Zarządznie bezpieczeństwem danych w firmie

Większość firm w dzisiejszych czasach posiada plan zachowywania informacji i ich odtwarzania wraz z odpowiednimi procesami. Jednak, ponieważ nie można jednoznacznie stwierdzić, że procesy te w pełni odnoszą się do wymogów biznesowych, inwestycje w Business Continuity mogą być dalekie od wystarczających. Co więcej, procesy ochrony danych dla pojedynczych systemów niekoniecznie muszą składać się na plan chroniący całą firmę. Nawet najmniejszy przeoczony szczegół może zrujnować dobrze przygotowany plan. Do niedawna klasyczne podejście do odtwarzania po katastrofie koncentrowało się na odtworzeniu scentralizowanego Data Center, w przypadku zaistnienia katastrofy naturalnej lub spowodowanej działaniem człowieka. Pomijany był wątek zapewnienia ciągłości działania funkcjom biznesowym. Chociaż podejście tradycyjne jest nadal ważne, okazuje się ono niewystarczające w przypadku środowiska rozproszonego. W środowisku Internetu wymóg ciągłości działania nabiera zupełnie nowego wymiaru.
W latach 80-tych odtwarzanie w warunkach katastrofy (Disaster Recovery) zostało uznane za formalną dziedzinę oraz komercyjną działalność biznesową. Koncentrowano się głównie na ochronie centrów przetwarzania danych - serca przetwarzania danych firmy. Model ten, w latach 90., zaczął ewoluować w stronę rozproszonego przetwarzania danych oraz architektury klient/serwer. W tym samym czasie okazało się, że struktura IT jest integralną częścią nieomalże każdego aspektu prowadzenia biznesu. Przetwarzanie danych przestało być czymś, co odbywało się gdzieś w tle. Wręcz przeciwnie, krytyczne dane biznesowe mogły być rozsiane po całej firmie - na komputerach osobistych, sieciach działowych i centrach przetwarzania danych. Ta ewolucja trwa nadal. Kluczowe inicjatywy biznesowe, takie jak zarządzanie zasobami przedsiębiorstwa (ERP), zarządzanie łańcuchem dostaw (SCM) oraz e-biznes zainicjowały potrzebę nieprzerwanego dostępu do informacji. Oznacza to, że firma nie jest w stanie funkcjonować bez niezbędnej technologii informatycznej: danych, oprogramowania, sprzętu, sieci, call center - nawet komputerów przenośnych. Na przykład firma, która sprzedaje swoje wyroby przez Internet lub zapewnia klientom wsparcie
przy pomocy działającego całą dobę cali center, musi działać 24 godziny
na dobę, 7 dni w tygodniu. W przeciwnym razie jej klienci odejdą do
konkurencji, która zapewni im takie warunki. Firma, która wykorzystuje
rozwiązania e-biznesowe do zakupu i dystrybucji części i produktów, nie
jest już zależna tylko od własnej technologii, ale również od niezawodności
technologii swoich dostawców. W rezultacie, ochrona krytycznych
procesów biznesowych wraz z ich skomplikowanymi współzależnościami
stała się tak samo ważna jak ochrona danych. Celem firm, które nie mogą
sobie pozwolić na nawet najkrótszy przestój, jest osiągnięcie stanu
ciągłości działania, gdzie krytyczne systemy i sieci są zawsze dostępne,
niezależnie od tego, co się może wydarzyć. To zmusza do proaktywnego
myślenia: należy włączyć dostępność, bezpieczeństwo i niezawodność w
procesy biznesowe, a nie zmieniać plany odtwarzania po katastrofie w taki
sposób, aby objęły procesy biznesowe. Ta sama technologia informatyczna, która zapewnia nam przewagę nad konkurencją, tworzy również nowe zagrożenia i wyzwania. W Internecie, firmy mają możliwość stworzenia natychmiastowego zadowolenia - lub niezadowolenia - wśród milionów ludzi. W środowiskach ERP i SCM organizacje mogą zbierać owoce zwiększonej wydajności lub odczuć wpływ awarii, która może zaistnieć w dowolnym miejscu tego zintegrowanego procesu. Obecnie osiągnęliśmy taki moment, gdzie krytyczne przerwanie działalności nie jest już mierzone w godzinach, a minutach. Firmy działające w Internecie bardziej boją się o możliwość obsłużenia nagłego wzrostu liczby klientów, niż ognia lub powodzi. I nie ma się tu, czemu dziwić. Przykładowo, jeśli infrastruktura nie jest w stanie obsłużyć nagłego wzrostu o 200% ruchu w sieci, spowodowanego udaną kampanią reklamową, może to oznaczać utracone szansę, niezrealizowane przychody, lub nawet nadszarpnięty wizerunek firmy. Ponieważ elektroniczne transakcje oraz komunikacja odbywają się tak szybko, ilość pracy i biznesu utraconego w trakcie godzinnej przerwy przekracza wszystko, czego doświadczaliśmy w poprzednich dekadach.

