CyberbezpieczeństwoPolecane tematy
Zintegrowane podejście do bezpieczeństwa w T-Mobile
Tego typu sposób myślenia o bezpieczeństwie pojawił się zarówno w Stanach Zjednoczonych, jak i krajach Europy Zachodniej. Obejmuje bezpieczeństwo fizyczne i osobowe, ochronę danych i informacji, a także to związane z technologią. Tak właśnie kompleksowo podchodzi do bezpieczeństwa T-Mobile Polska.
Bezpieczeństwo pełni jedną z kluczowych ról w T-Mobile Polska, z jednej strony chroniąc najważniejsze zasoby organizacji, a z drugiej -wspierając biznes. Na bezpieczeństwo firmy składa się wiele powiązanych elementów. Począwszy od warstwy fizycznej, poprzez bezpieczeństwo technologiczne, ochronę informacji, poziom świadomości pracowników oraz aspekty prawne i regulacyjne, np. ustawy o ochronie danych osobowych czy prawo telekomunikacyjne.
„Poziom ochrony jest taki, jak zabezpieczone jest jego najsłabsze ogniwo. Dlatego traktujemy bezpieczeństwo w T-Mobile jako całość. Jednym z najważniejszych zasobów, które chcemy chronić, są dane osobowe naszych klientów. Mamy wręcz wydzieloną jednostkę odpowiedzialną za to, bezpośrednio podlegającą pod zarząd, choć blisko z nami współpracującą” – mówi Ewa Piłat, CSO w T-Mobile Polska, która kieruje Departamentem Bezpieczeństwa. Wcześniej były dwa departamenty – bezpieczeństwa regulacyjnego i korporacyjnego.
Ewie Piłat podlegają cztery – ściśle ze sobą współpracujące – jednostki organizacyjne odpowiedzialne za bezpieczeństwo biznesowe, w tym m.in. bezpieczeństwo fizyczne i osobowe, zarządzanie incydentami; bezpieczeństwo informacji i zarządzania ryzykiem; współpracę z organami uprawnionymi oraz obszar zapobiegania nadużyciom (fraud detection). Do tego dochodzi bezpieczeństwo technologiczne, jak również wspomniana już, dedykowana, wydzielona jednostka odpowiedzialna za ochronę danych osobowych Warto też zauważyć, że w każdym projekcie T-Mobile Polska – nie tylko w obszarze IT – analizowany jest aspekt bezpieczeństwa z uwzględnieniem oceny ryzyka z zakresu bezpieczeństwa technologicznego, ochrony danych osobowych, zapewnienia ciągłości działania oraz bezpieczeństwa informacji.
Bezpieczeństwo informacji i ciągłość działania
„Nasze podejście do bezpieczeństwa uzależnione jest od obszaru, którego dotyczy. Najbardziej krytyczne są oczywiście te związane z tajemnicą przedsiębiorstw, ochroną danych klientów i zobowiązaniami nałożonymi na nas Prawem Telekomunikacyjnym. Zapewnienie bezpieczeństwa na najwyższym poziomie gwarantuje także wsparcie biznesu, ponieważ podwyższa naszą konkurencyjność” – mówi Ewa Piłat. Przykładem wsparcia drugiej z tych ról może być projekt wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji i uzyskanie certyfikacji potwierdzającej zgodność z wymaganiami norm ISO 270001. T-Mobile Polska dokonała tego, jako pierwszy operator w Polsce. Certyfikacja objęła wszystkie produkty oferowane przez tę firmę. „Zdecydowaliśmy się na to, aby zwiększyć konkurencyjność, zwłaszcza w oczach klientów biznesowych, którzy są bardzo świadomi roli bezpieczeństwa. Traktują oni to jako wartość dodaną, którą oferuje im T-Mobile. Z drugiej strony, zapewnia to nam zgodność z międzynarodowymi standardami” – wyjaśnia Ewa Piłat. Certyfikat ISO 27001 przyznano T-Mobile Polska w czerwcu 2014 r.
W każdym projekcie T-Mobile Polska – nie tylko w obszarze IT – analizowany jest aspekt bezpieczeństwa z uwzględnieniem oceny ryzyka z zakresu bezpieczeństwa technologicznego, ochrony danych osobowych, zapewnienia ciągłości działania oraz bezpieczeństwa informacji.
System Zarządzania Bezpieczeństwem Informacji w T-Mobile Polska obejmuje, zgodnie z wymaganiami normy ISO 27001, dziesięć obszarów: politykę i organizację bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrolę dostępu, uzyskiwanie, rozwój i utrzymanie systemów informacyjnych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania oraz zgodność z wymaganiami prawnymi. Przykładowo, kontrola dostępu i podział odpowiedzialności, jaki przypada konkretnym jednostkom, oraz przyznanie – w związku z tym – poszczególnym pracownikom odpowiednich ról (segregation of duty) odbywa się według zasady ograniczonego dostępu (need to know principle); czyli każda osoba ma nadany dostęp do zasobów (np. pomieszczeń, systemów) odpowiadający zakresowi wykonywanych przez nią obowiązków; np. osoba wystawiająca fakturę, nie może jej zatwierdzać. Tego typu zalecenia obejmuje właśnie ISO 27001.
„W bezpieczeństwie informacji duże znaczenie ma także klasyfikacja informacji (poziom jej krytyczności) i odpowiednia – uzależniona od niej – jej ochrona, która obejmuje cały cykl życia informacji, począwszy od jej utworzenia, poprzez użytkowanie, aż do usunięcia. Informacje na niższym poziomie wymagają mniej zabezpieczeń, ale są informacje istotne z punktu widzenia firmy pod względem poufności, dostępności czy też integralności – wówczas ta informacja jest inaczej chroniona” – tłumaczy Ewa Piłat. Różne procedury obejmują różnej klasy informacje – od publicznych do ściśle poufnej. Najbardziej chronione są te, które dotyczą tajemnicy przedsiębiorstwa. Do niej dostęp mają tylko ściśle określone osoby. Tego typu informacja musi być też zabezpieczona w odpowiedni sposób podczas przesyłania – zarówno pocztą zwykłą, jak i elektroniczną. Dla różnych poziomów klasyfikacji stosowane są odpowiednie formy zabezpieczeń.
Jednym z elementów wdrożenia ISO 27001 w T-Mobile Polska była także analiza i ocena ryzyka stanu bezpieczeństwa istniejącego do stanu docelowego. „Na podstawie tej analizy wiedzieliśmy, które elementy zintegrowanego systemu bezpieczeństwa musiały zostać wzmocnione” – mówi Ewa Piłat.
Cały artykuł w numerze ITwiz 6/2014.
z perspektywy czasu, zmiana była chyba na plus, biorą pod uwagę że od blisko roku nei słychać nic o włamianiach/lukach