Baza wiedzy

Definicja pojęcia „Bezpieczeństwo informacji”

W dobie powszechnej cyfryzacji danych większość procesów pozyskiwania, wymiany i kasowania informacji odbywa się w na komputerach lub serwerach, dlatego bezpieczeństwo informacji kojarzy się błędnie z ochroną danych cyfrowych. Także pojęcie „bezpieczeństwo informatyczne” wykracza znacznie poza obszar infrastruktury IT lub sieci komputerowych.

Trywialnym, ale dobrze obrazującym to przykładem jest wydruk komputerowy – nawet najlepsze zabezpieczenia informatyczne zastosowane na komputerze nie uchronią Cię przed wyciekiem informacji np. listy płac lub projektu technicznego, jeśli zapomnisz o odebraniu wydrukowanej strony z drukarki sieciowej, albo ktoś zrobi to przed Tobą (najczęściej przez przypadek). Dlatego właśnie zamiast pojęcia „bezpieczeństwo informatyczne” powinno się używać szerszego znaczeniowo terminu „bezpieczeństwo informacji” odzwierciedlającego całokształt procesów wymiany informacji.

 

Bezpieczenstwo IT Security Partners

 

12 lat doświadczeń w obszarze outsourcingu informatycznego, ochrony danych osobowych i bezpieczeństwa informacji nauczyło nas, że na ochronę informacji należy patrzeć pod kątem procesów biznesowych, jakie dzieją się w przedsiębiorstwie. Infrastruktura i systemy informatyczne pełnią z pewnością kluczową rolę w większości tych procesów, ale nie jedyną.

 

Mapa procesów biznesowych – określa, jak, kiedy, gdzie i przez kogo dane są procesowane, dzięki czemu określamy słabe i mocne strony systemu ochrony informacji. Badanie obejmuje proces od momentu pozyskania informacji do czasu jej zniszczenia lub przekazania. Dopiero na tej podstawie wskazujemy możliwe do zastosowania zabezpieczenia, jeśli w którymś momencie procesu te okazują się niewystarczające. Mapowanie procesów biznesowych pod kątem bezpieczeństwa informacji to dobra okazja do ich rewizji i uproszczenia, jeśli okazują się ponad miarę złożone. Z punktu widzenia bezpieczeństwa danych, ograniczenie działań w ramach pojedynczego procesu biznesowego zmniejsza ryzyko ujawnienia lub utraty informacji, a z punktu widzenia kierownictwa przedsiębiorstwa to okazja by efektywniej zagospodarować uwolnione zasoby np. czas pracowników.

 

Klasyfikacja danych to drugi po mapowaniu procesów biznesowych czynnik, bez którego budowa systemu ochrony informacji jest niemożliwa. Jeżeli nie wiesz, jakiego rodzaju informacje przetwarzasz, kto ma do nich dostęp oraz nie potrafisz oszacować ich wagi to dobranie odpowiednich metod zabezpieczeń okaże się nieskuteczne lub co najmniej nieefektywne kosztowo.

 

Obszar infrastruktury IT jest najczęściej kluczowy dla bezpieczeństwa informacji, ale również z powodu płynności działania procesów biznesowych. Jednak zagwarantowanie wysokiego poziomu bezpieczeństwa danych i satysfakcjonującego stopnia zadowolenia z działania programów i systemów informatycznych jest często zadaniem sprzecznym w swoich założeniach. Im większa jest waga informacji tym bardziej zaawansowane powinny być metody ich zabezpieczenia. Na szczęście w większości przedsiębiorstw wymienia się przede wszystkim dane o średnim i niskim priorytecie, więc ich właściwa ochrona nie powinna nadmiernie komplikować pracy personelu. Ważnym czynnikiem w doborze zabezpieczeń jest wiedza doświadczenie, które jako firma od lat działająca w branży IT w obszarze outsourcingu i integracji systemów informatycznych możemy Ci dostarczyć.

