Dokument:10 krokov - ochrana dat 20120521v01RL.doc
Dátum: máj.2012
Spracoval: Ing. Radovan Lucina
10 krokov k zvýšeniu ochrany firemného majetku - dát a informácií.
Úvod:
Dnes je bežné, že množstvo firiem a aj jednotlivcom myslí na ochranu svojho majetku. Je bežné, že si
majetok dávame chrániť externou firmou SBS-kou a na dohľad a monitoring majetku inštalujeme
pomocné mechanické a elektronické systémy (bezpečnostné dvere, mreže a zámky, alarmy, kamery a aj
ďalšie doplnkové zariadenia). Prípadný zlodej, ktorý sa chce dostať k cenným veciam to nemá
jednoduché.
Okrem krádeži zlodejom sa bežne chránime aj pred prírodnými katastrofami. Tu na minimalizáciu
rizika a škody väčšinou uzatvárame s poisťovňami poistky, ktorých úlohou je preniesť vybrané riziko a
škody na poisťovňu. Ide o riziko poškodenia nášho majetku počas nepredvídateľných situácií ako sú
požiar, zemetrasenie, záplavy a ďalšie prírodné alebo spoločenské katastrofy.
Žijeme v období informačného boomu a pre mnohé firmy ale aj jednotlivcov dnes majú informácie a
dáta značnú hodnotu a cenu. Hodnota informácií je určovaná individuálne a v istých prípadoch môže
byť extrémne vysoká. Prípadná strata informácií, môže znamenať nenahraditeľné škody a
znovuzískanie týchto informácií alebo dát je častokrát zložitá a drahá úloha. V istých prípadoch je to až
nemožné.
Podľa prieskumu* realizovaného firmou Maxtor je zálohovanie, bezpečnosť a ochrana dát pre väčšinu
firiem jednou z najdôležitejších úloh (viac ako 93% respondentov). Napriek tomu viac ako polovica
firiem nie je spokojná s aktuálnym systémom na zálohovanie a ochranu dát. Viac ako 47% firiem nie je
presvedčených, že ich systém pre zálohovanie a ochranu dát má tieto dáta bezpečne uložené, aktuálne
a pripravené na obnovu. Dôvodom je, že sa zálohy nerobia pravideľne, samotné zálohovanie trvá dlhý
čas a vytvorené zálohy sa po obsahovej stránke nekontrolujú.
10 krokov k zvýšeniu ochrany firemných dát a informácií:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Inventarizácia - spoznajte všetky firemné dáta, ktoré sú pre firmu dôležité. Identifikujte kde sa
nachádzajú, kto má mať k nim prístup, ako často sa menia a aké riziko pre firmu predstavuje ich
strata. Pre rizikové dáta sa rozhodnite, či majú byť šifrované alebo iným spôsobom dodatočne
chránené pred zneužitím.
Legislatívne povinnosti - spoznajte aké máte legislatívne povinnosti smerom k firemným dátam.
Ktoré musíte uchovávať, v akej podobe a ako dlho. Naopak, ktoré nesmiete uchovávať, aké riziká
a pokuty Vám hrozia. Kto môže k dátam pristupovať a ako je ich potrebné likvidovať.
Riadenie prístupu k dátam - definujte kto môže k dátam pristupovať a meniť ich a porovnajte
túto skutočnosť s aktuálnym stavom. Prípadný rozdiel odstránte a zadefinujte pravidlá pre nových
a aj súčastných užívateľov. Zaveďte systémy pre identifikáciu a autorizáciu užívateľov.
Bezpečné aplikácie - spoznajte a definujte ako sa môže pristupovať k firemným dátam - ktoré
aplikácie sú bezpečné a povolené na používanie vo firme. Zabezpečte monitoring prístupu k
firemným dátam a monitoring prístupu k dátam nepovolenými aplikáciami. Udržiavajte povolené
aplikácie aktuálne (bezpečnostné a programové aktualizácie od výrobcu).
Bezpečnosť sieťe a infraštruktúry - Spoznajte kadiaľ môže útočník/zlodej pristupovať k
firemným dátam. Ako vyzerá firemná sieť, kto a ako ju využíva, monitorujte kritické body v sieti
(vzdialený prístup do firmy, internet brána a firewall, wifi sieť, rozvody kabeláže - fyzické porty a
zásuvky napojené na prepínače, USB porty na PC zariadeniach atď.).
Politika pre archiváciu dát - zadefinujte svoju politiku pre firemné dáta a informácie. Zohľadnite
svoje a legislatívne požiadavky a informujte pracovníkov, ktorí prichádzajú do styku s citlivými
dátami o firemných pravidlách.
Systém pre zálohovanie a ochranu dát - implementujte systém pre ochranu firemných dát a
informácií. Zabezpečte - ideálne externou formou cez SLA zmluvu, jeho nepretržitú prevádzku,
správu a monitoring.
Ľudský faktor - pripravte si bezpečnostné pravidlá pre pracovníkov a zabezpečte ich
preškolovanie (príchod nových pracovníkov, prepúšťanie, zmena pracovných pozícií a rolí,
externisti, brigádnici, externé firmy a spolupracujúce osoby atď)
Kontrola - aspoň raz ročne urobte kontrolu celého systému nezávislou osobou. Prípadné
nedostatky odstráňte a realizujte prípadné návrhy na zlepšenie ochrany firemných dát a
informácií.
10. Register rizík - udržiavajte register rizík a rozšírte ho o riziká súvisiace s ochranou firemných dát
a informácií. Riziká, ktoré nie je možné minimalizovať alebo odstrániť v rámci firemného systému,
presuňte na externé IT firmy alebo poisťovne.
Záver:
Nasadenie systému pre zálohovanie a ochranu firemných dát spolu so zavedením vyššej bezpečnosti je
zaujímavá téma najmä pre TOP manažment. Strata, poškodenie alebo krádež firemných dát môže
mať dnes veľký dopad na samotné podnikanie firmy. Riziko stúpa so zvyšujúcim sa konkurenčným
bojom firiem. Je dôležité získať partnera, ktorý dokáže vyskladať seriózne a cenovo dostupné riešenie
pre ochranu firemných dát a informácií a tiež partnera, ktorý dokáže preniesť na seba časť firemných rizík.
Tak ako v rovine fyzickej ochrany majetku existujú SBSky a poisťovne aj v rovine ochrany
informácií existujú IT firmy špecializujúce sa na IT bezpečnosť. Takáto IT firma Vám zabezpečí
priebežný monitorig a dohľad nad zálohovaním dát, ich zabezpečenie a ochranu. V prípade potreby má
mať IT firma dostatočnú sieť technikov, aby dokázala operatívne, v krátkom čase po vzniknutí incidentu,
priamo na mieste vo firme zasiahnuť. Je dobré ak má IT firma také vybavenie a technické prostriedky, aby
dokázala niektoré zásahy realizovať vzdialene a tým ušetriť poplatky za výjazd.
Pre začiatok je dobré spoznať svoje citlivé dáta, informácie a riziká, ktoré firme hrozia. Tieto treba
začať riadiť na strategickej úrovni. Samotné nasadenie systému pre ochranu firemných dát a informácií
je možné urobiť rôznymi spôsobmi za využitia množstva dostupných technológií. Tu je vhodné samotnú
potrebu riešenia a výber technológie konzultovať so skúseným konzultantom. Čas, prostriedky a energia
venovaná príprave riešenia sa Vám niekoľkonásobne vráti počas nasadzovania riešenia vo vašej firme.
Spracoval
Ing. Radovan Lucina
CEO
mob: +421-910-787-556
e-mail: [email protected]
Poznámky:
* V príspevku boli použité informácie z prieskumu realizovaného firmou Maxtor na berlínskej výstave IFA v roku 2005,
zdroj PC Welt. Autorské práva k článku patria spoločnosti Level IT s.r.o.
Obchodný kontakt: Radovan Lucina, [email protected], 02-2051-2051
Technický kontakt: Richard Rychtarčík, vedúci technikov, [email protected], Jozef Danko, vedúci Service
Desku, [email protected]
Nahlasovanie požiadaviek pre SLA klientov, Incident Manažment a asistenčné IT služby s nástupom do 90minút:
[email protected], tel. 18 700 v čase od 9h do 21h alebo cez web formulár na www.level.sk, zásah po overení
požiadavky.
Dalšie produkty a služby
IT technik do 90minút
Asistenčné služby a vzdialená technická podpora
Realizácia servisných zásahov v rámci Slovenska
Správa(Outsourcing) informačných systémov a techniky
Projektový manažment
Konzultácie, audity a strategické poradenstvo
Bezpečnosť informačných systémov
IT projekty
Servisná sieť:
42 technikov v rámci celej SR
Podporované platformy a dodávateľia:
Oracle, Microsoft, IBM, HP, Alcatel, Panasonic, Avaya, Linux-Unix, Plantronics, GN, Polycom,
TRX, CTI, VoIP, EMC, Cisco, OpenSource, Lenovo, Eset, Desknow, Waymedia, Acronis, Dell,
Wincor, StoreLine, Retalix, Datalock, Spin, Navision, Pohoda, Money, Zetes, RedHat, AdvaICT,
Lancope, Fortinet, Juniper Networks, SonicWall, Palo Alto Networks, WatchGuard, a ďalšie.
Spoločnosť Level IT s.r.o. v rámci politiky kvality pravidelne zlepšuje úroveň poskytovaných
služieb, svoje činnosti v oblasti IT služieb riadi v zmysle štandardov ITIL v03, ISO 20000, ISO
27001, máme certifikovaný manažérsky systém riadenia spoločnosti v zmysle ISO 9001 a ISO
14001.
Download

10 krokov k zvýšeniu ochrany firemného majetku - dát a