Niekoniecznie bezpiecznie
Rok temu branża IT zachłysnęła się nadzieją na zyski, które miały popłynąć z segmentu MSP. Po 11 września producenci i dystrybutorzy zabezpieczeń sieci zatarli ręce. Resellerzy i integratorzy dużo ostrożniej podeszli do zapowiadanej hossy na rynku bezpieczeństwa. I jak czas pokazał, mieli rację.
Małe i średnie przedsiębiorstwa nie tylko rzadko korzystają z produktów chroniących dane przed nieautoryzowanym dostępem czy kradzieżą, ale również dość nieufnie podchodzą do produktów związanych z archiwizacją danych. Według wielu producentów wydarzenia z 11 września minionego roku wpłynęły na zwiększenie popularności oprogramowania i sprzętu zabezpieczającego sieci. I sprzedaż rzeczywiście wzrosła, ale… grubo poniżej oczekiwań.
Polska rzeczywistość
Chociaż brak badań na ten temat, powszechnie przyjmuje się, że polskie firmy w porównaniu z pochodzącymi z krajów UE bardzo rzadko wykorzystują rozwiązania chroniące dane. Dotyczy to przede wszystkim firm z segmentu MSP.
– Gdyby menedżerowie traktowali potrzebę ochrony informacji choćby jako zło konieczne, byłby to już ogromny sukces – mówi właściciel jednej z warszawskich firm integracyjnych. – Na ogół jednak klient nam mówi, że problem go nie dotyczy, ponieważ dotąd sieć działała bez zarzutu, nikt jej nie atakował, a wirusy były usuwane natychmiast po infekcji.
Błędem byłoby jednak sądzić, że o skromnych budżetach informatycznych, przeznaczonych na zakup rozwiązań chroniących sieć, decyduje tylko brak pieniędzy. Zdecydowana większość firm zaczyna interesować się bezpieczeństwem danych dopiero wówczas, gdy ich sieć zostanie zaatakowana bądź ulegnie awarii. W takich przypadkach pieniądze znajdują się błyskawicznie.
Wewnętrzny wróg
Według IDC około 80 proc. danych jest przechowywane na firmowych pecetach. Ponad połowa przypadków utraty danych spowodowana jest przez niewłaściwe wykorzystywanie sprzętu komputerowego przez niewyszkolonych pracowników (takie wnioski wynikają z badań przeprowadzonych przez Interpol, których wyniki zostały potwierdzone przez analityków zajmujących się rynkiem IT). Niewyszkoleni pracownicy nie przywiązują także wagi do ochrony danych. Powoduje to, że około 80 proc. ataków na sieci komputerowe przedsiębiorstw pochodzi właśnie z wewnątrz firmy i dotyczy komputerów PC (informacje podane przez polski oddział Computer Emergency Response Team).
Według integratorów zakupy produktów chroniących sieci najczęściej nie są poprzedzone analizą potrzeb. Na dodatek bywa że z kupnem produktów nie idzie w parze przeszkolenie pracowników. Dlatego, jeśli nawet średniej wielkości firma jest właściwie zinformatyzowana, jej pracownicy nie są odpowiednio przeszkoleni. Wynika to z braku polityki bezpieczeństwa w przedsiębiorstwie, która obejmuje m.in. zasady postępowania w przypadku awarii systemu, utraty danych, ataku wirusów. Zdaniem naszych rozmówców w każdej firmie powinien pracować tzw. oficer ds. bezpieczeństwa, jednak w przypadku większości skończyło się to na planach.
Polscy przedsiębiorcy brak polityki bezpieczeństwa próbują uzasadnić… brakiem norm unijnych, dostosowanych do polskich warunków. Tymczasem i w UE, i w Polsce od kilku lat obowiązuje norma brytyjska BS 7799 (patrz: ramka) i jej 'kontynentalna’ wersja ISO 17799. Integrator, szacując poziom bezpieczeństwa u klienta, najczęściej powinien porównać stan sieci, model działania firmy z wzorcowym, opisanym w tychże normach. Sprawdza w ten sposób wszystkie aspekty ochrony informacji i systemów komputerowych. Wymienione normy znajdują zastosowanie w przypadku kontroli sieci w przedsiębiorstwach przemysłowych, instytucjach finansowych, firmach telekomunikacyjnych i handlowych oraz jednostkach administracji publicznej. Wynikające z analiz wnioski mogą posłużyć między innymi do stworzenia polityki bezpieczeństwa, planów awaryjnych i utrzymania ciągłości działania firmy, określenia zasobów niezbędnych do przywrócenia prawidłowego funkcjonowania firmy po awarii czy ataku wirusów.
Wielka prowizorka
Nasi rozmówcy wskazują, że wciąż w większości wypadków o wyborze produktu decydują samodzielnie administratorzy bądź dyrektorzy działu IT. Rzadko można trafić na 'uświadomione’ przedsiębiorstwa, w których tego typu decyzje podejmuje zarząd po konsultacjach ze specjalistami i uwzględniając potrzeby działu IT. Dyrektorzy IT (w mniejszych przedsiębiorstwach najczęściej administratorzy sieci) mają przyznane bardzo skromne budżety. Są więc zmuszeni wybierać rozwiązania najtańsze, a co za tym idzie, nie zawsze zaspokajające potrzeby firm.
Zdarza się, że administrator, by mniej wydać, kupuje firewall software’owy, zamiast sprzętowego. Kieruje się przy tym pozytywnymi ocenami prasy branżowej. Po miesiącu okazuje się jednak, że to rozwiązanie nie wystarcza. I tak musi kupić rozwiązanie sprzętowe.
