Jak zadbać o bezpieczeństwo IT w firmie. Przewodnik ekspercki

bezpieczeństwo
Krzysztof Surgut
30.11.2017 Krzysztof Surgut

Obecnie niewiele jest gałęzi gospodarki, w których systemy IT nie są zaangażowane w procesy biznesowe. Począwszy od księgowości, przez systemy ewidencji pracy, po skomplikowane systemy produkcyjne. Obecnie systemy IT to mieszanka systemów informatycznych, sprzętu informatycznego, oprogramowania oraz usług i sprzętu operatorów telekomunikacyjnych. Firmy produkujące sprzęt, systemy informatyczne oraz oprogramowanie nigdy nie nadążały z rozwiązywaniem problemów dotyczących bezpieczeństwa informatycznego ich produktów. Stworzenie bazy pod Internet, jakim są protokoły TCP/IP pokazuje, że stworzono bardzo uniwersalne procesy wymiany informacji, jednak już podczas narodzin standardów, bezpieczeństwo nie było priorytetem. Priorytetem była prosta, uniwersalność i niezawodność. Dzisiaj ponosimy tego konsekwencje, ponieważ pomimo tego, że protokoły TCP/IP znane są od 40-lat, to wciąż pojawiają się nowe formy ataku hakerów, wykorzystujące niedoskonałości tychże protokołów. A co dopiero mówić o sprzęcie informatycznym czy oprogramowaniu. Czymże zatem jest bezpieczeństwo IT? To zespół zagadnień związanych z zapewnieniem integralności, poufności i dostępności obiegu informacji w systemach teleinformatycznych.



Bezpieczeństwo IT


Do odpowiedniego zwymiarowania bezpieczeństwa IT w przedsiębiorstwie potrzebne jest podzielenie całej infrastruktury IT na pewne grupy. W ramach każdej z tych grup należy przyglądnąć się potencjalnym zagrożeniom.

  • Pierwszą grupą są dane.
  • Należy zinwentaryzować wszystkie istotne dane, jakie są wytwarzane lub przechowywane w przedsiębiorstwie, lub poza nim. Dotyczy to zarówno danych księgowych, jak i danych personalnych, czy danych gromadzonych przez różne systemy IT (kontrola dostępu, nagrania wideo, wszelkie statystyki, archiwa danych, CRM itd.).

  • Do drugiej grupy należą systemy IT.
  • W tym przypadku należy zidentyfikować wszystkie aplikacje i programy, które mają dostęp do danych i mogą je zarówno przetwarzać, przesyłać czy gromadzić. W ramach tej inwentaryzacji należy zgromadzić szczegółowe dane w zakresie każdej aplikacji i programu przetwarzającego dane, a w szczególności, nazwę, producenta, aktualnie używaną wersję oprogramowania oraz legalność.

  • Trzecią grupę stanowią systemy sieciowe IT.
  • W takim przypadku należy zinwentaryzować architekturę wszystkich sieci komputerowych przedsiębiorstwa, zarówno lokalnych (LAN) jak i rozległych (WAN) – z uwzględnieniem technologii w jakich pracują (DSL, WiFi, WLAN itd.). Ponadto inwentaryzacji powinna podlegać taka wiedza jakie to modele urządzeń, z jaką są wersją oprogramowania, jakie wykorzystuje technologie oraz jaka jest ich bieżąca konfiguracja.

  • Czwartą grupę stanowi infrastruktura IT.
  • Dotyczy to zarówno serwerów, jak i sieci informatycznych (ich budowa, własność, integralność i stan techniczny). Ponadto powinna być zgromadzona kompleksowa wiedza w zakresie sposobów zasilania każdego z systemów IT oraz ich lokalizacji geograficznej. Ponadto istotne jest zweryfikowanie obecnego stanu technicznego zarówno sprzętu, jak i sieci informatycznych.

  • Piątką grupę stanowią ludzie.
  • W tym przypadku należy zgromadzić wszystkie informacje o osobach, które mają dostęp do danych, do systemów IT, do systemów sieciowych IT oraz do infrastruktury IT. Zebrany materiał powinien dotyczyć zarówno pracowników przedsiębiorstwa, jak również firm zewnętrznych (zwłaszcza przy outsourcingu usługi). Mając taką wiedzę, łatwo sprawdzić, czy każda z tych osób powinna mieć dostęp do danej grupy oraz jakie powinna mieć uprawnienia, aby wykonywać swój zakres obowiązków.


Bezpieczeństwo IT w firmie


Szczegółowa wiedzy o powyższych grupach urządzeń i systemów IT stanowi bazę do dalszych prac nad bezpieczeństwem. Bez tych informacji opracowanie mapy zagrożeń będzie niepełne i może w przyszłości przynieść przykre konsekwencje. Bazując na zgromadzonych informacjach, można przystąpić do opracowania mapy zagrożeń dla każdej z grup. Mapa potencjalnych zagrożeń pozwoli pogrupować każde ze słabych miejsc w zakresie bezpieczeństwa IT w firmie. Ponadto kompleksowy przegląd daje mnóstwo korzyści przy doborze narzędzi do zapewnienia bezpieczeństwa IT w przedsiębiorstwie. Bardzo często okazuje się, że kompleksowy przegląd zasobów IT wraz z dobrze opracowaną mapą zagrożeń skutkuje gotową receptą w zakresie doboru narzędzi do zabezpieczeń. W ten sposób dużo łatwiej dobrać parę kompleksowych rozwiązań ochronnych niż kupować przypadkowe systemy, których możliwości bardzo często się pokrywają.

