Polityka bezpieczeństwa jest najbardziej konkretnym elementem systemu bezpieczeństwa informacji. Minimalna zawartość tego dokumentu dotycząca niektórych grup danych została wyraźnie określona przepisami (np. wytycznych polityki bezpieczeństwa systemów danych osobowych dotyczą konkretne odwołania w ustawie o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926, ze zm.). W praktyce trudno jednak znaleźć wzorcowy spis treści polityki bezpieczeństwa.

Wiadomo, że dokument ten w sposób wyraźny dzieli się na część ogólną i szczegółowe załączniki, które dotyczą bardzo konkretnych rozwiązań praktycznych, związanych z codzienną obsługą systemów informatycznych.

Jeden z takich załączników powinien zawierać szczegółowe wytyczne dotyczące tworzenia i zabezpieczenia dostępu do haseł. Jest to szczególnie ważne dziś, gdy większość systemów informatycznych działa w sieci, dzięki czemu pracownicy mogą realizować swoje zadania w zasadzie z dowolnego komputera, a dodatkowo część aplikacji jest już dostępna w architekturze webowej.

Łatwe do pamiętania, łatwe do złamania

Największym zagrożeniem bezpieczeństwa hasła jest jego "właściciel". Dla jednego z najbardziej znanych hakerów, Kevina Mitnicka, ważniejszym narzędziem uzyskiwania dostępu do systemów informatycznych była socjotechnika, w naturalny sposób pozwalająca poruszać się po najkrótszej gałęzi drzewa ataku. Dlatego przygotowując politykę bezpieczeństwa dla naszej instytucji, warto zwrócić uwagę na niewłaściwe przyzwyczajenia użytkowników i - dla ich przeciwwagi - stworzyć odpowiednie procedury, które będzie można później poddać audytowi, a także zweryfikować w trakcie doraźnej kontroli.

Wśród takich niewłaściwych nawyków znajduje się na pewno używanie krótkich haseł. Są one łatwiejsze do zapamiętania i szybsze do wpisania, niestety - równie proste do rozkodowania i złamania. Podobnie rzecz wygląda z hasłami "łatwymi", czyli takimi, które mają bezpośredni związek z daną osobą (imię małżonka, dziecka, psa etc.). Kolejną grupę tworzą hasła "związane" (czyli np. numer dowodu osobistego, data urodzenia, PESEL, miejsce urodzenia) nie są tak oczywiste jak hasła "łatwe", ale także możliwe do zdobycia za pomocą metod socjotechnicznych.

Hasło egzotyczne i wspak

Innym niewłaściwym nawykiem jest używanie jednego hasła do wszystkich systemów.

[...]

Autor jest absolwentem Wydziału Informatyki i Zarządzania Politechniki Wrocławskiej. Zajmuje się doradztwem w zakresie zamówień na sprzęt i oprogramowanie oraz organizacji i zarządzania zespołami informatycznymi. Współautor książki "Zamówienia publiczne na dostawy i usługi informatyczne".