Program bezpečnosti vo firme

Každá firma by mala mať nejaký program bezpečnosti IS (informačného systému). Samozrejme pokiaľ nejaký IS má.

V každom informačnom systéme (IS) je nutné nasadiť nejaké bezpečnostné riešenie. Samotná bezpečnosť IS je dynamický proces, ktorý sa vyvýja a mení s rastom či zmenou firemného prostredia a aj napriek snahe vždy bude obsahovať niekoľko slabých miest. Je nutné pokryť bezpečnostnú politiku komplexne  v oblasti  systémovej aj manažérskej.

Preto sa  vypracúva plán na zabezpečenie v dvoch vlnách podľa oblasti pôsobenia.

V bezpečnosti IS poznáme  dve oblasti či typy pôsobenia:

1.)    Reaktívny typ - kde dochádza k reakcií na incident a dá sa povedať, že i keď je to historický model, stále je potrebný. Ide o reakciu na dej či udalosť, ktorá poškodila už daný IS a následné napravenie chýb alebo odstránenie problému

2.)    Proaktívny typ - v ktorom dochádza k vyhodnocovaniu rizík, vykonávaniu predbežných opatrení a k zavádzaniu kontrol. Vytváraniu stratégií a plánov na disaster recovery (obnovu po incidente).

Pre komplexný bezpečnostný program je nutné mať nasledovné:

·         Plán firemného IS - dokonalé poznanie vlastného systému a jeho homogénnosť je dosť dôležité pre odhad rizík a slabých miest.

·         Analýza a vyhodnotenie rizík - audit IS je nutný aspoň 2x do roka.

·         Identifikácia rizikových dát a častí systému - ide o oblasti ktoré by mohli spôsobovať problémy alebo mohli byť zdrojom incidentov

·         Presná definícia kľúčových dát a častí IS - je nutné vedieť bez čoho sa neobíde chod firmy, a tiež čo by mohlo najviac poškodiť firmu keby došlo k incidentu.

·         Definovať zásady bezpečnosti vo firme

·         Vzdelávať zamestnancov

·         Plán rozvoja IS

Pokiaľ máte už taký program, treba dbať na jeho aktualizáciu a aplikáciu zmien v ňom aj na základe zistených skutočností počas auditu. Taktiež je nutné stanoviť striktné pravidlá pre prácu mimo objektu firmy či vziať v úvahu zmeny legislatívy, komunikáciu so zmluvnými partnermi, model pracovných postupov zamestnancov (workflow). A to značí, že je nutné zmapovať komplexné toky dát a miesta ich vzniku. Je nutné mať pod dohľadom pripojenia k iným sietiam (LAN či WAN) a tiež je nutné spravovať identity užívateľov a zálohované dáta.

Akonáhle pochopíte a zmapujete procesný model vašej firmy a aplikujete vyššie uvedené informácie, mali by ste byť schopný odhadnúť stav a nutné zmeny v IS. Samozrejme treba brať do úvahy iné oddelenia a tiež  záujem manažmentu (a taktiež jeho informovanosť).  Pokiaľ je k dispozícií je dobré si pozrieť históriu minulých incidentov a reakcií na ne.

Pokiaľ sa vám to zdá zbytočné, uvediem dva príklady bežného narábania s IS a jeho optimálne riešenie.

Bežný živnostník či jednoosobová firma:

Realita:

IS spočíva v jednom PC (laptop alebo stolné PC) s pripojením na internet.  Z 90%  tam bude operačný systém (OS) Windows XP spolu s Microsoft Office a ekonomický program na vedenie účtovníctva. Na danom PC podľa všetkého chodia na internet všetci príslušníci domácnosti a fungujú pod jedným účtom s právami administrátora. Dotyčný si občas spravý zálohu údajov na inú partíciu disku či na zapisovateľné médium (CD alebo DVD).

V prípade bezpečnostného  incidentu (zavírenie, pád systému, konflikt v OS)  často dôjde k reinštalácií OS a novému nainštalovaniu a v prípade že nedošlo k poškodeniu, alebo že záloha existuje, k importu dát do ekonomického programu.

Optimálne riešenie:

IS mať zložený z domáceho  a firemného PC poprípade mať externý USB disk či NAS pole na odkladanie údajov.

Na firemnom PC, ktoré by kľudne mohlo byť niekoľko rokov staré (napr. 500 - 1000MHz procesor s 1-2GB Ram,  20GB +40GB pevnými diskami) na ktorom bude bežať OS Windows,  Office, ekonomický program a internetové pripojenie (email).   Samozrejmosťou by mal byť antivírový program.

Pracovný účet v OS by nemal mať práva administrátora a daný počítač by mal byť zálohovaný a to minimálne dáta s ekonomického programu, emailové správy a poprípade nastavenia systému na iný pevný disk.

Ako vidieť zvýšil by sa počet PC v domácnosti na dva. Na toto však stačí použiť starší počítač a ako vidieť na modeli stačí aj pc s 500MHz procesorom na dané úlohy, ktoré by mal firemný počítač pre malú firmu zvládať.

Firma s 20 zamestnancami a niekoľkými externými spolupracovníkmi.

Realita:

IS je zložený s rôznych pc na rôznych OS (často kombinácia Windows XP, Vista a Windows 7) vačšinou OEM,  MS Office rôznych verzií a programov ktoré sú nutné k chodu firmy. Všetky PC sú v skupine WORKGROUP a maximálne majú nastavené zdieľanie priečinkov. Zamestnanci často (skoro vždy J ) používajú účet s administrátorskými právami. Často nebývajú dané PC kontrolované nikým a ako boli zapojené a nastavené dú. Pracovná plocha je plná odkazov a súborov, ktoré sú v priečinku Plocha.  Externisti, poprípade zamestnanci ktorí majú home office sa pripájajú do firmy na svoje PC (v horšom prípade na nejaký „všeobecný server").

Optimálne riešenie:

Zjednotenie OS a programového vybavenia. Vytvorenie „domény" na linuxovom systéme (vzhľadom k relatívne vysokej cene serverových OS na platforme Windows) a vytvorenie file serveru so zálohovaním dát.

VPN klienti by sa pripájali iba k dátam a mohli by používať webmail.  Všetky dôležité súčasti by sa zálohovali na file serveri a na plochu dávať iba odkazy na dané súbory. Zároveň môže firma na danom servery prevádzkovať vlastné www stránky.

Je síce pravdou že je nutné postaviť server ale v podstate to zvládne bežný počítač.

Ako vidieť v ukážkových modeloch investícia do  IS na zníženie rizík je vcelku minimálna (rastie s množstvom užívateľov, PC a serverov).

Tu uvedené modely sú stavané na menšie firmy z dôvody primárneho zanedbávania danej problematiky a zúženia celej IT bezpečnosti na antivírové riešenie.