Lekceważenie ryzyka może być bardzo kosztowne

Na co należy zwrócić uwagę w zakresie bezpieczeństwa IT?

Zasoby danych przetwarzane w systemach informatycznych są kluczową wartością. O bezpieczeństwie decyduje więc przede wszystkim jakość uwierzytelniania, autoryzacji i zarządzania dostępem użytkowników do systemów. Tymczasem firmy popełniają błędy - prowadzą złą politykę haseł, stosują "słabe hasła", lekceważą wymóg silnego dwuskładnikowego uwierzytelniania. Zdarzają się przypadki współdzielenia haseł i kont przez użytkowników. Wiele firm w ogóle nie uwrażliwia swoich pracowników na stosowanie haseł dostępu do zasobów IT - loginy i hasła są często niezmieniane od momentu wdrożenia aplikacji. W ten sposób firmy narażają się na wyciek poufnych informacji, a nawet na ich utratę.

Przedsiębiorcy nie wyobrażają sobie, by konkurenci uzyskali dostęp do ich ofert, wewnętrznych materiałów o produktach czy do historii kontaktów z klientami. Tymczasem zdarza się, że osoba odchodząca z pracy bez trudu może wykasować dane firmowe z serwera, do którego ma dostęp nawet po odejściu z pracy. Rozsądek nakazuje, by w drzwiach nie tylko instalować zamki, ale i wyjmować z zamka klucz po ich zamknięciu. Podobnie z dostępem do danych - uwierzytelnianie i autoryzacja to podstawowy wymóg ich ochrony.

Jak wygląda praktyka zarządzania dostępem do firmowych zasobów danych?

Brak polityki zarządzania uprawnieniami, która pozwoliłaby nadzorować nadawanie i odbieranie uprawnień, zwłaszcza przy zmianach personalnych, to niemal zaproszenie do nadużyć. Podobnym błędem jest nadawanie nadmiernych uprawnień użytkownikom. Tego rodzaju błędy prowadzą do sytuacji, w której pracownicy uzyskują dostęp, np. do informacji o poziomie wynagrodzeń, do wyników ocen pracowniczych lub treści notatek członków zarządu itp.

O kopiach zapasowych (backup) danych z reguły nikt nie pamięta, a przecież pozwalają one odzyskać utracone dane. System backupowania powinien obejmować wszystkie systemy organizacji. Ważne jest określenie właściwej częstotliwości tworzenia kopii oraz czasu ich przechowywania. Ze względów bezpieczeństwa backupy warto przechowywać w osobnej lokalizacji. W firmach, w których systemy operacyjne odgrywają strategiczną rolę, warto testować scenariusz odzyskiwania danych oraz postępowania w przypadku awarii systemu, tak aby proces odzyskania danych nie sparaliżował działania firmy.

Jakie ryzyka wynikają z posługiwania się w pracy urządzeniami mobilnymi?

W tym obszarze firmy popełniają błędy w postaci braku szyfrowania danych, niedostatecznego zabezpieczenia dostępu urządzeń mobilnych do zasobów firmy, niestosowania narzędzi do bezpiecznej komunikacji oraz braku zarządzania konfiguracją urządzeń. Wprawdzie trendu wprowadzania urządzeń mobilnych do firm nie sposób powstrzymać, ale przez odpowiednią konfigurację zabezpieczeń można ograniczyć podatność na ataki z tej strony i wyciek informacji.

Kiedy w praktyce mamy do czynienia z zabezpieczeniem systemów IT?

Przedsiębiorcy kojarzą politykę bezpieczeństwa z oprogramowaniem antywirusowym i firewall’em. Zabezpieczanie stacji roboczych jest zrozumiałe, ale zabezpieczanie serwerów i użytkowanych aplikacji webowych już nie zawsze. Tymczasem w wieku internetu nie brakuje osób, dla których sensem życia jest włamywanie się na serwery, np. na innym kontynencie. System obrony przed atakami z zewnątrz powinien więc być zorganizowany kompleksowo - obejmować wszystkie komputery, serwery i aplikacje, które utrzymują łączność z Internetem. Ważne jest regularne monitorowanie zabezpieczeń oraz dobór oprogramowania, które nie tylko posiada możliwie najszersze spektrum ochrony (identyfikację zagrożeń), lecz także szybko pobiera aktualizacje. Bezpieczeństwo informatyczne to także aktualizowanie użytkowanych aplikacji, np. pod kątem zmieniających się przepisów, rozwoju organizacji lub rozwoju technologicznego. Równie ważne jest zarządzanie licencjami - ustalenie standardów oprogramowania, korzystanie wyłącznie z licencjonowanego i odpowiednio zainstalowanego oprogramowania oraz okresowa kontrola ważności licencji.

@RY1@i02/2012/063/i02.2012.063.22000040j.801.jpg@RY2@

Maciej Majewski, prezes zarządu spółki Pentacomp Systemy Informatyczne

Rozmawiał Krzysztof Polak