie-sa-konsekwencje-... tajemnica przedsiębiorstwa to informacja mająca przede wszystkim wartość handlową i definicja ta jest zgodna z Ustawą o zwalczaniu nieuczciwej konkurencji art. 11 Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy. W niektórych firmach określenie informacji objętych tajemnicą będzie stosunkowo proste, przykładem będą podmioty o działalności gastronomicznej, dla których będą to receptury, przepisy, dla innych przedsiębiorstw będzie to dość trudne. Osobiście jestem zwolenniczką tezy, że nic co dzieje się i o czym się mówi nie powinno wyjść poza mury przedsiębiorstwa. W końcu zachowanie tajemnicy leży także w interesie pracowników. Jeżeli traci firma, tracą też oni. Prosta zasada, a jak trudno ją niektórym pojąć i przestrzegać…
Odnosząc się jednak do pytania Konkretnie, jak postrzegacie swoją przyszłą działalność zawodową w przedsiębiorstwach w zakresie przestrzegania reguł ochrony informacji? Nie popadałabym w przesadę pod tym względem. Tak jak wcześniej wspomniałam, dane najistotniejsze z punktu widzenia wartości materialnej przekazywałabym tylko pracownikom, które w zakresie swoich obowiązków muszą posiadać takie informacje, a także wymagałabym podpisania stosownej klauzuli mówiącej o zakresie obowiązującej tajemnicy oraz o karach nakładanych za ujawnienie jej. Podobna klauzula musi być także umieszczana w przypadku umów o współpracę z innym przedsiębiorstwami.

Permalink Reply by Juliusz Zmyślony on March 12, 2011 at 12:21am

Paulina pisze:

"Tak jak wcześniej wspomniałam, dane najistotniejsze z punktu widzenia wartości materialnej przekazywałabym tylko pracownikom, które w zakresie swoich obowiązków muszą posiadać takie informacje, a także wymagałabym podpisania stosownej klauzuli mówiącej o zakresie obowiązującej tajemnicy oraz o karach nakładanych za ujawnienie jej. Podobna klauzula musi być także umieszczana w przypadku umów o współpracę z innym przedsiębiorstwami. "

Moim zdaniem jest to świetne rozwiązanie, stanowiące jednocześnie niezbędne minimum w układzie pracownik i powierzane mu informacje. Pewnym jest, że informacje o dużym znaczeniu i jednocześnie wartości powinny być znane jedynie osobom, którym są one niezbędne do wykonywania pracy. Podpisywanie dokumentów to nieunikniona formalność, bez której zatrudnienie czy współpraca z innym przedsiębiorstwem obejść by się nie mogła. Czy aby na pewno?

http://www.egospodarka.pl/32129,Wyciek-danych-glownym-problemem-fir...

Artykuł jaki znajdziecie pod linkiem powyżej pokaże wam, że istnienie takich czy innych procedur wcale nie jest takie oczywiste. W znacznej części firm świadomość pracowników odnośnie poufności przetwarzanych przez nich danych jest raczej mizerna. A 46% firm „aktualnie nie dysponuje żadnymi zasadami zapobiegania wyciekom danych.” Ta przykra statystyka jasno daje do zrozumienia jak wiele jest jeszcze do zrealizowania w tej tematyce.

Wydaje mi się, że zjawiskiem równie groźnym, lub nawet groźniejszym, od wycieku danych będzie ich całkowita utrata. Jako przykład podam historię, która wyszła na jaw w 2008 roku. Otóż Amerykanie utracili dane zawierające opis procesu syntetyzowania substancji Fogbank – ściśle tajnej substancji wykorzystywanej przy budowie głowic jądrowych. Nie prowadzono rejestru danych, a personel zaangażowany w produkcję tej substancji przeszedł na emeryturę lub zmienił pracę. Opracowanie od podstaw nowego procesu kosztowało 69mln dolarów. Ogromne pieniądze!

