Nowoczesne rozwiązania z zakresu IT wiążą się z licznymi zagrożeniami. Aż 18 proc. przedsiębiorstw przyznało, że w ciągu ostatnich miesięcy pojawiły się u nich problemy techniczne, które zakłóciły ciągłość działania. Większość z nich spowodowana była czynnikiem ludzkim.

Bezpieczeństwo informacji w firmie wystawiane jest na duże ryzyko ze strony personelu. Wśród głównych przyczyn popełnianych błędów wymienia się:

– brak zaangażowania personelu w procesy zachodzące w firmie;

– korzystanie z przestarzałego oprogramowania;

– uznanie przez zarząd firmy stosowania profesjonalnych rozwiązań zabezpieczających za zbędny koszt i stratę czasu;

– niedostosowanie się administratorów IT do polityk i procedur bezpieczeństwa informacji obowiązujących w firmie.

Brak świadomości pracowników, co do istniejących zagrożeń oraz niechęć wobec stosowania się do wytycznych działu IT sprawia, że firmy zagrożone są wystąpieniem licznych awarii oraz problemów technicznych. Warto podkreślić, że niezadbanie o najnowsze rozwiązania technologiczne skutkuje osłabieniem pozycji rynkowej firmy.

Inwestycje w sprzęt o odpowiednich parametrach oraz zatrudnianie wykwalifikowanych pracowników sprzyja bezpieczeństwu informacji.

Wprowadzenie zapór ochronnych, bieżące monitorowanie usług oraz zadbanie o weryfikację funkcjonowania wszystkich komponentów infrastruktury IT sprzyja ciągłości działania firmy. Jednocześnie zapewnia tym samym bezpieczeństwo danych.

Według badań firmy Ergress aż 79 proc. liderów IT potwierdza, że działania personelu stanowią główne źródło błędów występujących w ramach systemów informatycznych. Nieprzeszkoleni z zakresu stosowania procedur bezpieczeństwa informacji i nieumiejętnie zarządzającymi danymi pracownicy narażają firmę na utratę lub nieświadome udostępnienie wrażliwych informacji biznesowych.

O bezpieczeństwo IT powinna zadbać kadra zarządzająca, która zapewni pracownikom cykliczne szkolenia.

Ponad połowa personelu przyznała jednak, że do problemów w zakresu bezpieczeństwa informacji dochodzi głównie wskutek niezaopatrzenia personelu w profesjonalne narzędzia i oprogramowanie do ochrony danych. Część pracowników nawet w przypadku możliwości zabezpieczenia zasobów nie stosuje dostępnych technik. Wielokrotnie wynika to z braku wiedzy dotyczącej ich prawidłowego użycia. Jedną z przyczyn jest również niepoczuwanie się do odpowiedzialności za przetwarzanie informacje firmowe. Wymienione wyżej czynniki sprawiają, że personel korzysta z niezaszyfrowanych i niezabezpieczonych hasłami urządzeń.

Wiele firm ma poważne wątpliwości wobec przeniesienia danych do chmury. Obawiają się o bezpieczeństwo informacji i powszechną dostępność takich rozwiązań. Prognozy zapowiadają, że do 2020 roku aż 45% oprogramowania będzie dostarczane z poziomu chmury. Na przetwarzanie danych w platformie chmurowej zdecydowały się już wszystkie największe korporacje na świecie.

Rozwiązania chmurowe stają się coraz bardziej użyteczne dla firmy

Wiodącym dostawcą rozwiązań chmurowych jest firma Microsoft, która udostępnia narzędzia IT i świadczy obsługę za pomocą platformy Azure. Posiada ogromne serwerownie w wielu lokalizacjach na całym świecie oraz oferuje szeroki zakres usług informatycznych. Rozwiązania chmurowe potwierdzone zostały certyfikatami bezpieczeństwa oraz zdobyły uznanie wśród wielu klientów.

