Ako nevyzradiť dôverné firemné informácie?
PETER DEKÝŠ, CISA, CISM, ČLÁNOK UVEREJNENÝ V ČASOPISE FORBES, NOVEMBER 2013
Pri podnikaní bežne narábame s informáciami, ktoré vyžadujú dôvernosť. Na druhej strane sa nevyhneme situáciám, keď informácie interného alebo citlivého charakteru musíme sprístupniť spolupracovníkom, partnerom alebo subdodávateľom. Čím väčšia je Vaša organizácia, tým je obvykle väčšia aj skupina zamestnancov, ktorí disponujú informáciami majúcimi hodnotu.
Nie všetci zamestnanci však vnímajú citlivosť informácii z pohľadu ich dôvernosti rovnako. Preto je nutné určiť úroveň dôvernosti informácií. Stanovuje ju ten, kto najlepšie pozná ich podnikateľskú hodnotu. Stupeň dôvernosti tak určuje jej cenu pre firmu a následne aj rozsah osôb, ktorým je informácia sprístupnená. Stanovenie, či informácia je verejná, interná alebo dôverná vymedzenej skupine osôb, sa robí pri ich klasifikácii. V tomto procese sa elektronickým, papierovým dokumentom alebo nosičom informácii (napr. CD/ DVD disky) udeľuje dobre viditeľná značka tak, aby príjemcovi bol okamžite zrejmý stanovený stupeň dôvernosti. Nutnosť a spôsob klasifikácie informácii treba dobre zvážiť, pretože vždy predstavuje administratívnu zaťaž pre organizáciu. Zjednodušením je, keď neoznačené informácie sú automaticky vnímané ako interné a určené len pre vnútorné použitie.
Ak chceme klasifikovať informácie, musíme tiež stanoviť oprávnenia a zodpovednosti pre prácu s nimi. Napriek tomu, že informácia je verejná, neznamená, že ju ktokoľvek v organizácii môže zverejniť na internete alebo inak. Za správnosť verejnej informácie alebo na jej komunikáciu mimo organizácie sa stanovuje jedna alebo viacero osôb. Iným pravidlom je stanovenie postupu, ako prenášať klasifikované údaje cez internet. Citlivé informácie sú bez šifrovania v internete ľahko čitateľné. Jednoducho, bez stanovenej klasifikácie informácií a postupov narábania s nimi sa môžete stať ľahko čitateľným pre Vašu konkurenciu. Klasifikácia informácií je súčasťou riadenia informačnej bezpečnosti vo firme.
Peter Dekýš, CISA, CISM
autor pracuje ako konzultant bezpečnosti IS a riaditeľ ESET Services, spoločnosti ESET, spol. s r.o.