Krytycznym ogniwem systemu zabezpieczeń jest użytkownik

Według danych Główne- go Urzędu Statystycznego z 2010 r., jedynie 10 proc. polskich firm prawidłowo chroni strategiczne dane własne oraz swoich klientów. Oznacza to, że nasze przedsiębiorstwa pozostają jednymi z najgorzej zabezpieczonych w Europie.

Podstawą bezpieczeństwa sieci komputerowej w firmie jest zapewnienie ochrony pojedynczym stacjom roboczym. W żadnym przypadku nie opłaca się rozważać wprowadzenia oszczędności w tym zakresie. Nawet przy najlepiej zabezpieczonych serwerach plików i poczty elektronicznej może dojść do infekcji całej firmowej sieci z poziomu jednego urządzenia.

Wystarczy, że któryś z pracowników będzie odbierał prywatne wiadomości e-mail przez stronę WWW, podłączał do firmowego komputera pamięć USB, korzystał w nim z własnych płyt DVD itp. i już niebezpieczeństwo infekcji komputera, a następnie całej sieci rośnie.

- Jeżeli firma korzysta z własnych serwerów, konieczne jest zapewnienie im ochrony. Warto wybrać ochronę dla całej sieci od jednego producenta. Można wówczas korzystać z konsoli administracyjnej pozwalającej na łatwe wdrożenie ochrony oraz na zarządzanie nią z poziomu jednego komputera - radzi Piotr Kupczyk z Kaspersky Lab.

W większości firm nie ma regulaminów dotyczących ochrony sieci komputerowej i danych, w tym plików zawierających klauzule poufności, dane osobowe czy strategiczne umowy biznesowe przedsiębiorstwa. Nie ma polityki bezpieczeństwa, czyli przemyślanego i systematycznego podejścia do ochrony komputerów i danych. W konsekwencji podczas zatrudniania nowych pracowników nie stawia się im formalnych wymogów stosowania się do firmowego regulaminu i nie ostrzega o konsekwencjach, jakie zostaną wobec nich wyciągnięte, gdy będą postępować niezgodnie z procedurą.

- Głównym problemem związanym z zabezpieczeniem firmowych danych jest podejście kadry zarządzającej do ich ochrony - twierdzi Paweł Odor, główny specjalista polskiego oddziału Kroll Ontrack. - Firmy błędnie zakładają, że w momencie zakupu konkretnego oprogramowania czy innych rozwiązań IT są już one w pełni bezpieczne. Tymczasem to są wartości, które należy zabezpieczyć. Ochrona strategicznych informacji wymaga, by stworzyć regulamin bezpieczeństwa - mówi.

Obecnie najpoważniejszym zagrożeniem dla firm są trojany kradnące dane. - Kradzież informacji będzie najpowszechniejszym zajęciem cyberprzestępców w najbliższej przyszłości. W przypadku firm niebezpieczne mogą być także ataki ukierunkowane. Są to działania cyberprzestępcze skierowane na konkretną infrastrukturę IT - diagnozuje Piotr Kupczyk.

Dlatego opracowanie regulaminu bezpieczeństwa IT i wprowadzenie formalnych wymogów przestrzegania go przez pracowników to jeszcze nie wszystko. Firmy powinny organizować okresowe szkolenia dla pracowników w zakresie ochrony kluczowych danych. Wzorem dobrych praktyk firm zachodnich warto cyklicznie, średnio raz do roku, przeprowadzać audyty śledcze, czyli badania możliwość wycieku danych.

Jednym z nowych trendów jest ochrona urządzeń mobilnych, takich jak smartfony. Coraz częściej są one wykorzystywane do tworzenia i przechowywania dokumentów związanych z działalnością firmy. Dlatego ochrona zasobów tych najmniejszych, mobilnych komputerów staje się coraz ważniejsza.

- Chodzi tu nie tylko o ochronę przed wirusami i innymi szkodliwymi programami, ale przede wszystkim o zabezpieczenie danych przed wpadnięciem w niepowołane ręce. Dlatego warto wybrać rozwiązanie, które pozwala na szyfrowanie danych przechowywanych w smartfonach oraz umożliwia zdalne zniszczenie naszych poufnych informacji w przypadku kradzieży lub zgubienia urządzenia - radzi Piotr Kupczyk.

Krzysztof Polak

krzysztof.polak@infor.pl