Program forum został nie tylko rozbudowany, ale i podzielony na dwa panele: biznesowy i warsztatowy. Eksperci wzięli tym razem pod lupę  problematykę zarządzania złożonymi strukturami teleinformatycznymi i rosnącymi na niespotykaną dotąd skalę zasobami krytycznych danych. Szczególnej analizie poddano trend Bring Your Own Device. Na warsztatach technicznych inżynierowie dzielili się z uczestnikami tym, co najcenniejsze – własnymi doświadczeniami z przeprowadzonych wdrożeń. 

Prezentując rozwiązania IT należy uwzględnić dwa aspekty: biznesowy i techniczny – powiedziała Anna Styrylska, dyrektor marketingu w Veracompie. – Dla właścicieli, decydentów i managerów ważne są zagadnienia związane z rolą IT w firmie – w jaki sposób rozwiązania IT wpływają na poprawę funkcjonowania, redukcję kosztów czy budowę wizerunku. Innej wiedzy – technologicznej – potrzebują osoby, które są odpowiedzialne za wdrożenie i zarządzanie systemami informatycznymi. Dlatego FORTiB podzieliliśmy na dwa panele aby zaspokoić potrzeby obu grup.

Anna Styrylska dodała, że zainteresowanie konferencją rośnie z roku na rok.  W 2011 w spotkaniach FORTiB wzięło udział 150 osób, w ubiegłym już 350, natomiast w bieżącym prawie 400. Veracomp spodziewa się, że przyszłoroczna edycja spotka się z jeszcze większym odzewem.

BYOD – kłania się prawo

Mirosław Brzezicki, radca prawny Veracompu przybliżył słuchaczom aspekty prawne związane z używaniem do zadań służbowych prywatnych urządzeń mobilnych. BYOD to trend wygodny dla pracownika i korzystny dla pracodawcy – pod warunkiem, że podejdzie on do niego rozmyślnie i ureguluje kwestie prawne związane z dopuszczeniem do firmowej infrastruktury IT tego rodzaju sprzętu.
– Jeśli tego nie zrobimy – tłumaczył specjalista – w jakiejkolwiek sytuacji spornej niemożliwe będzie wyciągnięcie konsekwencji w stosunku do pracownika.
Mirosław Brzezicki poleca więc zarządzającym i informatykom odpowiedzialnym za bezpieczeństwo IT przedsiębiorstwa lub instytucji skorzystanie z pomocy prawników we wprowadzeniu odpowiednich zapisów do umowy o pracę. Warto też przygotować odrębne umowy, szczegółowo regulujące kwestie związane z wykonywaniem obowiązków za pomocą prywatnych urządzeń, umowę o poufności informacji i odpowiednie zapisy w regulaminie pracy. Niezbędne jest uwzględnienie BYOD w polityce bezpieczeństwa organizacji. Prawnik poleca też ustalenie ekwiwalentu pieniężnego dla pracownika za wykorzystywanie prywatnego urządzenia, tym bardziej, że nie zwiększa on obciążeń związanych z ZUS-em czy podatkami.
Specjalista podkreślił też, że w dzisiejszych systemach IT właściwie niemożliwe staje się oddzielenie treści prywatnych od służbowych. Dlatego, jeśli pracodawca chce mieć możliwość zabezpieczania danych służbowych na sprzęcie podwładnego, czyli, de facto, ingerowania w ten sprzęt, musi uzyskać na to zgodę właściciela.