W tym konkretnym przykładzie trudno mówić o winie pojedynczego człowieka. W wielu przedsiębiorstwach konkretnymi danymi dysponują jedynie wąskie grona osób i nagła awaria sprzętu czy inny czynnik może być przyczyną ich utraty narażając tym samym przedsiębiorstwo na straty finansowe. Myślę, że artykuł poniżej bez niedomówień wyjaśni do miałem na myśli pisząc ‘inny czynnik’.

http://www.egospodarka.pl/55394,Utrata-danych-efektem-bledu-czlowie...

Już jako ciekawostkę (i w totalnym skrócie) opowiem wam o bardzo ciekawym artykule jako przeczytałem ostatnio w Focusie z maja 2010 roku. Artykuł nosił tytuł „Informacja zagrożona wyginięciem” i wcześniej był opublikowany w anglojęzycznym czasopiśmie NewScientist. Autor porównywał współczesne nośniki danych z glinianymi tabliczkami, które przetrwały całe tysiąclecia. Przytaczając kolejne argumenty konsekwentnie udowadnia, że większość z wykorzystywanych w dzisiejszych czasach płyt CD, pamięci flash czy dysków twardych nie przetrwała by dwudziestu lat. Poza tym nowe dyski mają być przede wszystkim szybkie i pojemne - długowieczność nie stanowi istotnego kryterium przydatności. Autor brnąc w gdybanie przeprowadza globalny kataklizm, po którym ludzie robią buty z kory drzewa. Jasnym jest, że ci którzy przetrwają nie dadzą rady wyłowić rzeczy istotnych z informacyjnego śmietnika jaki po nas by pozostał. Większą szansę przetrwania miały by płyty CD z muzyką Queen niż receptury niezbędne do produkcji antybiotyków. Jeśli kogoś zainteresowałem proszę się śmiało kontaktować – prześlę wam zeskanowany artykuł.

Permalink Reply by Krzysztof Nowak on April 4, 2011 at 5:07pm

Z racji tego, że wypowiadam się po raz pierwszy, chciałbym powitać wszystkich użytkowników forum.

Przeglądając tematy, jakie zostały zaproponowane nam do wypowiedzi przez pana doktora Lemańczyka szczególnie zainteresowała mnie ochrona informacji w przedsiębiorstwie. Jest to związane z tym, iż jakiś czas temu przeglądając portale społecznościowe natknąłem się na artykuły o tzw. „szpiegostwie przemysłowym” działające w różnych sektorach gospodarczych. Większość argumentów przedstawionych przez moich poprzedników bardzo trafna.

Uważam, że ochrona informacji jest nie tylko normą i koniecznością, ale także obowiązkiem dla firm. Wymogi prawa nakładają m.in. na Zarządy organizacji obowiązek podjęcia szeregu działań o charakterze organizacyjnym i technicznym w zakresie ochrony przetwarzanych informacji. W organizacjach są przetwarzane różne rodzaje informacji, jedne są chronione ze względu na interes firmy, inne ze względu na wymogi przepisów prawa, pozostałe zaś są bądź muszą być ujawniane. Zatem konieczność wdrożenia polityki bezpieczeństwa informacji wynika z dwóch aspektów: biznesowego, który jest przeważnie aspektem priorytetowym i prawnego.
Aspekt biznesowy to dbałość o interesy firmy, a przede wszystkim ochrona jej tajemnic. Kluczową sprawą jest tutaj ochrona tzw. tajemnicy przedsiębiorstwa, zdefiniowanej w Ustawie z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji (Dz.U., Nr 47, poz.211).