Z uwagi na rozległość i stopień skomplikowania współczesnej infrastruktury informatycznej proponujemy podzielenie tego obszaru na 3 części:

  • Obszar lokalnej sieci komputerowej,
  • Obszar Internetu
  • Obszar urządzeń przekazanych użytkownikom i zdalnego dostępu do danych.

Chociaż wszystkie z nich zazębiają się i przenikają, taki logiczny podział ze względu na lokalizację i funkcjonalność ułatwia zarządzanie. W zależności od stopnia skomplikowania i struktury sieci komputerowej, zdarza się, że całym obszarem można zarządzać przy pomocy jednego narzędzia np. zintegrowanego, centralnie zarządzanego systemu antywirusowego działającego na komputerach, telefonach, czy tabletach. Właściwy dobór narzędzi informatycznych jest kluczowy nie tylko z uwagi na bezpieczeństwo informacji, ale i koszt dla przedsiębiorstwa czy szybkość działania, przekładająca się na większą wydajność pracy.

 

Rysunek 1. Infrastruktura informatyczna w podziale na trzy główne obszary

 

Infrastruktura informatyczna w podziale na trzy glowne obszary

 

Nieodzownym elementem skutecznego wdrożenia i nadzorowania systemu ochrony informacji jest znajomość Biznesu od strony praktycznej, dlatego nie warto powierzać tej roli osobie, która nie posiada wystarczającego doświadczenia biznesowego oraz przynajmniej średnio zaawansowanej wiedzy z dziedziny informatyki. Niestety brak doświadczenia jest w takich przypadkach zastępowany wiedzą książkową i informacjami pozyskanymi z Internetu, co nie przynosi pozytywnych skutków w postaci podniesienia poziomu bezpieczeństwa informacji przy jednoczesnym nie skomplikowaniu pracy użytkowników końcowych. Wiemy to, ponieważ jako firma outsourcingowa wspieramy pracę kilkuset użytkowników, administrujemy ok. 40 serwerami oraz koordynujemy działania wielu dostawców usług pokrewnych (deweloperzy aplikacji ERP, administratorzy stron www itp.) Daje nam to bardzo szeroką i aktualną wiedzę praktyczną z zakresu technologii IT oraz znajomość metod pracy i typowych zachowań użytkowników końcowych. Dzięki temu informacje, jakie przekazujemy klientowi w postaci raportu z audytu bezpieczeństwa informacji nie są zbiorem regułek i nakazów wziętych żywcem z norm bezpieczeństwa – trudnych do spełnienia przez pracowników i często niemożliwych do wyegzekwowania przez pracodawcę lub managera.

 

Najczęstsze problemy związane z bezpieczeństwem IT:

 

Jak zabezpieczyć się na wypadek kradzieży, zgubienia lub nieautoryzowanego dostępu do komputera?

Ochrona kryptograficzna informacji niejawnych (szyfrowanie danych)Informacje, które przetwarzasz, na co dzień prawdopodobnie stanowią ważne ogniwo Twojego biznesu. Utrata komputera czy pamięci przenośnej z ważnymi danymi rzadko, kiedy prowadzi do bankructwa, ale prawie zawsze do poważnych komplikacji np. destabilizuje pracę zespołu lub podwyższa ryzyko zerwania relacji biznesowych z klientami, których dane trafiły w ręce osób niepowołanych.

W takich przypadkach proponujemy zabezpieczenia kryptograficzne, czyli systemy podnoszące poziom bezpieczeństwa danych. Szyfrują one pamięć Twojego komputera, dyski przenośne a nawet pojedyncze pliki po to, by móc się nimi swobodnie wymieniać przez Internet. System taki możesz zainstalować na pojedynczym komputerze lub w całej firmie i zarządzać nim centralnie. Dzięki niemu zawartość nośnika danych, jeśli trafił w niepowołane ręce pozostanie na zawsze tajemnicą. Dobrze jest też regularnie wykonywać backup danych.

 

Jak bezpiecznie udostępnić zasoby firmowe pracownikom mobilnym (VPN)?.