Zabić w sobie Mamonia!
Wystąpienie Grzegorza Szałańskiego, product managera w Veracompie, dotyczyło metody oceny rozwiązań zabezpieczających przed ich zakupem. Specjalista zwrócił uwagę, że odpowiedzialni za wybór kierują się przede wszystkim funkcjonalnością rozwiązań, wydajnością i kosztem utrzymania oraz posiadanym budżetem. Wśród tych niewątpliwie ważnych kryteriów często brakuje oceny rzetelności rozwiązania, lub spychana jest ona na sam koniec. Rzetelność – to kryterium względne, niemniej ważne jest, aby wypracować metodę jego oceny. Pomóc w tym mogą testy prasowe, przyznane certyfikacje i reputacja rynkowa rozwiązania.
Żadne jednak z tych trzech kryteriów nie działa w oderwaniu od pozostałych – tłumaczył specjalista, uświadamiając następnie słuchaczom, jak racjonalnie podchodzić do publikacji prasowych opisujących wyniki testów rozwiązań, jak wykorzystywać w pracy informatyka analizy rynkowe firm badawczych i co trzeba wiedzieć o przyznanych rozwiązaniu certyfikatach, którymi chwalą się producenci. Certyfikacja zdaniem prelegenta to jedyny dobry wyznacznik tego czy coś jest solidne, czy nie.
– Jeśli mamy rozwiązania czterech vendorów, które mają ten sam certyfikat, to na pewno były certyfikowane w taki sam sposób – mówił Szałański. Zachęcał także do przeprowadzania własnych testów urządzeń. – Zawsze jednak musi brać w nich udział certyfikowany specjalista – tłumaczył. – W przeciwnym razie będziemy testować tylko to, co znamy i lubimy. W każdym z nas tkwi inżynier Mamoń, któremu  podobają się melodie, które już raz słyszał. Osoba z zewnątrz może nam otworzyć oczy na nowe i przydatne dla nas funkcje.

Deduplikacja dla zbieraczy danych
Ludzie mają syndrom kolekcjonera – oznajmił Jacek Legut, dyrektor handlowy w Veracompie. – Nasza skłonność do gromadzenia nie omija również danych cyfrowych.
Słuchacze dowiedzieli się między innymi, że na świecie 90 proc. cyfrowych danych zostało stworzonych w ciągu ostatnich dwóch lat – przez użytkowników prywatnych i firmy. Pamięć masowa wykorzystywana do ich przechowywania będzie coraz tańsza, ale nigdy nie darmowa.  Szacuje się, że dziś utrzymanie 1 terabajta to koszt około 1500 dol. – w tym jest zakup energii elektrycznej, dysków i administrowania pamięcią. Zarządzanie cyklem życia danych staje się więc wyzwaniem.
Dlatego, jak przekonywał przedstawiciel Veracompu, warto poważnie rozważyć deduplikację,  jako sposób na poradzenie sobie z dużym przyrostem informacji w środowiskach IT.
Aż 70 proc. danych jest zduplikowanych – mówił Jacek Legut. – W dodatku nie są używane dłużej niż przez 90 dni. A do 2020 roku, według IDC, ilość informacji cyfrowych będzie 44 razy większa niż w 2009.
Dla kogo jest deduplikacja? Zdaniem specjalisty – dla każdego. Jakie korzyści przynosi? Radykalne zmniejszenie ilości danych przez eliminowanie powtarzających się części w ich zbiorze, zmniejszenie okna backupowego, jednolite działanie zarówno w środowiskach fizycznych jak i wirtualnych, zmniejszenie ryzyka związanego z tym co wykasować, a czego nie. Ostatnią korzyść Legut szczególnie podkreślił: jeśli zapytamy prawnika, co wyrzucić z danych, które przechowujemy w firmie, najprawdopodobniej odpowie, że nic. W końcu nigdy nie wiadomo, co może się przydać w przyszłości. Przy zastosowaniu deduplikacji, nie trzeba będzie tego pytania zadawać.