Aspekt prawny wynika z konieczności wdrożenia Polityki Bezpieczeństwa Informacji i wiąże się z konkretnymi wymaganiami w celu ochrony danego rodzaju informacji, a zarazem z poniesieniem przez organizację niezbędnych kosztów. Odpowiednie akty prawne wskazują informacje, których obowiązek ochrony spada na organizacje, w których są one przetwarzane. Najpowszechniejsze są oczywiście dane osobowe (pracowników i klientów)o których mówi ustawa z 29 sierpnia 1997r .o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.)
Aby móc właściwie cokolwiek powiedzieć o ochronie informacje w organizacji trzeba stworzyć zbiór zasad (regulaminy, instrukcje i procedury itp.) obowiązujących przy przetwarzaniu i wykorzystaniu informacji w organizacji zwany Polityką Bezpieczeństwa Informacji. Dotyczy wszystkich systemów przetwarzania informacji, zarówno systemów prowadzonych klasycznie (archiwa, kartoteki, dokumenty papierowe) jak i systemów komputerowych. Początkiem sukcesu jest dobra strategia ochrony informacji i plan wdrożenia. Idealnie do tego odnosi się to, co napisała Paulina Grabowska, a więc „(…) o bezinteresowną lojalność trudno, kadra musi być wyszkolona i podpisać stosowne oświadczenie, dzięki któremu, w razie ujawnienia przez pracownika informacji chronionych, sprawa będzie mogła trafić na drogę sądową”. Takie rozwiązanie pozwala nam uniknąć paraliżującej podejrzliwości i zarazem jej skraju w postaci naiwnej łatwowierności. Mówiąc tu o sposobach ochrony informacji chciałbym przedstawić przykład wspomnianego już szpiegostwa przemysłowego jaki dotknął dobrze nam znaną firmę Coca-Cola. Receptura najpopularniejszego na świecie napoju która jest jedną z najpilniej strzeżonych tajemnic na świecie. Wymyślona 125 lat temu jest trzymana w pilnie strzeżonym sejfie, do którego dostęp mają tylko dwie osoby z najwyższych władz koncernu. Szacunkowa wartość receptury wynosi 100 mld. dol. W obawie przed odkryciem tej wielkiej tajemnicy władze kompanii nakazały usunąć z etykietek dokładny skład napoju, niszczyć faktury składników zamawianych przez firmę i bardzo dokładnie sprawdzać pracowników koncernu, którzy mogą mieć najmniejszy dostęp do produkcji Coli. Pomimo tego jedna z pracownic jest oskarżana o sprzedaż receptury. http://manager.money.pl/news/artykul/receptura;coca-coli;-;tajemnic...

Kolejnym przykładem obrazującym potrzebę ochrony informacji w przedsiębiorstwie jest sytuacja która wstrząsnęła całą Formuła 1. Wówczas 47-letni inżynier Ferrari Nigel Stepney sprzedał ściśle tajny 780-stronicowy szczegółowy raport techniczny dotyczący bolidu Ferrari stajni McLarena.

http://moto.pl/MotoPL/1,111276,4486907.html. Przedstawione przeze mnie przykłady potwierdzają, że nawet w gigantycznych korporacjach które powinny mieć dopracowany system ochrony informacji do perfekcji okazuje się że tak nie jest. Często najsłabszym ogniwem w łańcuchu ochrony informacji jest sam człowiek. Dlatego trzeba stosować takie rozwiązania jak np. przytoczone wcześniej klauzule do umów.

Permalink Reply by 0yf4q2o7ln3gn on April 17, 2011 at 2:25pm

Zgadzam się w zupełności z moimi kolegami i koleżankami, że ochrona informacji w przedsiębiorstwie jest bardzo ważna a zarazem konieczna. W swojej wypowiedzi skupie się bardziej na firmach, które korzystają z aplikacji biznesowych i handlowych za pośrednictwem sieci.

Oczywiście przedsiębiorstwo pracujące przez Internet jest bardziej narażone na próby ataku hakerów, co może wpływać na stabilność infrastruktury.