Zgodnie z raportem opracowanym przez Strategie Research Corporation z Santa Barbara (California), wpływ finansowy wyłączenia systemu komputerowego może być ogromny: przy operacjach brokerskich straty szacuje się na poziomie 6,5 miliona USD na godzinę, 2,6 miliona USD przy autoryzacji kart kredytowych, czy też 14,5 tysiąca USD dla systemu bankomatów. Nawet to, co kiedyś było określane jako 'pomniejszy' problem - uszkodzenie jednego z dysków czy błąd w oprogramowaniu, może spowodować takie same straty jak utrata komunikacji czy zalanie wodą centrum przetwarzania danych, jeżeli dotknięte są krytyczne funkcje biznesowe. Niewiele organizacji potrzebuje lub ma zasoby niezbędne do zapewnienia pełnej ciągłości działania dla wszystkich funkcji biznesowych przedsiębiorstwa. Większość firm, które posiadają plan zakładający taką właśnie zasadę, albo jest niewystarczająco przygotowana do katastrofy, albo też niepotrzebnie wydaje pieniądze. Kluczem do zapewnienia odpowiedniej ciągłości jest zrozumienie funkcji biznesowych w firmie, określenie, które z nich są krytyczne do prowadzenia działalności oraz zidentyfikowanie wszystkich elementów składowych tychże procesów. Pod uwagę należy wziąć wiele różnorodnych czynników: wyspecjalizowaną wiedzę i umiejętności, pomieszczenia, wyszkolenie i zadowolenie pracowników - jak i technologie informatyczne.
Stare powiedzenie mówi, że łańcuch jest tylko tak silny jak jego najsłabsze ogniwo. Jest to również prawda w odniesieniu do systemu ochrony informacji. Najpowszechniejszym na świecie standardem do określania obecnego i wymaganego poziomu bezpieczeństwa informacji, jest standard ISO-17799 (pierwotnie był to brytyjski standard BS -7799), który określa wszystkie istotne aspekty związane z ochroną informacji i systemów komputerowych. Standard ten podzielony jest na dziesięć różnych obszarów tematycznych:
• polityka bezpieczeństwa,
• organizacja bezpieczeństwa,
• zasady klasyfikacji zasobów informacyjnych,
• bezpieczeństwo związane z personelem,
• bezpieczeństwo fizyczne i anomalie przyrodnicze,
• zarządzanie oraz obsługa systemów komputerowych i sieci,
• zarządzanie dostępem do systemów i informacji,
• rozwijanie i serwisowanie systemów komputerowych,
• planowanie działań pozwalających zachować ciągłość pracy
systemów komputerowych,
• zgodność z zobowiązaniami prawnymi i ustawowymi.
Standard ISO-17799 jest powszechnie stosowany jako wzorcowy model systemu bezpieczeństwa informacji w różnego typu przedsiębiorstwach (przemysł, bankowość, handel, telekomunikacja, etc.). Wybór i określenie kryteriów dopuszczalnego ryzyka jest ściśle związane z powszechnie uznawanym pojęciem bezpieczeństwa. Bezpieczeństwo informacji jest zbudowane na trzech elementach:
• dostępność, która ma zapewnić ciągłość pracy systemów
komputerowych i dostęp do informacji w momencie, kiedy są one
potrzebne;
• poufność ma zagwarantować, że nieuprawniony użytkownik nie ma
dostępu do tych informacji, do których nie został uprawniony;
• integralność ma za zadanie ochronić informacje i kod oprogramowania przed nieuprawnionymi zmianami.
