Bezpečnosť > bezpečnosť
Program bezpečnosti vo firme
Každá firma by mala mať nejaký program bezpečnosti IS (informačného systému). Samozrejme pokiaľ nejaký IS má. V každom informačnom systéme (IS) je nutné nasadiť nejaké bezpečnostné riešenie. Samotná bezpečnosť IS je dynamický proces, ktorý sa vyvýja a mení s rastom či zmenou firemného prostredia a aj napriek snahe vždy bude obsahovať niekoľko slabých miest. Je nutné pokryť bezpečnostnú politiku komplexne v oblasti systémovej aj manažérskej.
Preto sa vypracúva plán na zabezpečenie v dvoch vlnách podľa oblasti pôsobenia.
V bezpečnosti IS poznáme dve oblasti či typy pôsobenia:
1.) Reaktívny typ - kde dochádza k reakcií na incident a dá sa povedať, že i keď je to historický model, stále je potrebný. Ide o reakciu na dej či udalosť, ktorá poškodila už daný IS a následné napravenie chýb alebo odstránenie problému
2.) Proaktívny typ - v ktorom dochádza k vyhodnocovaniu rizík, vykonávaniu predbežných opatrení a k zavádzaniu kontrol. Vytváraniu stratégií a plánov na disaster recovery (obnovu po incidente).
Pre komplexný bezpečnostný program je nutné mať nasledovné:
· Plán firemného IS - dokonalé poznanie vlastného systému a jeho homogénnosť je dosť dôležité pre odhad rizík a slabých miest.
· Analýza a vyhodnotenie rizík - audit IS je nutný aspoň 2x do roka.
· Identifikácia rizikových dát a častí systému - ide o oblasti ktoré by mohli spôsobovať problémy alebo mohli byť zdrojom incidentov
· Presná definícia kľúčových dát a častí IS - je nutné vedieť bez čoho sa neobíde chod firmy, a tiež čo by mohlo najviac poškodiť firmu keby došlo k incidentu.
· Definovať zásady bezpečnosti vo firme
· Vzdelávať zamestnancov
· Plán rozvoja IS
Pokiaľ máte už taký program, treba dbať na jeho aktualizáciu a aplikáciu zmien v ňom aj na základe zistených skutočností počas auditu. Taktiež je nutné stanoviť striktné pravidlá pre prácu mimo objektu firmy či vziať v úvahu zmeny legislatívy, komunikáciu so zmluvnými partnermi, model pracovných postupov zamestnancov (workflow). A to značí, že je nutné zmapovať komplexné toky dát a miesta ich vzniku. Je nutné mať pod dohľadom pripojenia k iným sietiam (LAN či WAN) a tiež je nutné spravovať identity užívateľov a zálohované dáta.
Akonáhle pochopíte a zmapujete procesný model vašej firmy a aplikujete vyššie uvedené informácie, mali by ste byť schopný odhadnúť stav a nutné zmeny v IS. Samozrejme treba brať do úvahy iné oddelenia a tiež záujem manažmentu (a taktiež jeho informovanosť). Pokiaľ je k dispozícií je dobré si pozrieť históriu minulých incidentov a reakcií na ne.
Pokiaľ sa vám to zdá zbytočné, uvediem dva príklady bežného narábania s IS a jeho optimálne riešenie.
Bežný živnostník či jednoosobová firma:
Realita:
IS spočíva v jednom PC (laptop alebo stolné PC) s pripojením na internet. Z 90% tam bude operačný systém (OS) Windows XP spolu s Microsoft Office a ekonomický program na vedenie účtovníctva. Na danom PC podľa všetkého chodia na internet všetci príslušníci domácnosti a fungujú pod jedným účtom s právami administrátora. Dotyčný si občas spravý zálohu údajov na inú partíciu disku či na zapisovateľné médium (CD alebo DVD).
V prípade bezpečnostného incidentu (zavírenie, pád systému, konflikt v OS) často dôjde k reinštalácií OS a novému nainštalovaniu a v prípade že nedošlo k poškodeniu, alebo že záloha existuje, k importu dát do ekonomického programu.
Optimálne riešenie:
IS mať zložený z domáceho a firemného PC poprípade mať externý USB disk či NAS pole na odkladanie údajov.
Na firemnom PC, ktoré by kľudne mohlo byť niekoľko rokov staré (napr. 500 - 1000MHz procesor s 1-2GB Ram, 20GB +40GB pevnými diskami) na ktorom bude bežať OS Windows, Office, ekonomický program a internetové pripojenie (email). Samozrejmosťou by mal byť antivírový program.
Pracovný účet v OS by nemal mať práva administrátora a daný počítač by mal byť zálohovaný a to minimálne dáta s ekonomického programu, emailové správy a poprípade nastavenia systému na iný pevný disk.
Ako vidieť zvýšil by sa počet PC v domácnosti na dva. Na toto však stačí použiť starší počítač a ako vidieť na modeli stačí aj pc s 500MHz procesorom na dané úlohy, ktoré by mal firemný počítač pre malú firmu zvládať.
Firma s 20 zamestnancami a niekoľkými externými spolupracovníkmi.
Realita:
IS je zložený s rôznych pc na rôznych OS (často kombinácia Windows XP, Vista a Windows 7) vačšinou OEM, MS Office rôznych verzií a programov ktoré sú nutné k chodu firmy. Všetky PC sú v skupine WORKGROUP a maximálne majú nastavené zdieľanie priečinkov. Zamestnanci často (skoro vždy J ) používajú účet s administrátorskými právami. Často nebývajú dané PC kontrolované nikým a ako boli zapojené a nastavené dú. Pracovná plocha je plná odkazov a súborov, ktoré sú v priečinku Plocha. Externisti, poprípade zamestnanci ktorí majú home office sa pripájajú do firmy na svoje PC (v horšom prípade na nejaký „všeobecný server").
Optimálne riešenie:
Zjednotenie OS a programového vybavenia. Vytvorenie „domény" na linuxovom systéme (vzhľadom k relatívne vysokej cene serverových OS na platforme Windows) a vytvorenie file serveru so zálohovaním dát.
VPN klienti by sa pripájali iba k dátam a mohli by používať webmail. Všetky dôležité súčasti by sa zálohovali na file serveri a na plochu dávať iba odkazy na dané súbory. Zároveň môže firma na danom servery prevádzkovať vlastné www stránky.
Je síce pravdou že je nutné postaviť server ale v podstate to zvládne bežný počítač.
Ako vidieť v ukážkových modeloch investícia do IS na zníženie rizík je vcelku minimálna (rastie s množstvom užívateľov, PC a serverov).
Tu uvedené modely sú stavané na menšie firmy z dôvody primárneho zanedbávania danej problematiky a zúženia celej IT bezpečnosti na antivírové riešenie.
|