Za pomocą Microsoft Azure możemy budować, wdrażać, testować oraz zarządzać aplikacjami i usługami. Jednocześnie użytkownik uzyskuje dostęp do konta, w ramach którego zarządza uprawnieniami i konfiguracjami urządzeń. W bezpiecznym miejscu przechowuje dane, a także otrzymuje możliwość tworzenia wirtualnych maszyn Windows lub Linux.

Jakie korzyści wynikają dla firmy ze zdecydowania się na usługi chmurowe?

Pozytywne skutki wdrożenia rozwiązań chmurowych zostaną omówione na przykładzie kopii bezpieczeństwa. Firmy często decydują się na zakup fizycznego serwera do przechowywania danych, kierując się po prostu ceną sprzętu. Zapominają jednak o tym, że zakup urządzenia i oprogramowania to niejedyny wydatek. Należy wziąć pod uwagę również koszty operacyjne, które związane są  z administrowaniem, serwisowaniem, wprowadzaniem aktualizacji czy poborem energii elektrycznej, a także chłodzeniem serwera. Ze względów bezpieczeństwa zaleca się kupno dwóch urządzeń, które będą przechowywane w dwóch różnych lokalizacjach. Należy pamiętać przy tym, że urządzenia mają ograniczoną żywotność (szacowaną na okres od 3 do 5 lat).

Decydując się na usługi chmurowe, firma nie musi zastanawiać się nad wyborem sprzętu i oprogramowania ani kwestiami związanymi z ich administracją. Aby wdrożyć rozwiązania chmurowe, potrzebna jest tylko maszyna wirtualna. W przypadku usługi Microsoft Azure hosting danych wykupuje się na zasadzie abonamentu. Rozwiązania w nim zawarte są skalowalne – można więc w miarę potrzeb i preferowanego zużycia rozszerzać lub zmniejszać ich zakres.

Bezpieczne przechowywanie i przetwarzanie danych

W przypadku zdecydowania się na usługi chmurowe, warto wziąć pod uwagę georeplikację danych. Kopie zapasowe danych powinny być przechowywane w dwóch lokalizacjach. Microsoft wyznaczył odległość obiektów, w których magazynowane są dane, na co najmniej 500 km. Dodatkowym plusem ze zdecydowania się na popularną platformę chmurową jest to, że opiera się ona na powszechnie znanym systemie operacyjnym Windows, więc łatwo się po niej poruszać.

Rozwiązania chmurowe bardzo szybko rozwijają się. W ich ramach firmy znajdą przydatne opcje, które przyczynią się do sprawnego zarządzania infrastrukturą IT. Aby całkowicie pozbyć się wątpliwości, co do tego typu rozwiązań, istnieje możliwość skorzystania z darmowych wersji próbnych usług.

Przez lata wymagano od pracowników firm tworzenia skomplikowanych haseł. Przyjął się pogląd, że zabezpieczenia dostępowe do kont powinny zawierać cyfry, małe i wielkie litery, znaki interpunkcyjne oraz dodatkowe symbole. Jak wiadomo, spora część osób nie jest w stanie zapamiętać wielu haseł. Zmieniają więc na przykład jego pierwszą literę na wielką i dopisują „1”, bądź wprowadzają swoją datę urodzenia. Często praktyką jest również dodawanie na końcu wykrzyknika.

Bezpieczne hasła chronią firmę przed wyciekami danych i atakami cyberprzestępców

Wymienione wyżej metody ustalania haseł są powszechnie znane. Dlatego też ułatwiają pracę hakerom. Niestety, w dalszym ciągu spora ilość pracowników używa tego samego hasła do wielu kont, co wpływa na osłabienie bezpieczeństwa informacji przetwarzanych w ramach firmy.

