06_19_Informačná bezpečnosť firiem – 6. časť
Informačná bezpečnosť firiem – 6. časť
Ako klasifikovať dôverné informácie? Zabezpečiť podnikové informácie pred neoprávneným použitím, prezradením alebo zneužitím nie je jednoduchá úloha. Ak si uvedomíme, že údaje a dáta sa môžu nachádzať v listinnej aj elektronickej forme, pracujú s nimi zamestnanci, odosielajú sa obchodným partnerom, poskytujú sa úradom, bankám, advokátom, tak pochopíme, že rozsah, v akom sa údaje spracúvajú a prenášajú, nie je zanedbateľný a to ani v malých firmách.
Ako pristúpiť ku klasifikácii podnikových informácií? Malé a stredné firmy zväčša nemajú pre ochranu dôverných informácií vytvorené dostatočné opatrenia alebo smernice. Ich zamestnanci pristupujú k tejto časti informačnej bezpečnosti iba intuitívne a informácie, ktoré sú z ich pohľadu dôverné, ochraňujú prirodzene alebo zo zvyku, ktorý získali v predošlom zamestnaní. A to je chyba. Týmto intuitívnym prístupom ku klasifikácii a ochrane dôverných informácií môžu zamestnanci nechtiac dôležité podnikové informácie ohroziť, lebo si neuvedomia ich citlivý charakter. Napríklad pracovníci bežne pristupujú k osobným údajom uvedeným v životopisoch alebo mzdových spisoch obozretne, lebo vedia, že ide o citlivé údaje. Ak ide o heslo k počítaču alebo programu, tak ho častokrát ľahkovážne prezradia kolegom neuvedomujúc si, či požiadavka na ochranu používateľského hesla je rovnako dôležitá a v niektorých prípadoch aj vyššia. Pre správne narábanie s podnikovými informáciami by mala existovať smernica alebo pokyn, ktorý by uvádzal, ako údaje klasifikovať. Klasifikácia údajov podľa ich citlivosti:
Zamestnancom treba vysvetliť, ako rozpoznajú, s akou informáciou pracujú a treba ich naučiť, aby informácie správne označovali. Nemusí to byť náročné, ak sa použijú vhodné príklady. Verejné informácie sú také, ktoré firma zverejňuje a ich publikovanie nepredstavuje žiadne riziko, dokonca je zverejnenie informácií želané. Ide napríklad o kontaktné údaje, cenníky, informácie týkajúce sa produktov a služieb, marketingové informácie, reklamy, referencie spokojných zákazníkov, oznamy pre verejnosť a pod. 46
Ročník_2019_06
Interné informácie sú informácie, ktoré nie sú určené verejnosti, ale ich prezradenie nepredstavuje pre firmu riziko a zväčša sú dostupné všetkým zamestnancom firmy. Ide napríklad o firemné oznamy, organizačné pokyny, vnútropodnikové smernice, návody na používanie softvéru, informácie o zamestnaneckých benefitoch, termíny celozávodných dovoleniek, dátumy firemných podujatí, fotografie z teambuildingov a podobne. Jednoducho všetko to, čo verejnosť nemusí zaujímať, ale pre zamestnancov firmy je to zaujímavá informácia bez negatívneho dopadu na firmu, ak sa to dozvie niekto z prostredia mimo firmy. Chránené informácie sú dôverné informácie, ktoré nie sú určené verejnosti a ani celej firme. Do tejto kategórie spadajú údaje a dáta, ku ktorým majú prístup pracovníci na úrovni oddelení a ktoré tvoria predmet ich spracúvania. Dá sa povedať, že väčšina informácií, ktoré zamestnanci spracúvajú, spadajú práve do kategórie chránených (t.j. citlivých alebo dôverných) informácií. K takýmto údajom by mali pristupovať zamestnanci iba na základe poverenia, mali by vedieť, o aké informácie ide, ako ich majú chrániť a komu ich môžu poskytnúť. Typickým príkladom sú mzdové údaje, účtovné údaje, obchodné údaje, plány spoločnosti, projektová dokumentácia, údaje o zákazníkoch a podobne. Prísne chránené informácie sú také údaje a dáta, ktoré sú určené len vybraným jednotlivcom. Často panuje mylná predstava, že do kategórie prísne chránených údajov patria iba údaje, ktoré sú určené vedeniu spoločnosti. V skutočnosti prísne chránenými údajmi disponuje skoro každý zamestnanec, lebo do tejto kategórie patria aj prístupové mená a heslá do počítačovej siete a do jednotlivých programov a informačných systémov. Prezradenie mena a hesla do počítačovej siete, ak to zneužije konkurencia alebo hacker, totiž môže mať pre firmu oveľa horšie následky, ako prezradenia niektorých obchodných údajov.
Ako označovať chránené informácie? Ak viete, ako vo firme informácie rozdeliť, to jest klasifikovať, naučte zamestnancov, aby ich správne označovali. Nie je to nič ťažké, stačí, ak na úvod každého dokumentu alebo e-mailovej správy napíšu, či ide o informácie interné, chránené alebo prísne chránené. Ak ide o informácie chránené alebo prísne chránené, odporúčam
