Bezpieczeństwo jest jedną z podstawowych potrzeb człowieka i ma kluczowe znaczenie w naszym życiu. Dlatego nie dziwi, że zabezpieczamy życie i zdrowie swoje i swoich bliskich – zapinamy pasy bezpieczeństwa, profilaktycznie robimy badania, uczymy nasze dzieci podstawowych zasad bezpieczeństwa. Równie starannie zabezpieczamy swoje mienie – kupujemy polisy samochodowe i turystyczne, upewniamy się, czy zamknęliśmy auto i dom, a torebkę czy portfel staramy się trzymać zawsze na oku. Co zatem sprawia, że gdy chodzi o nasze firmy, owszem używamy zamków, rolet i krat, ale często zapominamy o zabezpieczeniu naszej coraz szerszej działalności elektronicznej – danych klientów i kontrahentów, korespondencji oraz umów?

Mała świadomość zagrożeń

Małe i średnie przedsiębiorstwa są narażone na różnego typu zagrożenia związane z przechowywaniem kluczowych dla prowadzonej działalności danych, w tym samym stopniu, co duże firmy. Mimo to, jak pokazuje badanie na temat rozwiązań informatycznych w sektorze MŚP przeprowadzone przez Millward Brown SMG/KRC na zlecenie Microsoft, mają one niewielką świadomość wagi zabezpieczania poufnych danych i efektów swojej pracy.

Technologie informatyczne są obecnie niezbędnym elementem w każdej praktycznie firmie, niezależnie od jej wielkości. Dlatego, beztroskie podejście do bezpieczeństwa informacji może wiązać się ze znaczącym ryzykiem od dotkliwej utraty danych, poprzez konsekwencje prawne czy finansowe aż po upadek firmy. Choć większość przedsiębiorstw stosuje zabezpieczenia, konieczna jest ciągła edukacja biznesu w tym zakresie. Firewall czy program antywirusowy to nie wszystko. Wiele stosowanych w przedsiębiorstwach technologii daje się, bez utrudniania codziennej pracy użytkownikom, stosunkowo prosto wzbogacić o funkcjonalności, dzięki którym dane będą naprawdę bezpieczne – mówi Grzegorz Tworek, ekspert ds. bezpieczeństwa informatycznego.

MŚP i bezpieczeństwo informatyczne

Badanie wykazało, że małe i średnie firmy ograniczają swoje działania dotyczące bezpieczeństwa informatycznego przede wszystkim do nadawania praw dostępu, przechowywania danych na serwerze oraz szkolenia pracowników. Niektóre przedsiębiorstwa wprowadziły dodatkowo specjalne procedury dotyczące korzystania ze sprzętu i kontrolę oprogramowania wykorzystywanego przez pracowników. Wciąż jednak 33% spośród małych i średnich firm w Polsce ma przekonanie, że wynajęcie zewnętrznej firmy odpowiedzialnej za serwisowanie sprzętu i zarządzanie informacjami wystarczy, aby cieszyć się pełnym bezpieczeństwem danych. Z drugiej strony większość, bo aż 60% badanych firm MSP deklaruje, że ochrona informacji poufnych jest najważniejszym aspektem bezpieczeństwa. Wydaje się zatem, że tak istotny obszar wymaga kompleksowego zabezpieczenia. I nie powinno się ono ograniczać jedynie do przeniesienia odpowiedzialności za całość bezpieczeństwa informatycznego na zewnętrzne firmy.

Kluczem do sukcesu jest staranny dobór narzędzi zapewniających bezpieczeństwo danych w firmie – podpowiada Ilona Tomaszewska, dyrektor ds. segmentu MSP w polskim oddziale Microsoft. - Niestety przeprowadzone przez nas badanie małych i średnich firm, pokazuje, że przedsiębiorcy nie zawsze wiedzą, jak o nie zadbać, a w ponad 1/3 firm panuje pogląd, że troska o bezpieczeństwo IT nie jest w ogóle potrzebna.