Przy tworzeniu silnego hasła użytkownik powinien pomyśleć o tym, czy będzie ono trudne do złamania nie tyle dla człowieka, co dla komputera. Funkcjonuje wiele błędnych wyobrażeń na temat tego, jak powinno wyglądać bezpieczne hasło dostępowe. Wydaje się, że bardziej skomplikowane hasło jest silniejsze od dłuższego hasła. W większości przypadków sytuacja wygląda jednak odwrotnie (np. „punkforlife” jest 103 razy silniejsze od „punk4life”).

Aby stworzyć hasło, które zapewni ochronę danych osobowych, należy:

  1. Unikać słów zawartych w słowniku.
  2. Używać wielkich liter w środku wyrazu, a nie na początku.
  3. Wstawiać cyfry w środku wyrazu, a nie na końcu.
  4. Zadbać o to, aby hasło miało co najmniej 12 znaków. W tym przynajmniej dwa rodzaje znaków (np. wielkie i małe litery, cyfry, symbole).
  5. Unikać używania imion ludzi oraz nazw zwierząt, miejsc, rzeczy czy dat, z którymi jesteśmy związani.
  6. Unikać popularnych fraz (szczególnie związanych z wyrazem „miłość” w każdym języku, „abc”, „123”, „1qaz”).

Ciekawym pomysłem jest wymyślenie zdania, które nie znajduje się w powszechnym użyciu. Następnie zaleca się pomieszanie pierwszych liter każdego ze słów z innymi rodzajami znaków, np. cyframi czy symbolami specjalnymi, jak: &,*,%.

Zabezpieczenie dostępu do konta użytkownika

Należy pamiętać o tym, aby nie powielać haseł przy rejestracji do kont. Zwłaszcza tych o znaczeniu biznesowym, w ramach których przetwarzane są wrażliwe dane osobowe. W przypadku posiadania wielu kont w ramach różnorodnych paneli webowych, zaleca się zapisanie ich w bezpiecznym miejscu lub skorzystanie z managera haseł.

Hakerstwo to działania podejmowane ze strony cyberprzestępców, którzy wykorzystują słabe punkty lub brak zabezpieczeń w infrastrukturze sieciowej oraz systemach informatycznych. Uzyskują nieuprawniony dostęp do danych osobowych oraz zaburzają efektywność poszczególnych funkcji oraz usług.

Czy możliwe jest etyczne hakowanie?

Jego pozytywną odmianę stanowią testy penetracyjne. Wielokrotnie nazywane są etycznym hakowaniem. W testowym środowisku dochodzi do symulowanych ataków. Informatycy opierają się na narzędziach wykorzystywanych przez cyberprzestępców. Ataki przeprowadzają jednak legalnie, za zgodą uprawnionych do tego osób. Najczęściej testy penetracyjne przybierają formę usługi świadczonej dla klienta. Specjaliści ds. IT określają poziom bezpieczeństwa systemów informatycznych, wykrywając nieprawidłowo skonfigurowane lub nieaktualizowane oprogramowania. Wyszukują luki, które haker mógłby wykorzystywać w celu zaatakowania infrastruktury IT. Aby uchronić system informatyczny przed dostępem niepożądanych użytkowników, rekomendują zastosowanie rozwiązań informatycznych w wadliwie funkcjonujących obszarach. Dotyczy to zwłaszcza ochrony wrażliwych danych.

W przeciwieństwie do hakerów, którymi kierują pobudki materialne i ich celem jest zniszczenie lub zaburzenie działania usług w ramach systemu informatycznego, specjaliści ds. IT mają na względzie sprawność funkcjonowania jego wszystkich komponentów. Jedynie podobieństwo występuje w narzędziach i praktykach wykorzystywanych do przeprowadzania ataków.

Testy penetracyjne wskazują obszary, których bezpieczeństwo powinno zostać zwiększone.

Wiedza z zakresu bezpieczeństwa IT pozwala rozpoznać nieautoryzowane zachowania użytkowników. Wśród najczęściej spotykanych ataków hakierskich wymieniane są:

-hakowanie systemu,

-hakowanie serwerów WWW,

-hakowanie aplikacji webowych,

-hakowanie sieci bezprzewodowej.