Zabezpieczanie urządzeń mobilnych
Analitycy z laboratoriów FortiGuard zwracają uwagę, że obecnie na rynku jest więcej telefonów komórkowych niż komputerów stacjonarnych. Użytkownicy odchodzą od tradycyjnych platform – wolą mniejsze od nich smartfony i tablety. Według FortiGuard w nadchodzącym roku będziemy świadkami przyspieszonego wzrostu złośliwego oprogramowania dla urządzeń mobilnych.
Dzisiejsze zagrożenia, jak mogli się dowiedzieć słuchacze Michała Króla, product managera marki Sophos w Veracompie, pochodzą głównie z Internetu, dotyczą danych, tożsamości, finansów. Są ukierunkowane, dyskretne i produkowane na masową skalę. To oznacza, że proces tworzenia narzędzi, które zagrażają naszym urządzeniom mobilnym, a więc ostatecznie nam – użytkownikom – jest bardzo prosty.
Aby mieć na uwadze wszystkie potrzeby związane z bezpieczeństwem mobilnym trzeba, według Michała Króla, zastosować antywirusa (który dziś jest produktem dużo bardziej złożonym niż kiedyś), system DLP, lokalizator, szyfrować dyski twarde i nośniki, stosować politykę wymuszania silnych haseł oraz zarządzanie typu Mobile Device Management.

Bezpieczeństwo w obcych rękach?!
60 proc. firm z sektora MSP korzysta z outsorcingu IT – powiedział słuchaczom Kamil Krzywicki, pracujący w Veracompie na stanowisku product managera. Najczęściej opierają się na nim przedsiębiorstwa średnie, zatrudniające od 50 do 249 osób.
Czy bezpieczeństwo IT również można oddać w ręce zewnętrznej firmy?
W kontekście antywirusa, jak najbardziej – przekonywał Krzywicki. Oprogramowaniem antywirusowym zazwyczaj zarządza się dzisiaj lokalnie – kupując licencje i infrastrukturę. Co może zrobić  firma zewnętrzna, która dysponuje dostępem do urządzeń końcowych w przedsiębiorstwie klienta? Zarządzać subskrypcjami, przeprowadzać audyty bezpieczeństwa, monitorować raporty, analizować zagrożenia i wiele więcej. 
IT Security nie stanowi podstawowego elementu biznesu, ale jest kluczowe dla bezpieczeństwa całego systemu informatycznego firmy – powiedział prelegent. – W czasach, gdy nowe zagrożenia pojawiają się non stop, warto skorzystać z usług zewnętrznych specjalistów.

Partnerami technologicznymi konferencji były firmy: F-Secure, Fortinet, Infoblox, NetIQ, Novell, Quantum, Sophos, SUSE, Symantec i Veeam.

Patronat medialny nad wydarzeniem sprawował CRN Polska

IT Security: argumenty padają na podatny grunt

CRN Polska rozmawia z Grzegorzem  Szałańskim, product managerem w Veracompie

Dlaczego o bezpieczeństwie informatycznym w Polsce mówi się dużo więcej niż jeszcze dwa, trzy lata temu?
Czynników jest kilka. Mieliśmy w kraju spektakularne wpadki na gruncie rządowym i przedsiębiorstw, a po awanturze z ACTA mocno aktywował się w Polsce haktywizm.  Spowodowało to zarówno w Polsce jak i na świecie spore zainteresowanie mediów głównego nurtu. Włamania do systemów informatycznych różnych organizacji głośno się komentuje, wyjaśnia wykorzystane w nich mechanizmy, tłumaczy, dlaczego nastąpiły, na czyje zlecenie, a to bezpośrednio przekłada się na wzrost świadomości społecznej. Argumenty przemawiające za stosowaniem odpowiednich zabezpieczeń trafiają do coraz większego grona odbiorców – zarówno zwykłych konsumentów, przedsiębiorców, jak i administracji państwowej. Coraz wyraźniejsze jest odczucie, że działania cyberprzestępców mogą dotknąć każdego i spowodować naprawdę poważne straty. Mówiąc więc trochę metaforycznie: tematyka security wykroczyła poza technologie oraz biznes IT i dotknęła codziennego życia.

