14.12.2015 0 Comments

Ako zaviesť informačnú bezpečnosť vo firme? Na začiatok stačia 4 pravidlá

Hodnota informácií vo firemnom prostredí s rozvojom moderných informačných technológií významne rastie. Kým v minulosti boli najdôležitejšími hodnotami výrobcov fyzické priestory tovární, stroje a materiál, v dnešnej dobe rozhodujú o úspechu a neúspechu v podnikaní práve informácie. Ich bezpečnosť je niekedy dokonca kľúčová pre prežitie firmy.

Dôležité je, aby to mali na pamäti aj manažéri spoločností a dali zabezpečeniu informácií vo svojej firme vysokú prioritu. Nejde však o jednorazovú aktivitu. Bezpečnosť sa nedá vyriešiť kúpením antivírusového softvéru. Informačná bezpečnosť v spoločnosti musí byť zakomponovaná do každodenného fungovania firmy. V praxi to nemusí byť až také zložité, ak sa dodržia nasledujúce štyri pravidlá.

1. Bezpečnosť ako povinný bod posudzovania

Pri všetkých kľúčových aktivitách firmy treba posudzovať, aké informácie sa spracúvajú, aké sú ich toky, ako sú priradené zodpovednosti a úlohy v rámci spoločnosti.

2. Je to citlivá informácia, alebo nie?

Na začiatku procesu musí byť informácia či kategória informácií klasifikovaná: pre koho je určená, kto s ňou môže byť oboznámený, kto ju môže meniť a ako sa s ňou bude narábať po ukončení jej používania (archivácia a pod.). To sa väčšinou rieši nastavením prístupových práv v systémoch, ako aj ochranou priestorov a fyzických dokumentov.

3. Aj informácie musia byť fit (aby boli užitočné)

Ďalší krok je riadenie integrity informácií - aby nedochádzalo k porušeniu kompletnosti informácií, vypadnutiu časti záznamu, ale dôležité je aj udržiavanie aktuálnosti a správnosti informácie.

4. Informácia je užitočná, len ak sa k nej dá (bezpečne) dostať

Napokon štvrté pravidlo riadenia bezpečnosti informácií je zabezpečenie ich dostupnosti - teda úlohou informačného systému je zabezpečiť, aby informácie boli dostupné „just in time" pre pracovníka, ktorý ich potrebuje.

Čo môže urobiť vedenie firmy

Udržiavanie informačnej bezpečnosti vychádza vždy zo záväzku na úrovni vedenia spoločnosti. Ten sa následne implementuje do procesov a systémov v rámci spoločnosti. Tá musí posúdiť, ktoré informácie pre ňu majú najvyššiu hodnotu, ako sú zabezpečené pred únikom, neoprávneným prístupom, zmenou, stratou a ako je riadený a monitorovaný prístup k nim. Na základe toho vyhodnotí hroziace riziká a uplatní protiopatrenia na ich zníženie.

O čo sa vedia postarať technológie

V oblasti aplikácie bezpečnostných opatrení prichádzajú k slovu moderné infokomunikačné služby. S ich pomocou možno zabezpečiť informačné systémy, nastaviť komunikačné pravidlá a ochranu internej siete pred neoprávneným prístupom alebo zneužitím, najmä z prostredia verejnej internetovej siete. Pri internej komunikácii zamestnancov treba používať zabezpečené virtuálne privátne siete (eternetovú sieť VPN, IP VPN) telekomunikačných operátorov, a nie nezabezpečené verejné internetové prípojky.

Čo vie urobiť telekomunikačný operátor

Riadiť prístupu do internetu môže podnik s využitím vlastných zariadení alebo pomocou služieb, ktoré ponúka telekomunikačný operátor. Ide o takzvané služby manažovanej bezpečnosti. Takisto zabezpečenie prevádzkových podmienok na beh informačných systémov môže podnik zveriť profesionálom z dátového centra, ktoré poskytuje vysokú mieru ochrany a zabezpečenia zariadení (ochrana majetku, špičková požiarna ochrana, zabezpečenie stabilných klimatických podmienok pre zariadenia, zálohovanie napájania elektrickou energiou vrátane krytia dlhodobých výpadkov prostredníctvom dieselgenerátorov). Tie sú v dátovom centre niekoľkonásobne zabezpečené. Zákazníci môžu využívať aj služby zálohovania svojich dát prostredníctvom služieb operátora. Profesionálne dátové centrum môže byť dôležitou súčasťou v takzvaných plánoch prevádzkovej kontinuity firmy - teda v návodoch, ako udržať firmu v chode aj v prípade krízovej situácie (náhradná lokalita, uloženie informácií na obnovu systémov).

Namiesto vlastného servera virtuálny (ale ešte lepší)

Aj na Slovensku je čoraz rozšírenejší trend využívania virtuálnych serverov, ktoré prevádzkujú iné subjekty. Tento model prináša firmám viaceré výhody - nemusia zabezpečovať prevádzku vlastných serverov. Systémy bežia vo virtuálnom prostredí na špecializovanom zariadení v dátovom centre. S vysokým výkonom a niekoľkonásobným zálohovaním všetkých kritických prvkov. Firma môže priebežne a flexibilne meniť a dopĺňať počty serverov vo virtuálnom prostredí a požadovaný procesorový výkon a priebežne tak prispôsobovať svoje IT vlastným požiadavkám bez jednorazových investícií do nákupu hardvéru. Navyše sa netreba zaoberať umiestnením serverov a diskových polí, riešením výpadkov a obnovou po nich. Na druhej strane treba mať na pamäti, že ide o umiestnenie informácií v externom prostredí, teda je potrebné, aby si firma pred použitím takejto služby vopred preverila, akú platformu bude používať, kde je umiestnená, ako je zabezpečená a pod akú jurisdikciu (ktorej krajiny) spadá.

Podľa čoho sa zorientovať - štandard ISO

Významná pomôcka pri posudzovaní informačnej bezpečnosti vo firmách je štandard ISO 27001, ktorého posledná revízia bola vydaná nedávno - v roku 2013. Štandard poníma informačnú bezpečnosť široko - od bezpečnostných politík, fyzickej bezpečnosti prostredí, prideľovania zodpovednosti cez riešenie incidentov a kontinuity až po požiadavky na vývoj a životný cyklus informačných systémov. Certifikácia spoločnosti podľa štandardu ISO 27001 znamená, že príslušná spoločnosť zodpovedne riadi bezpečnosť spravovaných informácií, čo zvyšuje jej dôveryhodnosť a spôsobilosť poskytovať tovary a služby svojim zákazníkom.

Ivan Leščák, Manažér pre reguláciu a prepojenie, BENESTRA, s. r. o., ivan.lescak@benestra.sk

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá