Tworząc politykę bezpieczeństwa, należy przede wszystkim ustalić, jakie będą przedmioty ochrony i przed jakimi zagrożeniami będą one chronione. Głównymi elementami podlegającymi ochronie w firmie powinny być zasoby materialne przedsiębiorstwa (włącznie z całym budynkiem), tworzone i przechowywane przez tę firmę dane i infrastruktura komputerowa. Nie bez znaczenia są też niemierzalne parametry, takie jak ewentualna utrata reputacji, gdy informacja o utracie danych wyjdzie na jaw - może ona spowodować spadek cen akcji, utratę dobrego wizerunku w oczach klientów, złą opinię mediów, utratę zaufania ze strony dostawców itd.

Najczęstszymi zagrożeniami dla danych są awarie logiczne, np. niespodziewany błąd w systemie operacyjnym, aplikacji czy bazie danych, a na dodatek niemożliwe jest sprawowanie kontroli nad systemem. Może to być spowodowane błędem w oprogramowaniu, wirusem czy wreszcie niezamierzonymi, ale tragicznymi w skutkach działaniami użytkownika danych bądź ich administratora.

Dość często przyczyną utraty dostępu do danych jest awaria sprzętu. Najczęściej jest to awaria dysku twardego, ale mogą to być także błędy w działaniu procesora, pamięci, magistrali płyty głównej. Często uszkodzeniu ulegają zasilacze komputerów. Brak dostępu do danych może też spowodować niesprawnie działająca infrastruktura sieciowa. Przesyłane dane może także uszkadzać niesprawna karta sieciowa.

Ostatnią kategorią zagrożeń, co prawda (i na szczęście) najrzadziej występującą, są zagrożenia budynku. Ale fakt najrzadszego występowania nie zwalnia od zwrócenia na nie uwagi przy tworzeniu polityki bezpieczeństwa. I chociaż nasz kraj nie leży w rejonie sejsmicznym ani raczej nie grozi nam wojna czy terroryzm, to powodzie czy długotrwałe awarie zasilania dawały znać o sobie. Do zagrożeń budynku można zaliczyć też zwykłą działalność przestępczą.

Trzeba też przez cały czas pamiętać, że wykonanie kopii bezpieczeństwa nie jest celem naszych działań. O poprawności pracy naszego systemu będziemy mogli powiedzieć, gdy stracone dane uda nam się odzyskać w założonym czasie. Dlatego w każdej polityce bezpieczeństwa powinien znajdować się obejmujący wszelkie scenariusze plan odzyskania danych (Disaster Recovery), który przedsiębiorstwo będzie realizować w razie awarii. Logiczna spójność tego planu powinna być regularnie testowana, zarówno dla całego środowiska informatycznego, jak i poszczególnych serwerów czy plików.

Zobacz także

• Archiwizacja danych na nośnikach optycznych i magnetooptycznych
• Backup i archiwizacja
• Pamięci masowe - klasyfikacja urządzeń
• Urządzenia taśmowe
• Zabezpieczanie danych
• Zapis danych na twardych dyskach