Gaszenie pożarów
Sieci polskich firm są coraz lepiej chronione - wynika z rozmów z dystrybutorami i producentami rozwiązań zabezpieczających infrastrukturę IT. Nie ma się jednak z czego cieszyć, wciąż bowiem daleko im do standardów obowiązujących w zachodniej Europie. Największe braki dotyczą firmowej polityki bezpieczeństwa.
Nie ma badań na temat przestrzegania jej zasad w polskich firmach. Wiadomo jednak, że rodzime przedsiębiorstwa w porównaniu z amerykańskimi czy zachodnioeuropejskimi niezwykle rzadko mają opracowane zasady określające, co i w jaki sposób należy chronić. Zdaniem integratorów w sporej części dużych firm tworzy się politykę bezpieczeństwa, biorąc pod uwagę niemal wyłącznie cenę oferowanych na rynku urządzeń lub oprogramowania, bardzo rzadko – wartość przetwarzanych danych. Zdaniem specjalistów musi być odwrotnie.
– Punktem wyjścia powinna być przecież ocena ważności informacji – mówi Aleksander Czarnowski, prezes Avet INS. – Aby skutecznie ochronić dane klienta, trzeba się dowiedzieć, które są najważniejsze z jego punktu widzenia. Dopiero wówczas należy ustalić, co powinien kupić i za ile. Zazwyczaj okazuje się, że dysponuje zbyt małym budżetem.
Nie ulega wątpliwości, że duże polskie przedsiębiorstwa na ogół są dobrze zabezpieczone, zatrudniają przecież sztaby ludzi odpowiedzialnych za nieprzerwane funkcjonowanie infrastruktury IT. Często wysoką jakość zabezpieczeń wymusza na nich polskie prawo, m.in. ustawa o ochronie danych osobowych. Wpływ na szybkie podejmowanie decyzji przez dyrektorów IT dużych firm ma też na pewno świadomość konsekwencji awarii. Jak jest w mniejszych? Znacznie gorzej. W przypadku przytłaczającej większości o sposobach zabezpieczania sieci decyduje właściciel (kierując się wyłącznie względami ekonomicznymi) lub administrator sieci (na ogół dochodzący). Wybór rozwiązania przeważnie jest przypadkowy bądź związany z ceną. A powinny o nim decydować racjonalne przesłanki, lepiej wydać zawczasu więcej pieniędzy na oprogramowanie do backupu (to jeden z elementów polityki bezpieczeństwa) lub na aplikacje antywirusowe czy UPS-y.
Polityka polityką, kasa kasą
W skrócie: polityka bezpieczeństwa to zbiór zasad dotyczących ochrony danych w firmie oraz sposobów reagowania na sytuacje kryzysowe. Można ją tworzyć na podstawie norm, m.in. brytyjskiej BS 7799 i jej kontynentalnej wersji ISO 17799. W większości przypadków w małych firmach (w zasadzie niezależnie od specyfiki działalności, wyjątkiem są przedsiębiorstwa mające do czynienia np. z poufnymi danymi) wystarczy, by integrator posłużył się zdrowym rozsądkiem i nakłonił klienta do kupna odpowiednich zabezpieczeń. Fachowcy zajmujący się sprzedażą rozwiązań chroniących sieci zalecają, by najpierw oszacować stan bezpieczeństwa w firmie. Oznacza to, że należy porównać zabezpieczenia u klienta ze wzorcowym, opisanym w normach. Wnioski mogą posłużyć do stworzenia polityki bezpieczeństwa: opracowania planu utrzymania ciągłości działania firmy i wyboru sposobów przywrócenia prawidłowego jej funkcjonowania po awarii czy ataku wirusów. Tyle mówi teoria. Praktyka dowodzi, że w przypadku małych czy nawet średnich przedsiębiorstw można zapomnieć o większości założeń wzorcowych i wybrać wariant minimum.
– Ochrona danych i systemu informatycznego w większości niewielkich firm ogranicza się do zakupu oprogramowania antywirusowego i instalacji firewalla – mówi Aleksander Czarnowski. – Takie podejście nie wynika ze skromnych budżetów informatycznych, ale z niewiedzy i braku wyobraźni kadry zarządzającej. Pieniądze znajdują się zawsze wówczas, gdy coś przestanie działać, firma straci dane albo pojawi się inny, nieoczekiwany problem.
Polityka bezpieczeństwa to nie tylko rozwiązania chroniące sieci przed wirusami, trojanami czy dostępem nieautoryzowanych osób z zewnątrz. Obejmuje ochronę wielu elementów infrastruktury IT przed awariami, chociażby przed wyłączeniem sieci spowodowanym spadkiem napięcia w gniazdkach. Duże firmy już dawno zaopatrzyły się w UPS-y, małe nader często nawet nie wiedzą o ich istnieniu. Resellerzy przy okazji sprzedaży rozwiązań zabezpieczających sieci przed wirusami powinni zwracać uwagę, czy w firmie jest UPS. Oczywiście zasada ta działa także w drugą stronę. Wniosek z tego jeden: na szeroko pojętym bezpieczeństwie można zarabiać. Szczególnie, że polskie firmy wydają coraz więcej na IT.
