Hva er en datasikkerhetspolicy?
En datasikkerhetspolicy er et sett med sikkerhetsprotokoller som en bruker eller organisasjon oppretter for sine datamaskiner. Det inkluderer vanligvis inntrengingsdeteksjoner, brannmuroppsett, passord for brukertilgang, pålogginger og prosedyrer for bruk av visse maskinvare- og programvareprogrammer. Hvilken type sikkerhetspolicy som brukes, kan variere mye for forskjellige forretningsnettverk og hjemmenettverk.
En organisasjons avdeling for informasjonsteknologi er vanligvis ansvarlig for å bestemme og sette opp en datasikkerhetspolitikk. Avdelingen må etablere et sett med protokoller som gjelder tilgang på brukernivå. Noen brukere kan for eksempel få tillatelse til visse programvarefunksjoner og pakker som andre ikke er. I noen tilfeller er visse typer tilgang begrenset for alle ansatte. Et vanlig eksempel er at databrukere de fleste steder i virksomheten er forhindret fra å besøke bestemte nettsteder som inneholder anstøtelig materiale eller tillater en arbeider å drive personlig virksomhet mens han er på jobb.
Ekstern sikkerhet er en viktig komponent i enhver politikkmodell. Krypteringsmetoder og private nettverk kan brukes for å forhindre uønsket tilgang. I tillegg kan en datasikkerhetspolicy også etablere brannmurer og individuelle sikkerhetsinnstillinger.
En del av en datasikkerhetspolicy spesifiserer hvordan data kan lagres og overføres mellom brukere. Noen protokoller lar data overføres fra en brukers individuelle arbeidsstasjon til en ekstern stasjon eller lastes opp som et e-postvedlegg. Andre retningslinjer kan begrense disse rettighetene og bare tillate brukere å dele data i en felles nettverksmappe. Fjerntilgang til visse programmer og nettverksmapper kan være tillatt med visse påloggingsinformasjon.
En annen stor del av enhver datasikkerhetspolicy avgjør hvordan brukere kan få tilgang til Internett og programmer som sender data over det, for eksempel e-post og direktemeldinger. Det er ganske vanlig at en sikkerhetspolicy for datamaskiner gir tilgang og bruk til noen av disse programmene til bestemte brukere mens de begrenser andre. For eksempel i et telefonsenter kan posisjoner på høyere nivåer som krever større kommunikasjon trenge tilgang til disse verktøyene, mens agenter på lavere nivå som primært tar innkommende samtaler vil synes at de er distraherende. Noen selskaper bruker en teppe-policy og gir bare tilgang til ledende ansatte.
Retningslinjer for gjenoppretting av katastrofer er noen ganger en del av en formell datasikkerhetsprotokoll. Det meste av dette sikkerhetsområdet har å gjøre med backup-lagring og hvem som kan få tilgang til visse data i tilfelle naturkatastrofer som utsletter komplette systemer. Planlegging av virusinfeksjoner eller serverkrasj kan også påvirke policyer for sikkerhetskopiering av data. En organisasjons avdeling for informasjonsteknologi vil vanligvis være ansvarlig for å utforme utvinningsplaner, tildele kontaktpunkter og ansvarsområder, og utdanne brukere på arbeidsplassen om hva de skal gjøre for å forberede seg på slike arrangementer.