Przeważająca większość zagrożeń jest związana z odkrywaniem i wykorzystywaniem słabych punktów systemu , dlatego też takie firmy muszą stosować cały zestaw uzupełniających produktów, polityk oraz procedur, aby chronić się przed zagrożeniami. Niestety pojedyncze oprogramowania nie pomogą chronić przedsiębiorstwa przed wyciekiem informacji, dlatego muszą stosować konkretne procedury informatyczne, które poprawią wyniki i zmniejszą także koszty do takich procedur można zaliczyć:

Zidentyfikowanie luk w procedurach i technicznych mechanizmach kontrolnych
Przekształcenie informacji w format elektronicznych
Zinwentaryzowanie i zindeksowanie danych w celu umożliwienia ich szybkiego wyszukiwania
Zwiększenie częstotliwości monitorowania pomiarów
Uzupełnienie luk w procedurach i technicznych mechanizmach kontrolnych
Aktualizacja zasad postępowania i procedur.

Aby w pełni ochronić informacji w firmie konieczne jest również nakładanie warstw odpowiednich rozwiązań, które chronią przed największą liczbę zagrożeń. Takim przykładem może być model bezpieczeństwa OSI, który opisany jest w pięciu podstawowych mechanizmach, zawierających bezpieczny system:

Uwierzytelnianie, obejmujące dwie formy: uwierzytelnianie tożsamości oraz uwierzytelnianie źródła pochodzenia danych. Pierwsza jest przeznaczona do weryfikowania deklarowanej tożsamości, druga - do określania źródła pochodzenia danych.
Kontrola dostępu, służąca do ochrony zasobów IT przed nieupoważnionym wykorzystaniem, obejmująca m.in. czytanie, zapisywanie i wymazywanie danych.
Poufność danych, zapewniająca ochronę przed nieupoważnionym ujawnianiem informacji.
Integralność danych, chroniąca przed zagrożeniami wiarygodności danych.
Niezaprzeczalność, uniemożliwiająca zaprzeczenie wysłania lub odbioru danych.

Firmy działające przez Internet muszą sporo zainwestować w dobre systemy bezpieczeństwa, aby chronić interesy firmy a przede wszystkim dane osobowe osób zatrudnionych. Jest to bardzo ważne, gdyż przedostanie się informacji w niepowołane ręce może być skutkiem upadku formy.

Permalink Reply by Joanna Mikołajczyk on June 12, 2011 at 12:38am

Ważne informacje dla przedsiębiorstwa powinny być chronione z taką samą uwagą i zaangażowaniem co pieniądze czy dobra materialne. Takie informacje są często fundamentalne dla rozwoju, a także istnienia firmy np. różnego rodzaju patenty czy receptury. Przedsiębiorstwa zabezpieczają się przed wyciekiem tych informacji min przez spisywanie stosownych umów przy zatrudnianiu pracowników w których są oni informowani o karach wynikających z wyniesienia tajnych informacji na zewnątrz. Jednak nie każdy wyciek spowodowany jest działaniem umyślnym.
Szukając informacji na ten temat natrafiłam na bardzo ciekawy artykuł
Wycieki danych w firmach w 2006r. http://www.outsourcing.com.pl/899,wycieki_danych_w_firmach_w_2006r....

„Osoby mające dostęp do poufnych danych motywowane chęcią osiągnięcia zysków stanowią zaledwie jedną kategorię nieuczciwych pracowników. Badanie pokazuje, że zdecydowanie największa liczba wycieków informacji (77%) spowodowana jest działaniami niezdyscyplinowanych pracowników. Główną przyczyną naruszeń wewnętrznego bezpieczeństwa informatycznego jest nieprzestrzeganie polityki firmy lub podstawowe zaniedbania w sferze ochrony informacji. Na przykład, często gubione są laptopy z nieszyfrowanymi danymi mimo że polityka bezpieczeństwa firmy wymaga, aby wszystkie informacje na komputerach przenośnych były szyfrowane. Co więcej, zdarzają się przypadki, gdy ludzie nieświadomie dostarczają poufne informacje oszustom, którzy manipulują nimi przy pomocy socjotechniki. Wyniki badań pokazują, że sprawcy wycieków informacji mogą zawierać się w każdej grupie pracowników.”

