Terminy cyberbezpieczeństwo i bezpieczeństwo informacji często używane są zamiennie. W pierwszym skojarzeniu odnoszą się do tego samego: poufności, integralności i dostępności informacji. Jest jednak między nimi kluczowa różnica, która determinuje sposób działania Twojej organizacji w obszarze ochrony danych.
Informacje są sercem każdej organizacji. Są nimi dokumenty biznesowe, dane osobowe czy własność intelektualna. Przechowuje się je w różnych miejscach i jest wiele sposobów na uzyskanie do nich dostępu.
Mogą być przechowywane na stacjonarnych komputerach, laptopach, na dyskach wymiennych, serwerach, urządzeniach osobistych, a także w formie dokumentacji papierowej i zapisów fizycznych. Dostęp do nich musi być bezpieczny. Proces ten nazywa się bezpieczeństwem informacji.
Organizacje chronią poufność, integralność i dostępność informacji. W tym kontekście poufność odnosi się do informacji, które przeglądają wyłącznie upoważnione strony, integralność informacji oznacza, iż są one dokładne, a dostępność informacji, że można z niej skorzystać w razie potrzeby.
Istnieją dwie podkategorie bezpieczeństwa informacji. Pierwsza to fizyczna ochrona informacji, która polega na realnym zapewnieniu przez firmę ochrony pomieszczeń, w których są fizycznie przechowywane poufne informacje. Druga podkategoria bezpieczeństwa informacji dotyczy ochrony informacji elektronicznej. To jest właśnie cyberbezpieczeństwo.
Bezpieczeństwo informacji obejmuje każdy proces lub technologię używaną do ochrony poufności, integralności i dostępności informacji. Najczęściej występujące formy to:
Cyberbezpieczeństwo to szczególny rodzaj bezpieczeństwa informacji, który koncentruje się na ochronie danych elektronicznych i środkach zapobiegania nieautoryzowanemu dostępowi do sieci i systemów organizacji. Termin ten jest często używany w odniesieniu do ogólnego bezpieczeństwa informacji, ponieważ większość naruszeń danych wiąże się z włamaniami do sieci lub systemu.
Organizacje zazwyczaj przechowują więcej danych online niż w formie fizycznej, co czyni je bardziej narażonymi na atak. Ponadto luki techniczne są łatwiejsze do wykorzystania i istnieje znacznie mniejsze ryzyko wykrycia. Dlatego przestępcy znacznie częściej dokonują online tzw. cyberataków (np. wtargnięcia złośliwego oprogramowania lub oszustwa phishingowe) niż ataków fizycznych.
Cyberbezpieczeństwo obejmuje każdy proces lub technologię mającą na celu ochronę danych elektronicznych. Jego formy to:
Mimo iż formalnie jest różnica między bezpieczeństwem informacji a bezpieczeństwem cybernetycznym, to w praktyce procesy te przenikają się. Każdy moment mechanizmu bezpieczeństwa cybernetycznego, który ma na celu ochronę poufnych danych, można również zaklasyfikować do bezpieczeństwa informacji.
Istnieją zagrożenia, w przypadku których należy zająć się bezpieczeństwem fizycznym i cybernetycznym. Weźmy na przykład złośliwych pracowników, którzy świadomie chcą zagrozić firmie. Organizacje muszą wdrożyć fizyczne środki kontroli, aby uniemożliwić nieupoważnionym pracownikom dotarcie do części budynku, w których nie powinni się oni znajdować. Może to być pomieszczenie z aktami lub biuro pracownika, gdzie akta mogą być pozostawione na biurku.
Organizacja powinna też poważnie wziąć pod uwagę zagrożenia bezpieczeństwa cybernetycznego. Wszelkie zapisy cyfrowe muszą być odpowiednio chronione, na przykład za pomocą kontroli dostępu lub szyfrowania danych.
Innym przykładem przenikania się bezpieczeństwa informacji i cyberbezpieczeństwa są cyfrowe zapisy przechowywane na urządzeniach fizycznych (dyskach USB lub laptopach). Organizacje powinny wdrożyć zasady i procesy zmniejszające ryzyko niewłaściwego korzystania z tych urządzeń. Np. jeśli pracownik pozostawi laptopa bez opieki w niezabezpieczonym miejscu lub użyje urządzenie wymienne do użytku osobistego i zawodowego.
Środki te powinny być uzupełnione mechanizmami cyberbezpieczeństwa, zaprojektowanymi w celu ochrony informacji znajdujących się na tych urządzeniach. Organizacje mogą szyfrować poufne pliki lub wdrażać technologie, które umożliwią zdalne wyczyszczenie laptopa w przypadku jego zgubienia.
To tylko kilka przykładów. Podczas oceny zagrożeń związanych z ochroną danych znajdziesz niezliczone przypadki, w których trzeba wziąć pod uwagę bezpieczeństwo informacji i bezpieczeństwo cybernetyczne.
Możesz dowiedzieć się więcej o zagrożeniach bezpieczeństwa informacji, na jakie jest narażona Twoja firma oraz o sposobach jego zapewnienia, dzięki szkoleniu Wymagania ISO/IEC 27001.
Konkretna wiedza w formie wykładów, połączona z angażującymi warsztatami pomoże Tobie lub Twoim współpracownikom poznać realne niebezpieczeństwa dotyczące ochrony danych i kroki, jakie należy podjąć, by im zapobiec. Wszystko w ciągu dwóch dni szkoleniowych w wygodnej formie online. Zapisz się na szkolenie.