Mnoho firem se rovněž potýkalo s katastrofálními ztrátami dat v důsledku přírodních pohrom - ničivých hurikánů, zemětřesení a vln tsunami, které udeřily na mnoha místech světa. Proto není divu, že malé a střední firmy za bezpečnostní opatření utratily více než 2,5 miliardy dolarů. Jenže zabezpečení IT se neustále mění, protože se každý den objevují nové hrozby a způsoby zneužití slabých míst.
Nikdy se sice nedá zaručit, aby byla vaše firma stoprocentně zabezpečená, ale pomocí dvou základních kroků můžete přiměřeně ochránit svá podniková data, softwarové aplikace a každodenní provoz - a tím i pověst a výkonnost své firmy.
První krok představuje formulování zásad zabezpečení, které odpovídají charakteristikám vaší firmy. Druhým krokem je docílit, aby tyto zásady efektivně fungovaly, a to pomocí komplexního programu správy zabezpečení, který se dokáže pohotově přizpůsobovat novým hrozbám.
Krok 1: Vytvoření zásad zabezpečení
Zásady zabezpečení představují komplexní rámec prevence, detekce a reakce na bezpečnostní hrozby. Pokrývají logické a fyzické zabezpečení, ochranu osobních údajů a důvěrných informací a rovněž zákonné nároky kladené na vaši firmu. Určují také úlohy a odpovědnost správců, uživatelů a poskytovatelů služeb. Jejich nedílnou součástí jsou mechanizmy vynucování, které definují chování, jež bude považované za porušení zásad, a disciplinární kroky v případě jejich porušení.
Pro vytvoření efektivních zásad zabezpečení budete muset přijmout pět základních kroků:
n Uskutečnit důkladnou inventuru firemní infrastruktury a připojených prostředků IT (pracovních stanic, aplikací, dat a databází, systémů a serverů, úložných zařízení, periferií a servisních zařízení) spolu se všemi samostatnými systémy, které se ve vaší firmě používají.
n Dokumentovat úlohu veškerého informačního majetku s označením zařízení, která jsou pro přežití firmy kritická, včetně podnikových procesů, jež podporují, a pracovníků, kteří s nimi pracují. Je vhodné evidovat fyzické prostředky, jež chrání tento informační majetek, například zamčené dveře, bezpečné počítačové místnosti, místní a vzdálené zálohovací systémy atd.
n Analyzovat veškerý tento majetek a prvky infrastruktury jednotlivě i jako celek, abyste určili potenciální rizika a bezpečnostní slabiny. Mezi obvyklá rizika patří neoprávněný přístup, možnost odhalit citlivé informace, nebezpečí ztráty nebo poškození dat, přerušení provozu, výpadek proudu nebo zpomalení provozu v důsledku virů, červů a jiného škodlivého kódu.
n Zvážit identifikovaná rizika a zranitelnosti s ohledem na význam daného zranitelného prostředku. To vám pomůže určit, kolik času a peněz se vyplatí investovat do ochrany každého prostředku.
n Stanovit priority na základě zhodnocení rizik a pomocí těchto priorit vytvořit zásady zabezpečení, které budou zahrnovat ochranná pravidla, procedury a nástroje, budou rovněž dokumentovat disciplinární a další opatření pro případ jejich porušení.
Zásady zabezpečení by kromě jiného měly řešit:
• Náležité používání firemních systémů e-mai-lu a rychlého posílání zpráv.
• Ochranu provozních dat (například informací o zaměstnancích, zákaznících nebo účetnictví) a dalších citlivých informací.
• Postupy reakce na bezpečnostní hrozby, pokusy o narušení, ztrátu dat, poruchy systémů nebo sítě.
• Náležitou péči a používání protokolů a systé-
mů ověřování (uživatelských jmen a hesel).
Aby byly zásady zabezpečení trvale aktuální, je důležité počítat s funkcí auditu/revize, jež zajistí jejich průběžný vývoj v souvislosti se změnami ve firmě a v prostředí, v němž firma působí.
Krok 2: Realizace zásad zabezpečení
Vytvořit zásady zabezpečení je jedna věc, ovšem zajistit, aby fungovaly, to je něco úplně jiného. S novými nástroji pro správu informací však lze proaktivně spravovat zabezpečení IT mnohem jednodušeji a přehledněji než v minulosti. Například pomocí informací ze systému automatického bezpečnostního auditu je možné sledovat trendy, které signalizují bezpečnostní slabiny, zjišťovat a blokovat narušení, filtrovat obsah, blokovat červy a viry a automatizovat aktualizace softwaru bez plýtvání časem personálu.
Celkově se dá říci, že dosáhnete nejvyšší efektivity, pokud zaměříte své bezpečnostní úsilí na tři klíčové oblasti: 1) detekci a prevenci narušení, 2) ochranu dat a 3) ověřování a oprávnění uživatelů pro přístup k systémům a datům.
Detekce a prevence narušení
Při vytváření bezpečnostních postupů pro detekci a prevenci narušení se držte následujících pravidel:
• Použijte firewall jako bezpečnou nárazníkovou zónu mezi firemními systémy a veřejným internetem.
• Nainstalujte systém detekce narušení, sloužící k ochraně hranic firemní sítě před neoprávněnými uživateli a hackery.