Awarie systemów komputerowych, spowodowane przez siłę wyższą, są niestety nie do uniknięcia. Szacunkowe straty ponoszone przez firmy na całym świecie, spowodowane tego typu wypadkami liczone są w miliardach dolarów rocznie. Jeden jedyny wirus Love Bug, spowodował wielomiliardowe straty i zablokował pracę wielu firm na świecie. W trakcie huraganu Floyd, IBM pomógł w przeniesieniu 46 systemów komputerowych i zapewnił wszelką możliwą pomoc, dzięki czemu firmy te mogły kontynuować swoją działalność pomimo konieczności ewakuacji. Usługi związane z Business Continuity and Recovery mają na celu zapewnienie możliwości kontynuowania działalności biznesowej, niezależnie od wszelkich wydarzeń, które mogą wpływać na firmę. Doświadczenia na rynku amerykańskim pokazują, że z firm, które utraciły dane na skutek katastrofy, 46% zbankrutowało (z powodu braku zabezpieczenia usługami typu Business Continuity), 48% doświadczyło poważnych problemów i zbankrutowało w ciągu 2 lat, a jedynie 6% przetrwało takie zdarzenia. Usługi obejmują zarówno rozwiązania technologiczne (od dostawy urządzenia zapasowego, poprzez rozwiązania typu mirror/klaster do budowania ośrodków zapasowych pod klucz), jak i szeroki wachlarz rozwiązań konsultingowych, związanych z procesami biznesowymi klienta:
• ocena ryzyka,
• analiza czynników krytycznych,
• ocena zdolności odtworzenia,
• budowanie strategii odtwarzania,
• opracowanie planu zapewniania ciągłości działania,
• szkolenia dla pracowników,
• testowanie planów awaryjnych
Czas życia sprzętu przetwarzania danych ulega ciągłemu skracaniu. Zainstalowane urządzenia są wciąż modyfikowane i zastępowane nowymi, szybszymi, wydajniejszymi. Podobnie dzieje się z oprogramowaniem -instalacja poprawek, modyfikacji, nowych wersji staje się procesem ciągłym. Dlatego coraz ważniejsze staje się prawidłowe planowanie rozwoju bazy informatycznej w stosunku do otaczającego środowiska, a szczególnie ośrodków przetwarzania. Ośrodek Przetwarzania, w zależności od rozmiaru, może być skomplikowanym przedsięwzięciem obejmującym wiele dziedzin. Przy tworzeniu takiego ośrodka należy uwzględnić wiele aspektów, takich jak:
• projekt architektoniczny uwzględniający takie elementy jak
funkcjonalność, zabezpieczenia, telekomunikację,
• infrastrukturę techniczną typu: zasilanie, klimatyzacja, dostęp do
sieci teletransmisyjnej,
• rozmieszczenie poszczególnych elementów,
• zabezpieczenia na wypadek awarii,
• kontrola dostępu, fizyczna ochrona, ochrona przeciwpożarowa,
monitorowanie,
• zarządzanie zainstalowanym sprzętem,
• organizacja ośrodka (struktura, stanowiska pracy, zakres
obowiązków, nabór i szkolenie personelu).
Niektóre firmy jak np. IBM oferuje pełną usługę serwisową dla Ośrodka Przetwarzania - od wstępnej oceny, poprzez projektowanie i planowanie oraz realizację: począwszy od prac budowlanych do instalacji i konfiguracji sprzętu. Dotyczy to nie tylko sytuacji, gdy planowany jest nowy ośrodek, ale również przeróbek istniejących centrów i ich dostosowania do wciąż zmieniającej się bazy sprzętowej i rodzajów zastosowań: zmiany technologii, tworzenia i rozbudowy sieci lokalnych i rozległych. Usługa może obejmować pojedyncze elementy począwszy od konsultacji aż do objęcia całego przedsięwzięcia (umowa typu "pod klucz"). Umożliwia to klientowi skupienie się na jego rzeczywistym obszarze działalności: bankowości, ubezpieczeniach, handlu czy produkcji przemysłowej.

Polityka Bezpieczeństwa w
Bartex Holding S.A.
Obecne realia, które zmuszają do gromadzenia i przetwarzania wielkich ilości danych, wymuszają na przedsiębiorstwie odpowiednie nimi zarządzanie i ochronę. Bartex Holding S.A. jest narażony na następujące zagrożenia utraty lub zniszczenia danych:
Zagrożenia postaci nie fizycznej i zapobieganie
Wirus - zazwyczaj wirusy zawierają w sobie destrukcyjne kody-polecenia dla komputera, które są tragiczne w skutkach dla firmy i tworzą olbrzymie straty na całym świecie. Jest to najpowszechniejsze i najbardziej realne globalne zagrożenie dla naszych danych. Samo zapobieganie infekcją jest w miarę proste, jednak niedopuszczalne są jakiekolwiek zaniedbania. Proces ochrony musi być starannie opracowany i bieżąco aktualizowany. Podstawą jest posiadanie programu antywirusowego np. Mks-Vir, Norton Antyvirus, PC-Cilin. Programy różnią się pomiędzy sobą skutecznością oraz licencją. Pomimo kosztów lepiej zrezygnować z licencji typu freeware, na rzecz płatnych, gdyż płatne programy oferują zazwyczaj większą skuteczność i szerszy zakres oferowanych funkcji ochrony.