Wymagany obecnie poziom wiedzy o zagrożeniach sprawia, że bezpieczeństwo IT stało się oddzielną dziedziną IT. Tym samym nie wystarczy już „oczytany informatyk”, lecz potrzebny jest specjalista, wyszkolony i doświadczony w zakresie zagrożeń i narzędzi ochronnych. Pytanie, czy warto szkolić własny zespół ludzi od bezpieczeństwa, jeżeli działalność biznesowa przedsiębiorstwa skupia się na całkiem innej dziedzinie? Przecież żadne przedsiębiorstwo nie buduje wszystkiego od podstaw, lecz wykorzystuje gotowe usługi, np. usługi kurierski i pocztowe, usługi energetyczne i telekomunikacyjne, czy usługi prawnicze. Menadżerowie współczesnych przedsiębiorstw nie mają wątpliwości, że powinni skupiać się na swojej głównej dziedzinie biznesu, a wszystkie okołobiznesowe procesy powinny być maksymalnie zminimalizowane i zoptymalizowane kosztowo.

Nie inaczej jest z bezpieczeństwem IT. Wyszkolenie i utrzymanie rzetelnego zespołu IT ds. bezpieczeństwa to proces wieloletni, wymagający bardzo znaczącego budżetu. Zdecydowanie szybciej i taniej jest skorzystać z wiedzy i doświadczenia istniejących zespołów IT, specjalizujących się w bezpieczeństwie IT. Zarówno proces identyfikacji zagrożeń, jak również dobór narzędzi do ochrony będzie zdecydowanie bardziej optymalny niż opracowanie przygotowane przez zespół IT specjalizujący się we wdrażaniu czy utrzymaniu systemów IT, bez doświadczenia w dziedzinie zagrożeń IT.

DataSpace posiada w swoim portfolio usługę outsourcingu wszystkich usług IT, w tym usług bezpieczeństwa IT (więcej o infrastrukturze IT oraz jej outsorsingu możesz przeczytać tutaj). Wydzielenie z przedsiębiorstwa zasobów IT i przekazanie ich w zarządzanie firmie zewnętrznej daje dużo więcej pewności w zakresie bezpieczeństwa IT niż w przypadku własnych zasobów ludzkich. Wynika to przede wszystkim z faktu, iż największym zagrożeniem dla bezpieczeństwa IT są sami ludzie. Zbyt bliskie relacje powodują „chodzenie na skróty”, w wyniku czego nawet najlepsze procedury i systemy zabezpieczeń mogą być bezsilne. Opracowanie procedur bezpieczeństwa IT w oparciu o zewnętrzne zasoby IT sprawia, że pracownicy przedsiębiorstwa nie mają szans na wypracowanie sobie „dróg na skróty” – tym samym zmuszeni są do przestrzegania zasad i procedur gwarantujących bezpieczeństwo IT.

bezpieczeństwo it
Bezpieczeństwo IT na świecie


Dobre praktyki


Przy tworzeniu procedur i procesów dotyczących bezpieczeństwa IT ważne jest zidentyfikowanie realnych zagrożeń i dostosowanie zabezpieczeń do tegoż zagrożenia. Zbyt duże restrykcje mogą przynieść więcej szkód niż pożytku. Dlatego warto przestrzegać paru „złotych reguł” w tym zakresie.

„Zatykaj luki”

Identyfikuj luki w zabezpieczeniach i reaguj natychmiast po ich wykryciu. Dotyczy to każdego zagadnienia dotyczącego bezpieczeństwa IT. Najprostszym przykładem jest monitorowanie pojawiania się nowych wersji używanego oprogramowania i jak najszybsza aktualizacji (szczególnie instalacja wszelkiego rodzaju patch’y jest pożądana). W wykrywaniu luk pomagają także pentesty. Warto co jakiś czas zweryfikować, przy pomocy zewnętrznych zasobów, bezpieczeństwo IT swojego przedsiębiorstwa. W ten sposób unika się rutyny, złudnych założeń czy zwykłej niewiedzy w szerokiej gamie zagrożeń IT.

Dbaj o świadomość użytkowników

Najsłabszym ogniwem zabezpieczeń zawsze jest człowiek. Uświadamianie użytkowników o potencjalnych zagrożeniach oraz nauka właściwego postępowania daje zdecydowanie lepsze efekty niż bardzo restrykcyjne procedury. Ludzie nie znając przyczyn czy powodów odpowiednich zachowań, bardzo często traktują je jako „zło konieczne” i wykorzystują każdą okazję, aby obejść procedury czy zabezpieczenia. Świadomość odpowiedzialności i konsekwencji takiego działania jest dużo lepsze niż najlepsza procedura, której nikt nie przestrzega.