• Pokud provozujete vlastní webový server, vytvořte tzv. demilitarizovanou zónu, tedy počítač nebo podsíť, která se bude nacházet mezi interní a externí sítí, aby se na webový server a z něho dostával pouze schválený provoz. Zabezpečení dále zvýšíte tím, že budete webový server udržovat ve virtuální síti LAN, která bude oddělena od vnitřní firemní sítě.
• Pro připojení vzdálených kanceláří využijte virtuální privátní síť.
• Pravidelně aktualizujte software. Časová prodleva mezi odhalením chyb a jejich svévolným zneužitím se dramaticky zkracuje.
Tipy pro ochranu dat
Chcete-li ochránit dobré jméno své společnosti a udržet si zákazníky, je ochrana dat naprosto rozhodující. Například náklady na jeden bezpečnostní incident, kdy zákazníci zjistí, že došlo k ohrožení nebo neoprávněnému nakládání s jejich daty, činí podle nedávné studie organizace Ponemon Institute 14 milionů dolarů.
Je důležité mít na paměti, že ochrana dat má dvě komponenty: vytvoření adekvátních bezpečnostních opatření a pravidelné zálohování dat. Podle nedávné studie agentury Quocirca padesát procent malých a středních firem v posledních dvanácti měsících vůbec nekontrolovalo schopnost obnovit data ze záloh! Pokud z jakéhokoli důvodu ztratíte data a zálohy selžou, máte velký problém.
Opatření pro lepší ochranu dat:
• Zabezpečte přístup k datům jak fyzicky, tak prostřednictvím mechanismů identifikace, ověřování a oprávnění.
• Pořizujte denní záložní kopie dat a uchovávejte je na bezpečném místě mimo provozovnu, kde jsou operační data uložena.
• Automatizujte zálohování stolních počítačů a zajistěte, aby byly centrálně zálohovány nejen servery, ale také osobní a přenosné počítače. Na místních discích bývá často uchováváno velké množství dat, která nejsou nikde zálohována - tato data mohou být v případě poruchy počítače ztracena. Je třeba si uvědomit, že právě top management vaší společnosti ukládá na své přenosné počítače ty nejzajímavější a nejvíce kritická a citlivá data pro rozvoj vašeho podnikání.
• Mějte na paměti, že je třeba zálohovat také centrální záložní kopie všech dat - obvykle na samostatný server pro ukládání pomocných dat a zálohování. Všechny zálohy také pravidelně (alespoň dvakrát ročně) testujte.
• Instalujte záložní zdroje napájení, aby kvůli výpadku proudu nemohlo dojít ke ztrátě nebo poškození dat.
• Pokud je vaše firma závislá na přístupu k určitým datům, implementujte vysoce dostupné úložiště dat s odolností vůči chybám.
• Používejte spolehlivý antivirus a antispyware, dbejte na to, aby byl správně nakonfigurován a aktuální, šifrujte citlivé soubory.
Správně implementované nástroje pro správu informací vám pomohou snížit náklady, zamezí komplikacím spojeným se správou zabezpečení a sníží rovněž vaše administrativní výdaje - zároveň přispějí k lepšímu zabezpečení vaší firmy.
Automatizace správy identit
Tradiční (převážně ruční) mechanismy autentizace a autorizace zaměstnanců, tedy zjišťování, kdo jste a k čemu smíte přistupovat, se stávají významným zdrojem rizik pro všechny firmy. Většina zaměstnanců je totiž ověřována pomocí kombinace identifikace (například uživatelského jména) a hesla (které si zaměstnanci obvykle vyberou sami). Tento systém může být nebezpečný v okamžiku, kdy je potřeba přistupovat do více oddělených systémů, protože uživatelé si musí pamatovat obrovské množství hesel, a proto mají tendenci volit slabá nebo samozřejmá hesla, která mohou případní útočníci snadno odhalit. Navíc je třeba ručně odstraňovat účty bývalých zaměstnanců, což se často opomíjí, a systémy pak bývají vystaveny neoprávněnému přístupu. Naprostým fiaskem jsou pak audity, jejichž úkolem je zjistit, kdo má kam přístup (a jakého typu) nebo kdo má přístup k danému informačnímu zdroji. Obvykle trvá velmi dlouho podobný audit vyhotovit a představuje rovněž velké zatížení pro administrátory jednotlivých systémů.
Řešením tohoto problému je systém tzv. federované správy identit, který centralizuje správu veškerého ověřování a oprávnění uživatelů. Usnadňuje prosazování zásad zabezpečení, automaticky odstraňuje prošlé uživatelské účty, vytváří prostředky automatizace koncových uživatelů a možnosti samostatné obsluhy, které snižují nároky kladené na tým IT, pomáhá též rychle uvádět nové uživatele do provozu.
Neexistuje žádné rychlé a snadné řešení komplexní správy zabezpečení IT. Nicméně vytvořením zásad zabezpečení a programu správy zabezpečení, který se bude pohotově vyvíjet a měnit v závislosti na nových hrozbách, získáte solidní základnu pro ochranu firemních dat, softwarových aplikací, provozu a především pověsti a výkonnosti své firmy.
Petr Lustyk pracuje jako Sales Executive ve společnosti CA.