– Wystarczyłoby skonsultować się z firmami integracyjnymi – mówi Jarosław Kalipski, wiceprezes jednej z krakowskich firm integracyjnych. – Na krótką metę działanie pod presją oszczędności pozwala uniknąć wysokich wydatków, często jednak prowadzi do tego, że wybiera się firmę najtańszą, która sztucznie obniża cenę usługi. Później się okazuje, że firma ta podawała takie informacje, które umożliwią jej wygranie przetargu, a wdrożenie trwa nie dwa tygodnie tylko kilka miesięcy. Tego typu przypadki są coraz częstsze, desperacja niektórych firm jest niewyobrażalna. Szkoda, bo psuje to obraz branży.
Miej świadomość
Z licznych rozmów, które przeprowadziliśmy z integratorami, wynika, że nawet najlepsze zabezpieczenia nie wystarczą, jeśli użytkownicy nie będą świadomi zagrożeń utratą danych.
– Jeżeli pracownicy nie będą przestrzegać założeń polityki bezpieczeństwa, nie pomoże specjalistyczne oprogramowanie skanujące sieć, złożone aplikacje antywirusowe czy też firewalle – mówi Jarosław Kalipski. – Nawet najlepsze rozwiązania szyfrujące stają się niepotrzebne, jeśli pracownicy firmy będą przyklejali karteczki z hasłami systemowymi do monitorów, a sam byłem świadkiem, że zdarza się to nawet w bankach.
Niezbędna jest poprawnie skonstruowana i co najważniejsze przestrzegana przez wszystkich pracowników polityka bezpieczeństwa. Zarząd firmy ma obowiązek wskazania osób bądź działów w firmie odpowiedzialnych za jej realizację, przygotowanie procedur postępowania w przypadku sytuacji awaryjnych itp. Z polskiej praktyki wynika, że polityka bezpieczeństwa opiera się jednak na zasadzie gaszenia pożaru. Jeżeli coś nie działa, jest naprawiane.
– Wszyscy muszą zrozumieć, że profilaktyka jest ważniejsza od leczenia – mówi jeden z naszych rozmówców. – Niewłaściwy stosunek do ochrony danych naprawdę może drogo kosztować.
Pomysł goni pomysł
Niektórzy przedstawiciele branży wskazują, że przyczyną nieistnienia polityki bezpieczeństwa w firmach jest brak odpowiednich ustaw i rozporządzeń regulujących kwestie sprzętu i oprogramowania, które powinno chronić sieci.
– Tylko klarowne reguły prawne uporządkowałyby rynek – mówi jeden z nich. – Skończyłaby się wolna amerykanka, firmy musiałyby inwestować w zabezpieczenia i to takie, które stoją na najwyższym poziomie.
Przeciwnicy tej koncepcji twierdzą, że stanowienie prawa dotyczącego bezpieczeństwa informatycznego jest procesem zbyt długim i zbyt skomplikowanym, a ponadto nieskutecznym. Nie można także ustalić standardu rozwiązań chroniących sieci. Przedsiębiorstwom zaś, które nie mają środków na przeszkolenie pracowników czy inwestycje związane z bezpieczeństwem, radzą skorzystać z pomocy Polskiej Agencji Rozwoju Przedsiębiorczości. Przypomnijmy, że firmy z segmentu MSP mogą ubiegać się o dotacje szkoleniowe, które będą przeznaczone na finansowanie szkoleń z zakresu zarządzania, marketingu i sposobów wykorzystania informatyki. PARP proponuje im także zwrot części kosztów usług doradczych i szkoleniowych, obejmujących projektowanie i wdrożenia potwierdzonych certyfikatem systemów zarządzania jakością, środowiskiem lub bezpieczeństwem.
Podobne artykuły
Mongo DB: zarządzanie bazą danych w chmurze
Tradycyjne podejście do przetwarzania danych w przypadku systemów zarządzania relacyjną bazą danych nie we wszystkich przypadkach jest najbardziej optymalne. Konieczność przechowywania coraz bardziej rozbudowanych i skomplikowanych danych, oraz próba ich opisania w postaci tabel i relacji może prowadzić do wolnych wielotabelowych zapytań i rozrośniętych indeksów. W niektórych przypadkach, zamiast korzystać z narzędzia uniwersalnego, warto sięgnąć po system specjalistyczny. Jednym z takich systemów oferowanych w CloudPortal jest nierelacyjny system zarządzania bazą danych MongoDB.
Mechanizmy wysokiej dostępności relacyjnych baz danych w CoudPortal.pl
Wszystkie aplikacje udostępnianie w CloudPortal ze względu na elastyczną architekturę platformy w dużym stopniu wykorzystują dodatkowe usługi. Rozproszone systemy plików, bazy SQL i NOSQL, usługi kolejkowania, pamięci podręczne sesji i wiele innych mają zagwarantować szeroką gamę możliwości dla tworzonych i udostępnianych przez platformę rozwiązań.
Aplikacje Ruby na platformie CloudPortal
CloudPortal jest elastyczną platformą PaaS, która umożliwia tworzenie i utrzymywanie w jednym środowisku aplikacji przygotowanych w najpopularniejszych językach programowania i korzystających z szerokiej gamy usług. Jednym ze wspieranych środowisk uruchomieniowych jest konfiguracja wspierająca aplikacje Ruby, Rack, Rails i Sinatra.