Świadomość zagrożeń wirusami

Istotnym elementem troski o bezpieczeństwo firmowych komputerów jest oprogramowanie antywirusowe. Badanie małych i średnich firm wykazało, że 32% przedsiębiorstw z tego segmentu rynku posiada więcej niż jeden rodzaj programu antywirusowego na firmowych komputerach. Kolejnym, obok braku standaryzacji oprogramowania antywirusowego, zaniechaniem jest rzadka aktualizacja programów. Jak pokazuje badanie, aktualizacja oprogramowania w firmach z segmentu MŚP nie jest przeprowadzana automatycznie, ale w sytuacji, gdy istnieje do tego przesłanka praktyczna, najczęściej po około roku od zakupu. Niekiedy po prostu dopiero po zaistnieniu jakiegoś zdarzenia albo ryzyka utraty danych.

Zabezpieczenia

W dobie cyfryzacji dane stanowią największą wartość firmy. Przechowywanie informacji na temat finansów, wyników sprzedaży, danych klientów i dostawców jest niezbędnym elementem w działalności przedsiębiorstw. Konsekwencje przypadkowej utraty danych mogą być nieodwracalne. Ponieważ coraz częściej i więcej informacji przechowujemy w formie elektronicznej, ich staranne zabezpieczenie staje się wymogiem naszych czasów. Tymczasem z przeprowadzonego przez Microsoft badania wynika, że tylko 32% małych i średnich firm szyfruje firmowe dyski, a 18% szyfruje wysyłane za pomocą poczty elektronicznej dokumenty.

Zaniedbania w zakresie bezpieczeństwa informatycznego firmy mogą mieć ogromne konsekwencje. Nietrudno wyobrazić sobie sytuację, w której pracownik firmy traci całą zawartość twardego dysku na skutek np. upadku laptopa. Dane mogą wypłynąć z firmy z powodu zagubienia firmowego pendrive’a albo przypadkowo wysłanego e-maila. Na szczęście istnieją nowoczesne sposoby zabezpieczenia swoich zasobów firmowych. Jednym z nich jest pakiet Office Całe Biuro skonstruowany właśnie z myślą o firmach MSP. Proste i niewymagające dużych nakładów inwestycyjnych rozwiązania są w zasięgu ręki, a nasi konsultanci są do dyspozycji, żeby doradzić najodpowiedniejsze rozwiązanie. Najważniejsze, żeby przedsiębiorcy zaczęli serio myśleć o bezpieczeństwie swoich firm – wyjaśnia Ilona Tomaszewska z polskiego biura Microsoft.

Aplikacje dostępne w ramach pakietu Office Całe Biuro pozwalają znacząco podnieść bezpieczeństwo swoich zasobów elektronicznych. Pozwolą na przykład tworzyć automatycznie kopie zapasowe, które gwarantują ochronę danych w razie wypadku –awarii czy utraty sprzętu. Natomiast elastyczne ustawienia prywatności poczty elektronicznej i plików zabezpieczą przed przypadkowym rozesłaniem poufnego dokumentu.

W budowaniu bezpieczeństwa małych i średnich firm bardzo pomocne mogą być również narzędzia oferowane przez najnowszą wersję pakietu Microsoft Office 365. W jego skład wchodzą zaufane aplikacje, które są dobrze znane w biznesie, a teraz dostępne także jako usługi online. Umożliwiają one efektywną i bezpieczną pracę oraz łączność z niezbędnymi osobami nawet spoza biura, przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa. Najnowsza wersja Microsoft Office 365 zawiera system zabezpieczeń, który chroni dane firmowe przed dostępem niepowołanych osób. Szyfrowanie dokumentów pozwala na bezpieczną wymianę poufnych informacji wewnątrz firmy, jak i po za nią. Program Microsoft Outlook sprawdza bezpieczeństwo plików wysyłanych pocztą e-mail, zanim jeszcze zostaną otwarte i zaczną stanowić zagrożenie.

Organizacje funkcjonują w środowiskach, gdzie pracownicy i klienci oczekują zapewnienia dostępności usług krytycznych w każdym czasie, a to zmusza działy IT do zmiany podejścia do sposobu tworzenia kopii zapasowych i odtwarzania danych.

