Systemy informatyczne w firmie zawierają coraz większe ilości ważnych danych. Trzeba więc je tak zabezpieczyć, by nawet część z nich nie wpadła w ręce niepowołanych osób lub nie została zniszczona.
Źródła zagrożeń
– Jednym z problemów, z którym spotykamy się szczególnie w przypadku sektora MSP, jest błędne przekonanie, że program antywirusowy to wszystko, czego potrzeba do zapewnienia kompleksowej ochrony. A przecież w dzisiejszych czasach przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom. Począwszy od coraz bardziej wyrafinowanych ataków poprzez pracowników, którzy mogą stracić poufne dane, aż po awarie, które mogą uszkodzić serwery z zapisanymi informacjami o klientach – mówi Maciej Iwanicki, senior presales consultant w Symantec Poland.
>>> Czytaj też: Jak chronić dziecko w internecie
Reklama
Jednak z reguły sytuacja wygląda tak, że im mocniejsze zabezpieczenia, tym korzystanie z narzędzi IT jest bardziej kłopotliwe. Dlatego zawsze przed wprowadzeniem konkretnego rozwiązania warto przyjrzeć się, gdzie tkwią źródła potencjalnych zagrożeń, jakie dane należy szczególnie zabezpieczyć itp.
Ważne pytania
To nie do działu IT, a do szefa czy zarządu firmy powinno należeć określenie polityki bezpieczeństwa, procedur i zasad postępowania pracowników. Informatykowi powinien pozostawić zaś dobór i dostosowanie narzędzi technologicznych odpowiednich do tych zadań.
Najpierw więc należy sprawdzić, jakie obszary działania firmy są zinformatyzowane, kto w firmie ma dostęp do jakiego typu danych. Trzeba też określić, które z tych danych są szczególnie istotne dla funkcjonowania firmy i w jaki sposób są chronione przed utratą. W tym miejscu warto sobie postawić pytanie, co się stanie, jeśli te informacje zostaną utracone lub zmodyfikowane, jak długo może trwać awaria systemu teleinformatycznego, aby to nie zakłóciło dziania firmy?
Gdy już będziemy znali odpowiedzi na te pytania, można dokonać analizy zagrożeń, czyli zastanowić się, które miejsca w systemie IT są najbardziej narażone na awarię i z której strony może nastąpić ewentualny atak.
>>> Czytaj też: Polskie firmy bagatelizują zagrożenie ze strony cyberprzestępców
Dopiero teraz można przystąpić do wyboru odpowiednich zabezpieczeń. Sprawdzić, jakie technologie będą dla naszych potrzeb najodpowiedniejsze i ile kosztują, co trzeba zrobić od strony organizacyjnej, aby je wdrożyć. Gdy już zapadnie decyzja o wyborze konkretnego rozwiązania, warto przeszkolić personel, wdrażając jednocześnie odpowiednie procedury organizacyjne. Przy czym w tej kwestii warto dbać o dyscyplinę wśród pracowników. Naturalną bowiem tendencją wśród personelu jest unikanie uciążliwych procedur związanych z bezpieczeństwem.
Normy i kopie
– Najczęściej stosowaną normą w Polsce w tym zakresie jest ISO/IEC 27001 zawierająca wymagania dla systemu zarządzania bezpieczeństwem informacji. Jej wdrożenie najczęściej połączone jest z uzyskaniem certyfikatu zgodności wydanym przez akredytowaną jednostkę certyfikacyjną. Uzupełnieniem ISO 27001 jest standard ISO 27002, który jest zbiorem dobrych praktyk zarządzania bezpieczeństwem informacji, ale ze swojej natury nie podlega procesowi certyfikacji – mówi Artur Krystosik, członek zarządu firmy Enigma.
Jednym z podstawowych elementów systemu bezpieczeństwa w każdej firmie jest stworzenie systemu kopiowania danych istotnych dla działania firmy, aby w przypadku awarii móc je szybko odtworzyć i mieć do nich dostęp.
– Dane z aplikacji biznesowych są niezwykle istotne, dlatego należy chronić je przed utratą, a także, co ważne, by w razie awarii móc je szybko i właściwie odtworzyć. Jednak dosyć często okazuje się, że wiele firm w Polsce nie posiada rozwiązań tworzenia kopii bezpieczeństwa i dopiero po poważnej awarii skutkującej utratą danych decydują się one na wdrożenie kompleksowych rozwiązań zabezpieczania danych – mówi Tomasz Jangas, senior solutions consultant w Hitachi Data Systems.