Jakie zadania stoją wobec tego przed partnerami Veracompu?
Partnerzy mają do spełnienia bardzo ważne zadanie w zakresie doradztwa technologicznego. Wielu ich klientów zatrzymało się w rozwoju zabezpieczeń swoich systemów informatycznych na etapie firewalla. Choć to się powoli zmienia, to jednak przekonanie, że firewall stanowi wystarczające antidotum na cyberataki jest nadal bardzo rozpowszechnione. Nadszedł natomiast czas na zastosowanie kolejnych warstw związanych z bezpieczeństwem – na systemy IPS, kontrolę aplikacji, uwierzytelnianie dwuskładnikowe czy też ochronę
aplikacji internetowych (np. sklepów, stron internetowych). W temacie bezpieczeństwa zawsze jest miejsce na budowanie świadomości klientów. O ile dzisiaj, dzięki takim urządzeniom wielofunkcyjnym jak UTM, spora liczba partnerów potrafi zaoferować naprawdę zaawansowaną technologię, która jest jednocześnie prosta w implementacji  (co ułatwia przejście z firewalla dalej), o tyle budowanie kolejnych warstw systemów bezpieczeństwa będzie coraz trudniejsze.

Jak poradzą sobie z tym integratorzy?
Nastąpi głębsza specjalizacja umiejętności poszczególnych firm IT w dziedzinie systemów bezpieczeństwa.

Czy ta wąska specjalizacja poszczególnych integratorów nie odbije się negatywnie na klientach?
Wydaje mi się, że klienci mogą tylko zyskać. W sprawach bezpieczeństwa informatycznego nie można sobie pozwolić na kompromis, zatem klient powinien szukać rozwiązań najlepszych producentów popartych doświadczeniem firm, które te rozwiązania skutecznie wdrażają. Doprowadzi to do sytuacji, w której firmy w ramach poszczególnych projektów będą łączyć siły w celu zbudowania jak najlepszej oferty. Już dzisiaj obserwujemy na rynku współpracę partnerów specjalizujących się np. w oferowaniu aplikacji pod klucz z firmami, które oferują infrastrukturę oraz zabezpieczenie specjalistycznymi systemami. 

Bardzo szybko zwiększa się konkurencja na rynku dostawców systemów bezpieczeństwa. Mocno atakują nowe firmy…
Na polskim rynku jest sporo wschodzących gwiazd – producentów, którzy oferują produkty będące na różnym etapie zaawansowania technologicznego. Każdy z nich operujący w segmencie security ma do bezpieczeństwa inne podejście, co w ściśle określonym środowisku może budować przewagę technologiczną. Zagęszczenie na rynku wymusza na producentach bardziej ambitną pracę nad oferowanymi systemami.

Czyli?
Przez ostatnie pięć lat urządzenia bardzo ewoluowały, przede wszystkim w kierunku realizacji kilku czy kilkunastu modułów ochronnych w ramach jednego rozwiązania. Dodawanie kolejnych technik jest związane m.in. z tym, że nowe firmy, które wchodzą na rynek, promują swoje pomysły. Trudno powiedzieć kiedy technika zewnętrznego skanowania (sandbox) weszłaby do szerszego użycia gdyby na rynku nie pojawiły się rozwiązania stricte bazujące na tej technologii. Dzisiaj tacy producenci, jak np. Fortinet, analizując wymagania rynkowe rozbudowali o taką opcję wszystkie urządzenia FortiGate. Klienci, którzy korzystają z tych urządzeń, po aktualizacji oprogramowania do wersji FortiOS 5.0 będą mogli rozszerzyć swoją politykę bezpieczeństwa również o taką analizę. Jest to niekwestionowana korzyść dla klientów.

Jak ta różnorodność dostawców wpływa na kanał?
Partnerzy, którzy dzisiaj aktywnie działają na rynku zabezpieczeń, z pewnością będą mogli uzupełnić ofertę o technologie do tej pory nie oferowane, a tym samym poszerzyć rynek swojego działania. Dotyczy to nowych na rynku producentów, ale przede wszystkim nowych produktów w ramach oferty firm, które już mają zbudowany kanał sprzedaży. Obserwujemy też silny trend, w którym rozwiązania adresowane do tej pory do największych klientów zaczynają być dostępne dla rynku SMB, co jest ogromną szansą dla partnerów pracujących w tym sektorze, ale i też dużym wyzwaniem.