Zabezpiecz się, zanim poniesiesz straty

Zabezpiecz się, zanim poniesiesz straty www.sxc.hu

Lekceważenie ryzyka informatycznego może słono kosztować. Przedsiębiorcy pochłonięci prowadzeniem biznesu rzadko myślą o zagrożeniach, tymczasem lista czynników ryzyka IT wydłuża się z każdym rokiem.

Na co więc warto zwracać uwagę, by uchronić się przed niespodziewanymi stratami i kosztami?

Przedsiębiorcy, szczególnie w sektorze MSP, rzadko zdają sobie sprawę z zagrożeń związanych z informatyką, ich źródła, skali i potencjalnych konsekwencji stania się ich ofiarą. Nasuwa się porównanie do kierowców jeżdżących z zamkniętymi oczami bez żadnego ubezpieczenia. Tymczasem przeciwdziałanie ryzyku, choć wiąże się z ponoszeniem dodatkowych kosztów, pozwala wielokrotnie ograniczyć straty, na jakie naraża się niezabezpieczona organizacja.

Na co przedsiębiorcy powinni zwracać szczególną uwagę? Zaczniemy od obszarów szczególnie zaniedbanych.

1. Uwierzytelnianie i autoryzacja - czyli pozostawianie klucza w drzwiach

Obecnie zasoby danych przetwarzane w systemach informatycznych stanowią kluczową wartość zdecydowanej większości organizacji. Jakość usług uwierzytelniania, autoryzacji i zarządzania dostępem użytkowników do systemów w dużej mierze wpływa na bezpieczeństwo informacji. W obszarze tym najczęściej popełniane błędy dotyczą złej polityki haseł, stosowania „słabych haseł” oraz braku silnego dwuskładnikowego uwierzytelniania. Zdarzają się przypadki współdzielenia haseł i kont przez użytkowników. Wiele firm w ogóle nie przywiązuje wagi do uwrażliwiania swoich pracowników na stosowanie haseł dostępu do zasobów cyfrowych firmy. Częstym przykładem zaniedbania jest niezmienianie loginów i haseł nawet od momentu wdrożenia oprogramowania.

Niestosowanie przez firmę konsekwentnej polityki haseł naraża ją, w najlepszym przypadku, na wyciek poufnych informacji (który z przedsiębiorców chciałby pokazać swoim konkurentom własne oferty, historie kontaktów z klientami czy wewnętrzne materiały o produktach?), w najgorszym zaś, na utratę zasobów informacji (czy wyobrażają sobie Państwo, że np. osoba odchodząca z pracy może bez trudu wykasować dane firmowe z serwera, do którego ma dostęp nawet po odejściu z pracy?). Zdrowy rozsądek nakazuje by w drzwiach nie tylko instalować zamki ale by po zamknięciu wyjmować z zamka klucz.

2. Zarządzanie dostępem - czyli kto może mieć klucze do kasy

Stawianie na lojalność wszystkich pracowników połączona z ufnością, że dane gromadzone na dyskach użytkowników i serwerach zamkniętych w serwerowni nie zostaną naruszone choćby w wyniku złej woli, to oczywisty mit. Przekonanie o bezpieczeństwie danych bez stosowania odpowiednich zabezpieczeń prowadzi najczęściej do rozluźnienia polityki zarządzania dostępem do zasobów informacyjnych, a w skrajnych przypadkach do całkowitego zlekceważenia takiej potrzeby. Brak polityki zarządzania uprawnieniami, która pozwoliłaby nadzorować nadawanie/odbieranie uprawnień, zwłaszcza w sytuacjach zmian personalnych to rodzaj zaproszenia pracowników do nadużyć. Podobnie błędem jest nadawanie nadmiarowych uprawnień użytkownikom. Błędy i zaniechania w tym obszarze to nie tylko ryzyko wycieku danych na zewnątrz firmy – to przede wszystkim ryzyko konsekwencji posiadania danych poufnych przez nieuprawnionych pracowników. Wyobraźmy sobie, że pracownicy uzyskują przypadkiem dostęp do informacji o poziomie wynagrodzeń w całej firmie, do wyników ocen pracowniczych lub treści notatek członków zarządu. To tak jakby zamienić pomieszczenie, w którym przechowujemy pieniądze, w stołówkę samoobsługową.

Podobne artykuły:

3. Backup - czyli jak odzyskać utracone dane

O kopiach zapasowych danych z reguły nikt nie pamięta, dopóki nie są nagle potrzebne. System backupowania i odzyskiwania danych powinien obejmować wszystkie systemy organizacji. Ważne jest określenie właściwej częstotliwości tworzenia kopii oraz czasu ich przechowywania. Ze względów bezpieczeństwa backupy warto przechowywać w osobnej lokalizacji. W firmach, w których systemy operacyjne odgrywają strategiczną rolę, warto testować scenariusz odzyskiwania danych oraz postępowania w przypadku awarii systemu, tak aby proces odzyskania danych nie zahamował pracy organizacji. Te same firmy powinny także zadbać o wprowadzenie planu ciągłości działania IT, szczególnie komponentów o kluczowym znaczeniu dla firmy (np. serwery, systemy sprzedażowe itp.).

4. Urządzenia mobilne - czyli w pracy tak jak w domu

Jednym z wyrazów rozwoju technologii jest rosnąca popularność urządzeń mobilnych i coraz powszechniejsze wykorzystywanie ich do pracy. Częstym źródłem ryzyka jest wykorzystywanie do pracy urządzeń prywatnych, które nierzadko nie są objęte szczelnym systemem ochrony. W tym obszarze często popełniane błędy to brak szyfrowania danych, niedostatecznie zabezpieczony dostęp urządzeń mobilnych do zasobów firmy, niestosowanie narzędzi do bezpiecznej komunikacji oraz brak zarządzania konfiguracją urządzeń. Wprawdzie tego trendu zwanego konsumeryzacją nie sposób jest powstrzymać, ale poprzez odpowiednią konfiguracje zabezpieczeń można ograniczyć podatność na ataki, wyciek informacji wrażliwych oraz negatywne ich konsekwencje.

Maciej Majewski Pentacomp Systemy Informatyczne SA