W każdej dziedzinie ułatwieniem w pracy są drogowskazy, które pokazują główne kierunki działania. W obszarze cyberbezpieczeństwa takim drogowskazem jest polityka bezpieczeństwa. Powinna mieć ją każda firma, która poważnie myśli o ochronie swoich zasobów. Łatwiej jej wtedy wybrać skuteczne, adekwatne do faktycznych zagrożeń rozwiązania ochronne.

Polityka bezpieczeństwa stanowi plan działania, taką mapę drogową, a zabezpieczenia techniczne służą realizacji tego planu – mówi Artur Piechocki, radca prawny, założyciel kancelarii APLaw.

Polityka bezpieczeństwa z założenia zawiera przyjęty w przedsiębiorstwie lub instytucji zbiór zasad postępowania zapewniających bezpieczeństwo. Określa podstawowe i strategiczne uwarunkowania, na których powinna bazować ochrona danych. Jej celem jest zdefiniowanie ram korzystania z rozwiązań, które będą chronić przed zagrożeniami i minimalizować skutki ataków. Wynika z nich, jak mają postępować pracownicy: jakie stosować zabezpieczenia, jak korzystać z zasobów, jakie realizować procedury reagowania na incydenty. Powinna także zawierać instrukcje działania w sytuacjach kryzysowych. Na czym jednak powinno się bazować, tworząc politykę bezpieczeństwa?

– Mamy trzy podstawowe źródła wymagań odnośnie do bezpieczeństwa w firmie czy instytucji: regulacje prawne, ocena ryzyka oraz wymagania biznesowe dotyczące ochrony interesów dostawcy, klienta lub osób, których dane dotyczą. Trzeba je jednak zawsze dostosować do sytuacji i warunków funkcjonowania konkretnego przedsiębiorstwa – wyjaśnia Kamil Pszczółkowski, manager Cyber Security Team w firmie doradczej PwC.

Najlepiej widać to w odniesieniu do wymogów prawnych. Inne przepisy regulują działalność w zakresie finansów, inne w energetyce, jeszcze inne w sektorze publicznym.

Polityka bezpieczeństwa powinna przede wszystkim zaspokajać potrzeby konkretnej firmy, czyli uwzględniać charakter prowadzonej działalności  – potwierdza Katarzyna Gorzkowska, prawnik w kancelarii APLaw.

Oznacza to, że regulacje wewnętrzne powinny się zmieniać w zależności od wielkości i charakteru działalności przedsiębiorstwa oraz instytucji. Jednym z istotnych czynników wpływających na ostateczny kształt polityki bezpieczeństwa są realia biznesowe każdego przedsiębiorstwa. One również muszą być uwzględnione w tworzeniu ram zarządzania bezpieczeństwem.

Polityka bezpieczeństwa musi być elementem kierowania całą firmą. Ma stwarzać warunki do sprawnego prowadzenia biznesu, a nie je utrudniać – podkreśla Kamil Pszczółkowski.

Radzi, by zwracać na to szczególną uwagę, gdyż często wprowadzane w firmach zasady bezpieczeństwa mają tendencje do „zabijania” biznesu.