Zgodnie z wynikami nowego badania Quest Software przeprowadzonego wśród specjalistów IT w Ameryce Północnej, prawie trzy czwarte firm niezależnie od ich wielkości wskazuje przywracanie krytycznych aplikacji obok odzyskiwania danych, jako główny problem dotyczący backupu i odtwarzania danych. Paradoksalnie, tradycyjne rozwiązania do ochronny danych wymagają od organizacji ustalania celów odtwarzania danych (recovery objectives) w oparciu o serwery i infrastrukturę IT, przywiązując niewiele uwagi odzyskiwaniu podstawowych aplikacji biznesowych i zapewnieniu odpowiedniego poziomu SLA. W efekcie tylko 5 procent ankietowanych organizacji stwierdziło, że tworzą swoje cele odtwarzania danych ściśle wokół aplikacji.

• Według przeprowadzonego sondażu, 73 procent respondentów wskazało, że przywracanie krytycznych aplikacji obok odzyskiwania utraconych danych jest ich największym problemem związanym z ochroną danych.  (Źródło: TechValidate TVID: F63-55D-786) 

• W tym samym czasie tylko 5 procent respondentów stwierdziło, że ustalają swoje cele odtwarzania danych ściśle wokół aplikacji, podczas gdy 78 procent wskazuje, że w ich organizacjach aplikacje w ogóle nie odgrywają żadnej roli w kształtowaniu celów odtwarzania (recovery objectives). (Źródło:. TechValidate TVID: F69-7B9-5FB)


• Badanie Quest Software potwierdziło również występowanie szeregu dodatkowych trendów wpływających na zwiększenie nacisku na szybkie odzyskiwanie krytycznych aplikacji i danych. 70 procent respondentów wskazało, że co najmniej połowa danych, jaka powstaje w ich organizacji, jest o znaczeniu krytycznym, a prawie jedna trzecia respondentów (32 procent) wskazała, że w ciągu ostatniego roku kadra zarządzająca firmami prosiła pracowników IT, aby szukali sposobów na skrócenie czasu odzyskiwania. (Źródło: TechValidate TVID: B60-0EC-78B i BF9-384-EB6)

Aktualnie działy IT powinny zapewniać przywracanie krytycznych aplikacji i baz danych zgodnie z zachowaniem poziomów świadczenia usług (SLA). Samo odzyskiwanie danych po prostu już nie wystarczy. Nie tylko użytkownicy końcowi są coraz bardziej zależni od usług, których dostarcza IT, ale ich oczekiwania dotyczące dostępności i ciągłości są większe niż wcześniej. Nowe narzędzie Quest Software - Quest NetVault Extended Architecture (NetVault XA), które jest obecne na rynku od lipca br., wypełnia tę lukę. To pierwsze na rynku rozwiązanie do ochrony danych skoncentrowane na usługi, które całkowicie zmienia podejście do tworzenia kopii zapasowych i odtwarzania. Rozwiązanie to zostało zaprojektowane w celu dostosowania polityk ochrony danych do SLA - zapewniając tworzenie kopii zapasowych, replikację i odtwarzanie aplikacji, a nie tylko serwerów.

Zadania firmowego IT

Dzisiaj IT musi zmienić podejście do backupu i recovery ze skoncentrowanego na infrastrukturze na skierowanego na usługi, skupiając się na ochronie krytycznych dla biznesu aplikacji i baz danych, niezależnie od tego czy znajdują się w środowiskach fizycznych, wirtualnych czy w chmurze. Nowe rozwiązanie Quest Software - NetVault XA - zapewnia takie właśnie podejście, umożliwiając administratorom organizowanie, planowanie i zarządzanie kopiami zapasowymi na podstawie konkretnych usług biznesowych i technologicznych. To daje możliwość ustawienia określonego czasu i punktu odtworzenia (RPO/ RTO) dla każdego elementu, niezależnie od tego czy serwery, aplikacje lub bazy danych, które napędzają te usługi, są on- lub off-premise, w fizycznym lub wirtualnym środowisku, czy też w mieszanym.  

Badanie

Badanie zostało przeprowadzone w drugim kwartale 2012 roku przez firmę TechValidate. W badaniu ankietowym wzięli udział specjaliści IT (211), zarówno przedstawiciele kadry kierowniczej IT, jak i pracownicy wykonawczy, w tym administratorzy systemów, sieci oraz storage, którzy w swoich firmach są odpowiedzialni za różne aspekty ochrony danych. Firmy biorące udział w badaniu to zarówno MŚP, jak i największe przedsiębiorstwa na świecie z listy Global 500, reprezentujące różne segmenty rynku.   