Liczba programów służących do przeprowadzania ataków nieustannie wzrasta. Wykorzystywane są coraz bardziej udoskonalone techniki, które przybierają formę wirusów lub zainfekowanego oprogramowania.

Celem zweryfikowania bezpieczeństwa IT i zapewnienia stabilnego działania infrastruktury firmowej zaleca się cykliczne przeprowadzanie testów penetracyjnych.

Dlatego też specjaliści, weryfikujący zabezpieczenia i dostosowujący środki ochronne do potencjalnych zagrożeń, są szczególnie pożądani na rynku. Dzięki testom penetracyjnym, przeprowadzanym zarówno w sposób manualny, jak i automatyczny, oceniają poziom bezpieczeństwa. W raporcie przedstawiają zaś rozwiązania, które uniemożliwią kradzież lub nieuprawniony dostęp do danych.

Zdecydowana część usług jest oparta na technologiach informatycznych. Ich obsługa wymaga stałego wsparcia i nadzoru technicznego ze strony specjalistów IT. Zarządzanie usługami ewoluuje w kierunku stosowania procesów automatyzacji i usprawniania obsługi klientów. Przydatna staje się również bieżąca obserwacja sprawności działania systemów oraz aktualizowanie otrzymywanych analiz i wyników.

ITIL – zbiór praktycznych porad niezbędnych do zarządzania usługami informatycznych

Do najczęściej używanych narzędzi w ramach zarządzania projektami informatycznymi jest ITIL. Odpowiada za zintegrowanie ze sobą wszystkich elementów składających się na system informatyczny firmy. Zostają one połączone ze sobą w elastyczny sposób, który zapewnia spójność działania i współpracę między pracownikami zajmującymi się poszczególnymi projektami. ITIL umożliwia kompleksową administrację infrastrukturą IT, opierając swoje działania na modelu tworzenia, udoskonalania i dostarczania usług, który uwzględniają najnowsze rozwiązania technologiczne.

Specjaliści działu IT w ramach prowadzenia administracji systemem informatycznym podejmują następujące działania:

  1. Wdrożenie planu rozwoju sieci IT.
  2. Doskonalenie usług i aplikacji webowych.
  3. Optymalizowanie rozwoju infrastruktury IT.
  4. Projektowanie nowych rozwiązań.
  5. Zakup, rozbudowa i instalacja infrastruktury sprzętowej.
  6. Zapewnienie wsparcia technicznego.

ITIL odzwierciedla procesowe podejście do zarządzania całym systemem IT. Łączy ze sobą funkcje, których nie trzeba wykonywać ręcznie ani w odosobnieniu od innych usług. Obejmuje zarządzanie incydentami, problemami technicznymi, zmianami, aktualizacjami, poziomem działania usług i wskaźników. Odnosi się również do kwestii prowadzenia monitoringu informatycznego, który koreluje ze sobą wiele czynników i dostosowuje działanie usług i urządzeń sieciowych do ustaleń administratora wprowadzonych na poziomie ustawień.

Nowoczesne rozwiązania technologiczne w ramach ITIL

Dotychczas ITIL odnosiło się jedynie do zarządzania infrastrukturą czysto techniczną, która należy do obszaru działań zespołu IT. Szybkość przemian technologicznych i łatwość dostosowywania się użytkowników doprowadziło do wyodrębnienia nowych wymiarów modelu, które dotyczą następujących obszarów:

-dostęp do informacji i technologii;

-kontakt z partnerami/dostawcami;

-administracja procesami usługowymi;

-zarządzanie zasobami ludzkimi.

Najważniejsze dla firmy staje się dostarczanie wartości klientom. ITIL ułatwia nie tylko sprawowanie nadzoru nad infrastrukturą i projektami informatycznymi. Sprzyja osiąganiu wyższych i przewidywalnych wyników, które zapewniają ciągłość działania i wzmacniają wizerunek firmy.