W najprostszej definicji, bezpieczny system to taki, na którym możemy polegać. Wzrost świadomości w dziedzinie bezpieczeństwa informacji sprawia, że coraz większą wagę przykładamy nie tylko do funkcjonalności i walorów użytkowych produktu, ale na czele wymagań stawiamy wymogi związane z bezpiecznym przetwarzaniem informacji. Obligują nas do tego stosowne przepisy wynikające z ustaw oraz rozporządzeń krajowych i europejskich (RODO, KRI, KSC i inne).

Żeby zaprojektować bezpieczny system informatyczny, należy się tutaj skupić na 3 podstawowych aspektach. Pierwszym z nich jest zaprojektowanie i właściwe zabezpieczenie warstwy sprzętowej, na której będzie posadowione oprogramowanie przetwarzające dane osobowe. Drugim ważnym, a może i najważniejszym czynnikiem mającym wpływ na dobór bezpiecznej technologii jest wybór odpowiedniego oprogramowania mającego stosowne zabezpieczenia. Trzecim ważnym czynnikiem mającym wpływ na bezpieczeństwo systemów informatycznych jest świadomość użytkowników i wpływ ich działań na funkcjonowanie systemu informatycznego. Czynnik ludzki, często jest najsłabszym elementem z punktu widzenia bezpieczeństwa, występującym w całym procesie przetwarzania danych. Dlatego dla wzmocnienia tego obszaru warto zaopatrzyć się w zbiór zasad i procedur, mających wspierać użytkownika systemu w procesie przetwarzania danych, chroniąc tym samym jego jak i system przed wystąpieniem incydentu zagrażającego bezpieczeństwu przetwarzanych danych.

Szeroka gama dostępnego sprzętu komputerowego, urządzeń peryferyjnych czy elementów wyposażenia sieci komputerowej stwarza nam szerokie możliwości wyposażenia naszego systemu w dobrej jakości sprzęt. To, co w tym obszarze nas może ograniczać, to najczęściej posiadany budżet na tego typu wydatki, procedury zakupowe czy też możliwości instalacji zakupionego sprzętu. Warto przed zakupem sprzętu zwrócić uwagę na warunki zakupu oferowanego przez dostawcę w szczególności na obsługę serwisową zakupionego sprzętu, zarówno w trakcie trwania gwarancji jak i po tym okresie. Dla zminimalizowania ryzyka związanego z użytkowaniem sprzętu odpowiedzialnego za przetwarzanie danych osobowych, warto wydzielić dla niego osobny obwód elektryczny, stosować dedykowane listwy przepięciowe czy też urządzenia podtrzymujące zasilanie typu UPS, szczególnie w serwerowni. Ważnym elementem jest okresowe wykonywanie przeglądów urządzeń teleinformatycznych.

Innym ważnym składowym elementem systemu informatycznego, wymagającego zastosowania szczególnych środków, są aplikacje. Wraz z dynamiką rozwoju rynku oprogramowania, w ciągu ostatniej dekady zmieniała się technologia oferowanych produktów. Już coraz rzadziej spotyka się aplikacje instalowane lokalnie na docelowych urządzeniach, na których mają być przetwarzane dane. Aktualnie oprogramowanie jest wytwarzane i udostępniane w chmurze. Taki system charakteryzuje się możliwością pracy w przeglądarce, często dostępem do niego w otwartej sieci internetowej. Z jednej strony jest to wygodne rozwiązanie dla użytkowników systemu, a z drugiej jeszcze bardziej narażone na zagrożenia z zewnątrz. Pomimo, że dostawcy dokładają wszelkich starań aby odpowiednio zabezpieczyć tego typu aplikacje, to sami użytkownicy powinni przestrzegać stałych reguł związanych z użytkowanym oprogramowaniem. Szczególnie tutaj należy zwrócić na środowisko, w którym korzystamy z rozwiązań chmurowych. Oczywistym jest fakt, że system operacyjny, przeglądarka, antywirus czy też różnego rodzaju wtyczki zainstalowane w systemie (np. JAVA), powinny być zawsze zaktualizowane do najnowszej wersji. Istotnym elementem z punktu widzenia bezpieczeństwa organizacji korzystającej z tego typu oprogramowania, jest zawarcie stosownych zapisów w umowach dostawy/wdrożenia/obsługi asysty technicznej z jego dostawcami. Ponieważ coraz częściej decydujemy się na hosting oprogramowania zainstalowanego na serwerach dostawcy, należy uregulować szczególnie kwestię wykonywania przez dostawcę kopii bezpieczeństwa. Mając na uwadze to, że w ramach wykonywania usług przy serwisowaniu oprogramowania (nawet jeżeli odbywa się to na jego serwerach) to przetwarza dane naszej organizacji, co z kolei wymaga zawarcia stosownych umów powierzenia danych do przetwarzania. Ponieważ systemy posiadają różny stopień i zakres przetwarzanych danych, to jeśli dysponujemy taką możliwością warto rozważyć, które systemy możemy udostępnić do działania w sieci publicznej, a które powinny zostać tylko dla naszego wewnętrznego użytku (w sieci intranet) bez możliwości dostępu z zewnątrz. A nawet jeśli jesteśmy zmuszeni taki system udostępnić, to można tutaj stosować różnego rodzaju metody ustanawiania bezpiecznych połączeń (np. VPN).

Użytkownicy pracujący z systemem informatycznym, najczęściej są skupieni na jego merytorycznej zawartości realizując różnego rodzaju zadania. Często z braku wiedzy lub jasnych wytycznych w obszarze bezpieczeństwa przetwarzania danych w systemach, nie zwracają uwagi na wszelkie sprawy związane z bezpiecznym użytkowaniem systemu. Najczęściej popełniane zaniedbania to: niewłaściwe usytuowanie ekranu monitora narażające na dostęp do danych, kończenie pracy z systemem poprzez zamknięcie okna przeglądarki zamiast używania funkcji wyloguj czy np. logowanie się z niewłaściwie zabezpieczonych komputerów przed zagrożeniami z zewnątrz. Dlatego tak istotnym elementem jest stałe podnoszenie świadomości użytkowników, o wpływie ich działań na bezpieczeństwo całego systemu. Warto przeprowadzać w tym celu regularne szkolenia dla użytkowników czy też na bieżąco informować o nowych zagrożeniach mogących się pojawić w sieci publicznej (np. mailing do pracowników firmy). Ważne, aby użytkownicy mieli dostęp do jasno wytyczonych procedur postępowania z systemem informatycznym opisujących zasady bezpiecznego użytkowania.

Samo opracowanie systemu bezpieczeństwa, jest jedną z najistotniejszych i priorytetowych spraw dla każdej organizacji. Ale nie jest to jednorazowe działanie, po którym można już nie podejmować dalszych czynności. Wraz ze zmieniającym się otoczeniem, zmieniającymi technologiami czy też po prostu warunkami środowiskowymi w których funkcjonuje nasza firma, warto przeprowadzać co jakiś czas audyt sprawdzający bezpieczeństwo przetwarzania danych w systemach informatyczny, który pozwoli ocenić bieżący stan ochrony i podjąć działania naprawcze, jeśli jakieś procedury się zdezaktualizowały czy też wdrożyć nowe rozwiązania lub uzupełnić braki. Audyt IT jest jednym z tych audytów, które szczególnie pozwalają zbadać działanie infrastruktury teleinformatycznej i na podstawie raportu poaudytowego podjąć działania wdrażające zmiany.