Uciążliwość = przekora

Dobieraj metody zabezpieczeń w taki sposób, aby nie były one zbyt uciążliwe dla użytkowników. W przeciwnym wypadku użytkownicy zaczną przekornie szukać „dróg na skróty” lub będą stosować działania, które zamiast zwiększać – zmniejszą bezpieczeństwo IT. Jednym z przykładów jest zbyt rygorystyczna polityka haseł. Wymaganie zbyt długiego i skomplikowanego hasła, które w dodatku zmieniane ma być zbyt często, sprawia, że użytkownicy zaczną zapisywać hasło w widocznym miejscu w swoim miejscu pracy. W efekcie, zamiast zwiększać bezpieczeństwo IT, realnie obniżymy je. Dużo lepszym rozwiązaniem jest przeszkolenie użytkowników z metod generowania „trudnych haseł” wraz z metodami ich łatwego zapamiętywania oraz dopasowania polityki haseł do realnego zagrożenia czy ważności/poufności danych. Więcej o metodach kreowania skomplikowanych haseł przeczytasz tutaj.

Zarządzaj dostępem w sposób zorganizowany

Nadawanie uprawnień w systemach informatycznych powinno być nie tylko ewidencjonowane, ale także przemyślane i racjonalne. Przekazanie zbyt dużych uprawnień osobom, które właściwie ich nie potrzebują, zmniejsza bezpieczeństwo IT, nie wnosząc żadnych wartości dodanych. Odpowiednia polityka nadawania uprawień, profilowania dostępu, polityki haseł i monitorowania zachowań użytkowników daje zdecydowanie lepsze efekty w zakresie bezpieczeństwa IT niż zwykłe, ludzkie „zaufanie”.

Kopia zapasowa to podstawa

Utrata danych to najgorszy scenariusz związany z bezpieczeństwem IT. Jeżeli dział księgowości w ciągu jednej nocy utraci wszystkie zgromadzone w bazie danych informacje, to:

  • po pierwsze, musi je odtworzyć, wpisując wszystkie faktury za zadany okres,
  • po drugie, musi zweryfikować czy wygenerowane na nowo formularze podatkowe są identyczne z tymi, jakie zostały już złożone w urzędzie skarbowym.

Tylko ten przykład pokazuje, co może się wydarzyć w każdym przedsiębiorstwie, jeżeli nie będzie mądrej i konsekwentnej polityki robienia kopii zapasowych istotnych danych. Utracić dane można na wiele sposobów, począwszy od błędu konfiguracji, przez przypadkowe, niezamierzone działanie człowieka, po dedykowany software hakerów, który szyfruje dane (ransomware). Odzyskać dane można tylko wtedy, gdy zrobić się ich kopię.

Monitoruj

Przysłowie „Pańskie oko konia tuczy!” ma również zastosowanie w bezpieczeństwie IT. Monitorowanie zachowań użytkowników, weryfikowanie przestrzegania procedur, weryfikowanie wykonywania kopii zapasowych danych, audyty to tylko podstawowe narzędzia do ciągłej weryfikacji bezpieczeństwa IT przedsiębiorstwa. Bez wykonywania tego typu weryfikacji bardzo szybko następuje degradacja zabezpieczeń lub obniżenie ich poziomu. W efekcie bezpieczeństwo IT spada, a w konsekwencji rośnie ryzyko biznesowe przedsiębiorstwa, które może mieć swoje negatywne, ekonomiczne konsekwencje.


Podsumowanie


W obecnych czasach bezpieczeństwo IT stało się tak samo ważne jak płynność finansowa przedsiębiorstwa. Systemy IT praktycznie wkroczyły do każdej gałęzi gospodarki oraz uczestniczą praktycznie w każdym procesie biznesowym. Brak dbałości o bezpieczeństwo IT może przynieść takie same negatywne skutki, jak pozostawienie gotówki bez zabezpieczenia. Jeżeli wiodąca działalność przedsiębiorstwa nie jest bezpośrednio związana z bezpieczeństwem IT to optymalnym rozwiązaniem jest outsourcing usług w tym zakresie. W ten sposób oszczędza się czas i pieniądze, a jednocześnie szybko buduje się odpowiednie procedury i systemy, które znacząco obniżają ryzyko związane z cyberzagrożeniami.

Ilość istniejących już scenariuszy działań hakerskich, błędów ludzkich czy świadomych działań na szkodę przedsiębiorstwa własnych pracowników jest tak duża, że nie warto liczyć na łut szczęścia. NADZIEJA to nie jest strategia bezpieczeństwa IT, tylko „rosyjska ruletka”.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Infrastruktura IT
Czy outsourcing infrastruktury IT jest w ogóle możliwy?
Bezpieczeństwo IT
Atak SSL oraz sposoby ochrony przed nim
   /   Bezpieczeństwo IT   /   Jak zadbać o bezpieczeństwo IT w firmie. Przewodnik ekspercki