2-5 minut

Znaczenie bezpieczeństwa danych

Żadne rozwiązanie nie zapewnia stuprocentowej ochrony danych, ale są strategie minimalizowania szkód w przypadku ataku wymierzonego przeciw firmie.

Dane są jednym z najcenniejszych zasobów przedsiębiorstwa — od nich zależy funkcjonowanie globalnej gospodarki oraz poszczególnych firm i instytucji. Dlatego lepiej nie zwlekać z przystąpieniem do dyskusji o bezpieczeństwie danych!

W 2015 roku wykradziono 707,5 mln rekordów danych[1]
62% specjalistów w dziedzinie IT nie wie dokładnie, gdzie ich firma przechowuje poufne dane [2]
27% firm deklaruje, że zasady polityki oraz procedury ochrony danych mają charakter nieformalny lub stosowane są rozwiązania doraźne; w 2014 roku było to 34% firm[3]

W większości współczesnych firm ilość danych rośnie w tempie 50% rocznie, podobnie jak liczba serwerów, która co roku zwiększa się o 20%. Za rozbudową centrum danych musi nadążać pojemność centrum zapasowego, a odzyskanie systemu po awarii nie jest już prostą sprawą. Błyskawiczne tempo wzrostu ilości danych jest jednym z głównych powodów, dla których środowiska IT stają się tak złożone, a zadania związane z tworzeniem kopii zapasowych należą do najmniej lubianych, a jednocześnie najważniejszych procedur w dziale IT.

Back up, back up, back up!

W 2015 roku liczba ataków z wykorzystaniem oprogramowania typu ransomware wzrosła o 165% w porównaniu z poprzednimi latami. Ransomware to złośliwy kod wykorzystujący zaawansowane algorytmy szyfrowania, który blokuje pliki systemowe i żąda okupu za udostępnienie klucza umożliwiającego odszyfrowanie zablokowanej zawartości — dane zostają dosłownie porwane dla okupu. W przypadku braku kopii zapasowej nie ma innego wyjścia, jak zapłacić żądaną kwotę. Backup umożliwia jednak wymazanie zawartości dysku, ponowne zainstalowanie systemu operacyjnego, przywrócenie danych i kontynuację pracy.

Gdzie przechowywać dane

Kopie zapasowe pozwalają zaoszczędzić koszty i lepiej zarządzać czasem. Istnieją różne metody sporządzania kopii zapasowych, takie jak:

Kopie lokalne, tworzone przez oprogramowanie zainstalowane na danym komputerze. W przypadku tego rozwiązania firma musi zatrudnić menedżera IT oraz dysponować wydajnym łączem z serwerem, co generuje dodatkowe koszty.
Kopie w chmurze publicznej. Przechowując dane w takim środowisku, nie trzeba inwestować w sprzęt ani oprogramowanie. Chmura zapewnia też większą elastyczność w przypadku zwiększenia się lub zmniejszenia zapotrzebowania na pojemność pamięci. To najtańsze rozwiązanie, ale w zależności od jego dostawcy właściciel danych może nawet nie wiedzieć, w jakim kraju są one przechowywane.
Kopie w chmurze prywatnej. To droższy sposób w porównaniu z chmurą publiczną, ale w tym przypadku jego dostawca odpowiada za sprzęt, aktualizacje itp., a właściciel danych dokładnie wie, gdzie się one znajdują.

Każde rozwiązanie w zakresie kopii zapasowych ma swoje zalety i wady. Zatem podejmując decyzję, gdzie przechowywać dane i ich kopie zapasowe, trzeba uwzględnić potrzeby w zakresie bezpieczeństwa nie tylko z punktu widzenia firmy, ale także jej klientów.

Utrzymanie ciągłości działalności dzięki strategii odzyskiwania systemu po awarii

Na wypadek poważnego, niepożądanego zdarzenia firmy powinny utrzymywać kompleksowe plany odzyskiwania systemów informatycznych po awarii. Gwarantują one, że mimo cyberataków, awarii sprzętu, huraganów, trzęsień ziemi czy innych klęsk żywiołowych można będzie utrzymać najważniejsze procesy i procedury biznesowe lub szybko je wznowić. Najważniejsze elementy planu odzyskiwania systemu po awarii to między innymi: ponowne uruchomienie serwerów lub komputerów mainframe z wykorzystaniem kopii zapasowych, wznowienie działania prywatnych central abonenckich i przywrócenie funkcjonowania sieci lokalnych zaspokajających najpilniejsze potrzeby w zakresie łączności w przedsiębiorstwie.

Zarządzanie cyklem życia informacji dla utrzymania reputacji

Firma jest pierwotnym użytkownikiem i właścicielem danych, dlatego ponosi wyłączną odpowiedzialność za właściwe zarządzanie informacjami w całym cyklu ich istnienia. Oznacza to konieczność zabezpieczenia danych, udostępniania ich na żądanie oraz utrzymania ich wartości. To samo dotyczy usuwania danych. Rezygnując z monitorowania sposobu, czasu i miejsca kasowania informacji, firma poważnie naraża na szwank budowany od dawna sukces i reputację.

Chcąc wyeliminować ryzyko szkód związanych z utratą danych i naruszeniem ich integralności, warto zacząć od wdrożenia poniższych wytycznych:

Kopie zapasowe i nadmiarowość: bez kopii zapasowej nie ma ochrony.

Zdaniem niektórych ekspertów kopie zapasowe powinny być sporządzane nawet w trzech formach: w czasie rzeczywistym oraz przyrostowo codziennie i co tydzień. Jedna z tych trzech kopii powinna znajdować się poza firmą, u dostawcy chmury, zaś dwie pozostałe należy przechowywać w dwóch różnych placówkach lub przynajmniej w dwóch różnych miejscach na terenie firmy. Kopie zapasowe nie powinny być podłączone do współużytkowanego dysku.
Ustanowienie zasady najmniej uprzywilejowanego dostępu:

zasadę tę można wdrożyć w całym ekosystemie informatycznym. Gwarantuje ona, że żadna osoba, zespół, proces (wirus komputerowy) ani złośliwy klient (haker) nie ma dostępu do wszystkiego. Do poszczególnych informacji dostęp mają tylko uprawnione osoby.
Szyfrowanie danych:

dane to nowy obszar obok sieci i systemów. Wrażliwe informacje muszą być szyfrowane u źródła, zanim zostaną przesłane do chmury. Ma to szczególne znaczenie dla zapewnienia bezpieczeństwa danych w chmurze.
Wybór zaufanego dostawcy centrum danych:

zaufany dostawca powinien stosować najwyższe standardy bezpieczeństwa i stabilności zdefiniowane przez Uptime Institute, do klasyfikacji Tier 3.

[1] Gemalto: „2015 — The Year Data Breaches Got Personal. Findings from breach level index”
[2] PwC: „2015 Information security breaches survey”
[3] EY: „Global Information Security Survey 2015”