Wirtualne sieci prywatne (VPN)– Znakomita większość przedsiębiorstw nie może obyć się bez komputerów. Potrafimy pomóc usprawnić Twój biznes poprzez podniesienie wydajności pracy w Twoim biurze. Czynności, które dotychczas wykonywane są jedynie w siedzibie firmy, (bo wymagają np. połączenia z serwerem) mogą zostać przeniesione np. do domu czy hotelu bez obawy o bezpieczeństwo danych, które przesyłane są przez Internet.

 

Jak zabezpieczyć serwer pocztowy, sprzęt mobilny przed włamaniem?

Szyfrowanie poczty elektronicznej – Gdybyś chciał poznać sekrety pracy swojej konkurencji to, co sprawdziłbyś w pierwszej kolejności? Z ostatnich badań wynika, że w małych i średniej wielkości przedsiębiorstwach większość informacji wymienianych jest poprzez pocztę elektroniczną. Serwer pocztowy jest, więc prawdopodobnie kopalnią wiedzy o wszystkich pracownikach, klientach i najważniejszych projektach.

Jeśli uważasz, że treść wiadomości elektronicznych, które odbierasz i wysyłasz na zawsze powinny zostać poufne zacznij dbać o bezpieczeństwo danych tam gromadzonych i szyfruj pocztę email. Odpowiednie i dobrze wdrożone oprogramowanie pozwoli na zabezpieczenie komunikacji między komputerem a serwerem, zapewni poufność wiadomości nawet w przypadku włamania na serwer, pozwoli automatycznie szyfrować wiadomości w oparciu o reguły np. odpowiedni adresat maila, spełniający kryteria załącznik wiadomości lub treść maila itp.

 

Jak zabezpieczyć się na wypadek utraty danych w wyniku kradzieży, zgubienia lub awarii sprzętu?

Backup danych i ich archiwizacja – Jest tylko jedna rzecz gorsza od utraty danych – brak kopii zapasowej tych danych. Z problemami takimi jak bezpowrotna utrata danych spotykamy się od samego początku istnienia firmy Security Partners, czyli od 2007r. W tym czasie poznaliśmy ludzi, którzy zawozili dysk komputera do laboratorium oddalonego o 250km po to, by nie licząc się z kosztami, odzyskać utracone pliki. Nie wszyscy mieli takie szczęście, ponieważ zgubionego komputera, pendrive’a lub płyty DVD najczęściej nie udawało się w ogóle odnaleźć.

Czy szacowałeś kiedyś wartość (materialną i niematerialną) danych, które przetwarzasz? Jeśli jest ona wysoka i dodatkowo potrzebujesz odzyskiwać je szybko lub natychmiast powinieneś pomyśleć o wykonywaniu kopii zapasowych. To jedyny sposób, aby zapewnić bezpieczeństwo danym na wypadek awarii komputera, serwera czy pamięci USB. W trakcie dziesięcioletniej praktyki biznesowej dokładnie poznaliśmy rynek produktów do backupu danych, sprawdziliśmy jak działają i wyselekcjonowaliśmy te najlepsze.


Problem z zainfekowanym komputerem, telefonem lub serwerem – złośliwe oprogramowanie, programy szpiegujące

Systemy antywirusowe i zapory sieciowe – Konieczności posiadania programu antywirusowego nie trzeba udowadniać. W środowiskach, gdzie wykorzystuje się kilka lub więcej komputerów korzyści z posiadania tego typu aplikacji można zwielokrotnić, jeśli otrzymujemy informację nie z jednego, ale z całej grupy komputerów. Odpowiednio skonfigurowana przez naszego inżyniera polityka bezpieczeństwa pozwoli Ci nie tylko sprawdzić czy program antywirusowy jest uruchomiony, lub wymusić dodatkowe skanowanie na pojedynczych stanowiskach.

Pozwoli m. in. zidentyfikować najbardziej zagrożone komputery lub użytkowników, którzy takie zagrożenia generują. Dzięki zastosowaniu centralnego zarządzania ciężar dbania o bezpieczeństwo danych przerzucasz z pracowników (oszczędzając ich czas) na kompetentnego administratora. Systemy, które oferujemy pozwalają także na zarządzenie polityką bezpieczeństwa z chmury.