Na etapie posiadanie skonfigurowanego programu antywirusowego należy ograniczyć prawdopodobieństwo infekcji. W tym celu można ograniczyć dostęp sieci zewnętrznych, takich jak Internet, do naszej sieci. Można w tym celu , wyłączyć z sieci firmowej komputery, które będą używane do połączeń z sieciami ogólnodostępnymi. Pracownicy firmy nie mogą na służbowych komputerach wprowadzać danych z prywatnych nośników.
Złośliwa aplikacja, dialer, atak z zewnątrz - jest to typ coraz powszechniejszej metody kradzieży danych lub ich zniszczenia, w przypadku dialerów metoda narażenia firmy na straty. Jest to celowe działanie osób trzecich mające na celu osiągnięcie zamierzonych korzyści w postaci danych lub pieniędzy z połączeń z kosztownymi numerami. Czasami korzyści te, to zniszczenie lub uszkodzenie danych na serwerach firmy. Podstawowa metodą zapobiegania jest tu stosowanie aplikacji typu firewall. Są to aplikacje, które blokują dostęp do naszego systemu z sieci zewnętrznych, na bieżąco monitorują i informują użytkownika o próbie ataku, raportują. Przykładem takiej aplikacji jest ZoneAlarm. Jeden z najdynamiczniej

rozwijanych projektów cechujący się wysoką skutecznością chroniący przed wspomnianymi metodami ataku, a poniekąd również chroni przed wirusami.
Wewnętrzny atak sieci przez pracownika firmy - system powinien być skonfigurowany tak, aby każdy użytkownik miał własne konto i uprawnienia adekwatne do zajmowanej funkcji. Wszelkie poczynania użytkowników powinny być raportowane administratorowi systemu. Tu też może okazać się skuteczne uprzedzenie o odpowiedzialność dyscyplinarnej i karnej poczynionej szkody. Dostęp do sieci musi być ograniczony do minimum.
Zagrożenia postaci fizycznej i zapobieganie
Kradzież - zdarzanie mogące mieć miejsce w każdej chwili działalności. Kradzież może nastąpić z zewnątrz poprzez włamanie lub niezauważone przedostanie się nieupoważnionych osób na teren zakładu. Kradzieży może również dokonać pracownik.
W celu zapobiegania kradzieży firma powinna posiadać etatowych agentów ochrony z licencjami I-ego i ii-ego stopnia, którzy przy pomocy nowoczesnego systemu monitoringu oraz sieci czujników ruchu (aktywnych, gdy pracownicy będą nieobecni na terenie obserwowanym) będą w stanie obserwować cały teren zakładu przy niewielkich nakładach ludzkich. Bardzo ważnym elementem bezpieczeństwa jest wprowadzenie system przepustek (w postaci kart elektromagnetycznych) o zróżnicowanym poziomie uprawnień. Drzwi do najbardziej newralgicznych części budynku powinny być zabezpieczone w zamki z czytnikami wspomnianych kart, aby umożliwić łatwy, a zarazem ograniczony przepływ pracowników.
Zalanie, pożar i inne zdarzenia losowe - okoliczności nieprzewidywalne. Jedynym sposobem szybkiej interwencji w przypadku pożaru jest posiadanie czujników dymu, dzięki którym agent ochrony będzie mógł poinformować odpowiednie jednostki interwencyjne. W przypadku innych zdarzeń losowych podstawą jest intensywny monitoring, który umożliwi szybką reakcję.
Nieumyślne (niekonieczne) zniszczenie przez pracownika -
każdy pracownik powinien być odpowiednio przeszkolony w zakresie BHP oraz obsługi komputera. Nie powinni mieć dostępu do urządzeń współtworzących sieć pracownicy, dla których ten kontakt jest zbyteczny. Skuteczne może okazać się uprzedzenie o odpowiedzialności dyscyplinarnej i karnej za ewentualnie poczynione szkody.
Bez względu na charakter i rodzaj działalności firmy, nie należy szczędzić pieniędzy na ochronę sieci komputerowych i zawartych w nich danych.
Bezwzględnie należy regularnie dokonywać kopii zapasowych danych (kopie muszą być bardzo aktualne przy dużym przepływie danych) i deponować w bezpiecznych miejscach. Kopii powinno być kilka. Nie powinny być przechowywane na terenie zakładu a w rożnych, nie związanych ze sobą miejscach, takich jak skrytki w różnych bankach. Takie zabezpieczenie daje niemal stuprocentową gwarancję, że gdy wszystkie inne zapory zawiodą i sieć przestanie istnieć, firma odzyska stabilność dzięki którejś z kopii zapasowych.

Dodaj swoją odpowiedź