„Typowy współczesny biznes opiera się na infrastrukturze złożonej z tysięcy urządzeń, obejmujących nie tylko komputery stacjonarne, ale również własne gadżety pracowników oraz smartfony i laptopy firmowe. Kultura korporacyjna szybko się zmienia – pracownicy stają się coraz bardziej aktywni na forach społecznościowych oraz wykorzystują zasoby sieciowe jako sposób wymiany informacji firmowych. Zapewnia to większą elastyczność, a jednocześnie sprawia, że sieci są bardziej narażone na cyberprzestępczość. Dlatego koncentrujemy się na rozwoju skutecznych i łatwo zarządzanych rozwiązań bezpieczeństwa, które potrafią sprostać wymagania naszych czasów” – powiedział Aleksander Jerofiejew, dyrektor ds. marketingu w Kaspersky Lab.

Niejednolite zagrożenia

Badanie pokazuje, że cyberzagrożenia występują coraz częściej i stają się coraz bardziej różnorodne, stanowiąc większe niebezpieczeństwo niż kiedykolwiek wcześniej dla firm na całym świecie. Według połowy badanych cyberprzestępczość, w różnych formach, stanowi drugie największe zagrożenie dla biznesu. Ich firmy najczęściej padają ofiarą szkodliwego oprogramowania, spamu oraz nieautoryzowanych prób przeniknięcia do systemu. Co ważniejsze, respondenci przewidują, że w przyszłości obawy związane z tymi zagrożeniami wzrosną – przewyższając w ciągu najbliższych dwóch lat nawet strach związany z sytuacją gospodarczą.      

Nieprzygotowanie na cyberprzestępczość

Wyniki badania pokazują, że specjaliści IT są świadomi zagrożeń, jakie stanowi cyberprzestępczość. Jednak tylko 59% respondentów uważa, że w mniejszym lub większym stopniu są na nie przygotowani. Według badania, główny problem dotyczy pieniędzy: 44% respondentów wskazało na ograniczenia budżetowe, a 37% - na duży brak zrozumienia kwestii z zakresu bezpieczeństwa IT wśród osób odpowiedzialnych za budżet. Okazuje się, że głównym problemem dla specjalistów IT jest problem z przekonaniem kadry zarządzającej do tego, jak istotna jest ochrona korporacyjna przed cyberzagrożeniami.     

Badanie

W badaniu Global IT Security Risks, które zostało przeprowadzone w lipcu 2012 r., przyjrzano się opiniom ekspertów ds. bezpieczeństwa IT na całym świecie na temat głównych problemów w tej sferze. W ramach badania swoje opinie przedstawiło 3 300 starszych ekspertów IT z 22 państw na świecie. Wszyscy respondenci aktywnie uczestniczą w procesach podejmowania decyzji, w tym w sferze bezpieczeństwa IT.   

Mimo dużej świadomości potrzeb takich działań tylko kilkanaście procent organizacji posiada procedury na wypadek utraty danych (Disaster Recovery),  aż 25 % prowadzi backup „ręczny” bez dedykowanego oprogramowania, natomiast aż 10% instytucji powierza stałe wykonywanie backupu danych „przypadkowemu” pracownikowi np. sekretarce lub księgowej.

„Wyniki ankiety powinny być sygnałem ostrzegawczym i motywacją dla podjęcia działań dla osób odpowiedzialnych za bezpieczeństwo strategicznych danych i zapewnienie ciągłości działania w firmach czy urzędach. Prawie wszyscy ankietowani wykazali się dużą świadomością potrzeby backupu danych. Jednak kolejne pytania odkrywały, że są to działania często pozorne. Nie zapewniają one realnego bezpieczeństwa danych i ciągłości pracy systemów w sytuacjach krytycznych dla organizacji.” – mówi Paweł Mączka, Dyrektor Działu Technicznego Pamięci Masowe & Systemy Bezpieczeństwa Danych  w Infonet Projekt.