Dlatego zgadzam się z Pauliną Grabowską, że dostęp do danych ważnych i strategicznych z punktu widzenia przedsiębiorstwa, powinni mieć tylko pracownicy, którzy bezpośrednio z tymi danymi pracują, ponieważ im mniej osób posiada dostęp do cennych informacji tym mniejsza szansa, że wydostaną się one na zewnątrz.

Permalink Reply by Joanna Kańduła on November 2, 2011 at 7:13pm

Również zgadzam się ze wszystkimi wyżej podanymi opiniami. Z tym, że pojawiła mi się pewna myśl na temat ostatniej wypowiedzi Joanny Mikołajczyk. Joanna pisze: dostęp do danych ważnych i strategicznych z punktu widzenia przedsiębiorstwa, powinni mieć tylko pracownicy, którzy bezpośrednio z tymi danymi pracują, ponieważ im mniej osób posiada dostęp do cennych informacji tym mniejsza szansa, że wydostaną się one na zewnątrz. Czytając tą wypowiedź nasunęło mi się pytanie, czy to, że mało osób z firmy zna informacje na jakieś ważne tematy oznacza, że jest mniejsza możliwość ich wypłynięcia? A czy jeżeli mniej osób jest związanych z tą tajemnicą to nie są one bardziej podatne na ewentualne działania szpiegowskie? Chodzi o to, że oczywiście zgadzam się ze zdaniem Joanny, ale uważam również, że im mniej osób coś wie, tym łatwiej jest też te osoby powiedzmy przekupić.

Jeżeli chodzi natomiast o pytanie, co ja jako potencjalna osoba zajmująca się bezpieczeństwem informacji w firmie zrobiłabym, aby jak najlepiej je zabezpieczyć, myślę że wszystko to zależy od ludzi, którymi miałabym zarządzać. W każdym razie, na pewno zdecydowałabym się na wpisanie do umów z pracownikami odpowiednich klauzul (tak jak uważa Paulina Grabowska), które zakazywałyby danej osobie zdradzania informacji dotyczących firmy w czasie zatrudnienia. Uważam jednak, że równie ważne jest, aby ta klauzula obowiązywała również po zakończeniu zatrudnienia. Jeżeli nie ma takiej informacji w umowie, to, jaką mamy pewność, że informacje ważne dla firmy nie wypłyną na światło dzienne po np. zwolnieniu danej osoby?

Permalink Reply by Joanna Stachowiak on November 3, 2011 at 7:17pm

Zadajesz pytanie : czy to, że mało osób z firmy zna informacje na jakieś ważne tematy oznacza, że jest mniejsza możliwość ich wypłynięcia?. Uważam że tak, ponieważ mamy mniej osób które są podatne na zdradzenie tajemnicy. Im więcej osób tym więcej możliwości ujawnienia ważnych informacji. Kiedy mamy dwie osoby z dostępem do pewnych danych to łatwiej kontrolować ich działanie niż przy 10 osobach. Natomiast łatwiej można przekupić przy większej ilości osób. Mamy wtedy do wyboru więcej osobowości, lub w większej grupie myślimy: jak nie ja to ktoś inny sprzeda te informacje. Więc raczej w tej części wypowiedzi przychylam się do zdania Joanny Mikołajczyk.

W drugiej części jednak się z Tobą zgodzę co do klauzul do umów. Czy też są to osobne oświadczenia podpisywane przy zatrudnieniu. Jednak w firmach nadal można spotkać się z tzw. "zaufaniem" do pracowników, a raczej lepiej nazwać to działanie "naiwnością" czy nawet "głupotą". Regułom teraz powinno być podpisywanie takich oświadczeń zaraz po zatrudnieniu i przed dostępnych do ważnych informacji, a firmy traktują to jak kolejne "papierki", i z tego z czym się spotkałam dają do podpisania jak im się przypomni. Najczęściej ludzie tego nie wykorzystują bo nie po to podjęli tam prace, jednak znajdą się też tacy co czekają tylko na okazje i przekazuje poufne dane do konkurencji.