– Właściciele małych i średnich przedsiębiorstw zaczynają inwestować w ochronę sieci – mówi Piotr Kaszyca, szef polskiego biura RSA Security. – Do tej pory motorem rynku były duże firmy, instytucje finansowe, operatorzy telekomunikacyjni. Teraz sprzedaż napędzają polskie przedsiębiorstwa i to te niezbyt duże.
Liczą na nie również integratorzy, bo spory procent średnich firm ma od lat zaniedbywaną infrastrukturę IT. Są często restrukturyzowane i jednym z pierwszych kroków nowych właścicieli jest wymiana sprzętu oraz oprogramowania. Dobrymi klientami są na pewno samorządy i administracja państwowa, które nie dysponują może dużymi środkami, ale zazwyczaj płacą na czas. Ciekawe, że według integratorów specjalizujących się we wdrażaniu rozwiązań chroniących sieci w polskich firmach coraz częściej przestaje się działać pod presją oszczędności. Widocznie menedżerowie zrozumieli, że starając się uniknąć wysokich wydatków, często wybiera się firmę najtańszą, która sztucznie obniża cenę usługi.
Grunt to ludzie
Według IDC około 80 proc. ataków na sieci przeprowadzanych jest od wewnątrz. Oznacza to między innym, że za stratę danych i awarie sieci odpowiadają pracownicy. Dlaczego? Ponad 80 proc. informacji przechowuje się na firmowych pecetach, około 50 proc. przypadków utraty danych spowodowanych jest zaś przez niewłaściwe wykorzystywanie sprzętu komputerowego. Wyniki te potwierdzają integratorzy. Według nich nawet najlepsze zabezpieczenia nie wystarczą, gdy użytkownicy nie będą świadomi zagrożeń.
– Jeżeli pracownicy nie będą przestrzegać założeń polityki bezpieczeństwa, nie pomogą nawet najlepsze produkty – mówi Piotr Kaszyca. – Najnowocześniejsze rozwiązania szyfrujące są bezużyteczne, kiedy pracownicy przyklejają karteczki z hasłami systemowymi do monitorów. Integratorzy powinni szkolić załogi swoich klientów, którzy nie będą mieli problemu ze środkami na kursy, wystarczy, że skorzystają z funduszy unijnych.
Wzrost sprzedaży produktów chroniących sieci przed 'wewnętrznym wrogiem’ zauważa także Robert Żelazo, szef polskiego oddziału Check Point.
– Ataki na firmy stają się coraz niebezpieczniejsze – mówi. – Nic dziwnego, że przedsiębiorcy chcą się przed nimi uchronić, zarówno przed zagrożeniami od zewnątrz, jak i od wewnątrz.
Świadoma kadra zarządzająca to jednak nie wszystko. Kierownictwo firmy ma obowiązek wskazać osobę bądź grupę osób odpowiedzialnych za przygotowanie procedur postępowania w przypadku sytuacji awaryjnych i ich późniejszą realizację. Zdaje to egzamin w większych firmach, niemal całkowicie zawodzi w mniejszych. Niewielu przedsiębiorców stać bowiem na zatrudnienie pracowników, którzy będą odpowiedzialni wyłącznie za przestrzeganie polityki bezpieczeństwa. Szczególnie, że dane firmowe nie są zbyt cenne i trudno sobie wyobrazić, by stały się łakomym kąskiem dla hakera. Dla większości właścicieli małych firm jedynym zagrożeniem wydają się wirusy, tzw. złośliwe kody oraz awarie sprzętu. W takich przypadkach polityka bezpieczeństwa ogranicza się do 'gaszenia pożaru’ i łatania dziur.
Podobne artykuły
Mongo DB: zarządzanie bazą danych w chmurze
Tradycyjne podejście do przetwarzania danych w przypadku systemów zarządzania relacyjną bazą danych nie we wszystkich przypadkach jest najbardziej optymalne. Konieczność przechowywania coraz bardziej rozbudowanych i skomplikowanych danych, oraz próba ich opisania w postaci tabel i relacji może prowadzić do wolnych wielotabelowych zapytań i rozrośniętych indeksów. W niektórych przypadkach, zamiast korzystać z narzędzia uniwersalnego, warto sięgnąć po system specjalistyczny. Jednym z takich systemów oferowanych w CloudPortal jest nierelacyjny system zarządzania bazą danych MongoDB.
Mechanizmy wysokiej dostępności relacyjnych baz danych w CoudPortal.pl
Wszystkie aplikacje udostępnianie w CloudPortal ze względu na elastyczną architekturę platformy w dużym stopniu wykorzystują dodatkowe usługi. Rozproszone systemy plików, bazy SQL i NOSQL, usługi kolejkowania, pamięci podręczne sesji i wiele innych mają zagwarantować szeroką gamę możliwości dla tworzonych i udostępnianych przez platformę rozwiązań.
Aplikacje Ruby na platformie CloudPortal
CloudPortal jest elastyczną platformą PaaS, która umożliwia tworzenie i utrzymywanie w jednym środowisku aplikacji przygotowanych w najpopularniejszych językach programowania i korzystających z szerokiej gamy usług. Jednym ze wspieranych środowisk uruchomieniowych jest konfiguracja wspierająca aplikacje Ruby, Rack, Rails i Sinatra.