• Mimo, faktu że przytłaczająca większość ankietowanych instytucji prowadzi backup danych i uważa że odpowiednio zabezpiecza dane w nadzorowanych systemach (ponad 90% instytucji publicznych i  99 % firm) po analizie stosowanych rozwiązań i procedur okazuje się w większości przypadków nie gwarantują one pełnego bezpieczeństwa danych. Zaniedbania mogą doprowadzić nawet do utraty strategicznych danych dla firm albo też dla instytucji publicznych jak np. szpitali, które muszą przechowywać dokumentację chorobową pacjentów.
• Już pytanie dotyczące procesu prowadzenia backupu wskazuje, że  tylko 3/4 ankietowanych (72% instytucji publicznych,  78 % firm) wykorzystuje do tego dedykowane oprogramowanie zapewniające prawidłowe i systemowe prowadzenie tego procesu. Oznaczać to może, że ponad 25% badanych firm i urzędów stosuje np.  „ręczne” sposoby i metody prowadzenia backupu. Takie podejście sprawia, że nie tylko pozostawiają one backup na „łaskę dobrej pamięci” opiekunów, ale także rezygnują z zalet jakie daje automatyka oraz unifikacja procesu backupu.
• Kolejnym bardzo istotnym brakiem jest powierzanie opieki nad tymi systemami pojedynczej osobie.
• W badaniu ankietowani wskazali, że zdecydowana większość instytucji powierza odpowiedzialność za rotację taśm jednej osobie. Jest to wewnętrzny lub zewnętrzny administrator IT (86% instytucji publicznych,  79 % firm). Jednak to co jest bardziej niepokojące to fakt, że ponad  10% ankietowanych deklaruje, że backup danych wykonuje przypadkowa osoba. Jest to najczęściej pracownik biurowy lub działu księgowości, który został jedynie zapoznany z procesem i wykonuje go bez stałego nadzoru.
• Jednym z najbardziej niepokojących wskazań ankiety jest brak opisanych procesów oraz procedur związanych z bezpieczeństwem danych, czyli Disaster Recovery. Jak pokazują przeprowadzone wywiady, taka sytuacja występuje aż w 84% ankietowanych firm prywatnych i ponad 81% instytucji publicznych. Tym samym w przypadku awarii instytucje te pozbawione są procedur i polityk, które pozwolą na szybkie wznowienie działania infrastruktury, systemów i aplikacji IT oraz dostępu do danych krytycznych dla działalności instytucji. Taka sytuacja jest szczególnie niebezpieczna dla przedsiębiorstw prywatnych, gdzie dostęp do danych i możliwość prowadzenia biznesu jest kluczowa dla ich istnienia. 
• Odpowiedzi ankietowanych podmiotów wskazują wyraźne, że wbrew oczekiwaniom rynku i zapowiedziom analityków, większość instytucji – ponad 3/4 podmiotów (74% instytucji publicznych,  83 % firm) prowadzi nadal tradycyjny backup na taśmach (metoda Disk to Tape).

„Taka sytuacja może dziwić bo zdaniem ekspertów taśmy powinny być dzisiaj traktowane głównie jako archiwum a nie nośnik, do którego się często sięga albo którzy wykorzystuje się do codziennego backupu danych. Na szczęście widzimy, że coraz więcej firm zmienia swoje polityki zakupowe  rezygnując ze składowania danych na taśmach, wybiera metodę disk to disk (D2D), wykorzystując przy tym deduplikację danych.  Przy tym podejściu, nośnik taśmowy jest traktowany  jako dodatkowa kopia bezpieczeństwa.  Właśnie w odpowiedzi na te potrzeby wprowadziliśmy  w naszej ofercie urządzenie TSMbox, pierwszy na polskim rynku backup appliance, w całości bazujący na komponentach IBM, który jest gotową do użycia platformą do backupu danych. – ocenia Paweł Mączka.

Badanie przeprowadzone na zlecenie Infonet Projekt S.A., firmy specjalizującej się w audytach bezpieczeństwa i dostarczaniu rozwiązań do backupu oraz archiwizacji danych, objęło grupę ponad 300 decydentów odpowiedzialnych za kwestie IT. Wśród przebadanych były zarówno instytucje z sektora publicznego (urzędy samorządowe i inne instytucje komunalne np. szpitale) oraz prywatnego  (głównie małe i średnie firmy).