14.12.2015 0 Comments

Ako zaviesť informačnú bezpečnosť vo firme? Na začiatok stačia 4 pravidlá

Hodnota informácií vo firemnom prostredí s rozvojom moderných informačných technológií významne rastie. Kým v minulosti boli najdôležitejšími hodnotami výrobcov fyzické priestory tovární, stroje a materiál, v dnešnej dobe rozhodujú o úspechu a neúspechu v podnikaní práve informácie. Ich bezpečnosť je niekedy dokonca kľúčová pre prežitie firmy.

Dôležité je, aby to mali na pamäti aj manažéri spoločností a dali zabezpečeniu informácií vo svojej firme vysokú prioritu. Nejde však o jednorazovú aktivitu. Bezpečnosť sa nedá vyriešiť kúpením antivírusového softvéru. Informačná bezpečnosť v spoločnosti musí byť zakomponovaná do každodenného fungovania firmy. V praxi to nemusí byť až také zložité, ak sa dodržia nasledujúce štyri pravidlá.

1. Bezpečnosť ako povinný bod posudzovania

Pri všetkých kľúčových aktivitách firmy treba posudzovať, aké informácie sa spracúvajú, aké sú ich toky, ako sú priradené zodpovednosti a úlohy v rámci spoločnosti.

2. Je to citlivá informácia, alebo nie?

Na začiatku procesu musí byť informácia či kategória informácií klasifikovaná: pre koho je určená, kto s ňou môže byť oboznámený, kto ju môže meniť a ako sa s ňou bude narábať po ukončení jej používania (archivácia a pod.). To sa väčšinou rieši nastavením prístupových práv v systémoch, ako aj ochranou priestorov a fyzických dokumentov.

3. Aj informácie musia byť fit (aby boli užitočné)

Ďalší krok je riadenie integrity informácií - aby nedochádzalo k porušeniu kompletnosti informácií, vypadnutiu časti záznamu, ale dôležité je aj udržiavanie aktuálnosti a správnosti informácie.

4. Informácia je užitočná, len ak sa k nej dá (bezpečne) dostať

Napokon štvrté pravidlo riadenia bezpečnosti informácií je zabezpečenie ich dostupnosti - teda úlohou informačného systému je zabezpečiť, aby informácie boli dostupné „just in time" pre pracovníka, ktorý ich potrebuje.

Čo môže urobiť vedenie firmy

Udržiavanie informačnej bezpečnosti vychádza vždy zo záväzku na úrovni vedenia spoločnosti. Ten sa následne implementuje do procesov a systémov v rámci spoločnosti. Tá musí posúdiť, ktoré informácie pre ňu majú najvyššiu hodnotu, ako sú zabezpečené pred únikom, neoprávneným prístupom, zmenou, stratou a ako je riadený a monitorovaný prístup k nim. Na základe toho vyhodnotí hroziace riziká a uplatní protiopatrenia na ich zníženie.

O čo sa vedia postarať technológie

V oblasti aplikácie bezpečnostných opatrení prichádzajú k slovu moderné infokomunikačné služby. S ich pomocou možno zabezpečiť informačné systémy, nastaviť komunikačné pravidlá a ochranu internej siete pred neoprávneným prístupom alebo zneužitím, najmä z prostredia verejnej internetovej siete. Pri internej komunikácii zamestnancov treba používať zabezpečené virtuálne privátne siete (eternetovú sieť VPN, IP VPN) telekomunikačných operátorov, a nie nezabezpečené verejné internetové prípojky.

Čo vie urobiť telekomunikačný operátor

Riadiť prístupu do internetu môže podnik s využitím vlastných zariadení alebo pomocou služieb, ktoré ponúka telekomunikačný operátor. Ide o takzvané služby manažovanej bezpečnosti. Takisto zabezpečenie prevádzkových podmienok na beh informačných systémov môže podnik zveriť profesionálom z dátového centra, ktoré poskytuje vysokú mieru ochrany a zabezpečenia zariadení (ochrana majetku, špičková požiarna ochrana, zabezpečenie stabilných klimatických podmienok pre zariadenia, zálohovanie napájania elektrickou energiou vrátane krytia dlhodobých výpadkov prostredníctvom dieselgenerátorov). Tie sú v dátovom centre niekoľkonásobne zabezpečené. Zákazníci môžu využívať aj služby zálohovania svojich dát prostredníctvom služieb operátora. Profesionálne dátové centrum môže byť dôležitou súčasťou v takzvaných plánoch prevádzkovej kontinuity firmy - teda v návodoch, ako udržať firmu v chode aj v prípade krízovej situácie (náhradná lokalita, uloženie informácií na obnovu systémov).

Namiesto vlastného servera virtuálny (ale ešte lepší)

Aj na Slovensku je čoraz rozšírenejší trend využívania virtuálnych serverov, ktoré prevádzkujú iné subjekty. Tento model prináša firmám viaceré výhody - nemusia zabezpečovať prevádzku vlastných serverov. Systémy bežia vo virtuálnom prostredí na špecializovanom zariadení v dátovom centre. S vysokým výkonom a niekoľkonásobným zálohovaním všetkých kritických prvkov. Firma môže priebežne a flexibilne meniť a dopĺňať počty serverov vo virtuálnom prostredí a požadovaný procesorový výkon a priebežne tak prispôsobovať svoje IT vlastným požiadavkám bez jednorazových investícií do nákupu hardvéru. Navyše sa netreba zaoberať umiestnením serverov a diskových polí, riešením výpadkov a obnovou po nich. Na druhej strane treba mať na pamäti, že ide o umiestnenie informácií v externom prostredí, teda je potrebné, aby si firma pred použitím takejto služby vopred preverila, akú platformu bude používať, kde je umiestnená, ako je zabezpečená a pod akú jurisdikciu (ktorej krajiny) spadá.

Podľa čoho sa zorientovať - štandard ISO

Významná pomôcka pri posudzovaní informačnej bezpečnosti vo firmách je štandard ISO 27001, ktorého posledná revízia bola vydaná nedávno - v roku 2013. Štandard poníma informačnú bezpečnosť široko - od bezpečnostných politík, fyzickej bezpečnosti prostredí, prideľovania zodpovednosti cez riešenie incidentov a kontinuity až po požiadavky na vývoj a životný cyklus informačných systémov. Certifikácia spoločnosti podľa štandardu ISO 27001 znamená, že príslušná spoločnosť zodpovedne riadi bezpečnosť spravovaných informácií, čo zvyšuje jej dôveryhodnosť a spôsobilosť poskytovať tovary a služby svojim zákazníkom.

Ivan Leščák, Manažér pre reguláciu a prepojenie, BENESTRA, s. r. o., ivan.lescak@benestra.sk

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá