Nowy model przetwarzania danych w firmie

Z punktu widzenia bezpieczeństwa utrzymywanie rozdziału środowisk przetwarzania danych na centrum i stacje robocze nie przystaje do modelu, który ewoluuje w kierunku rozproszenia.

Poważnym problemem, z którym borykają się dzisiaj przedsiębiorstwa, jest coraz większa ilość gromadzonej i przetwarzanej informacji. Skłania to do zwracania coraz większej uwagi na jak najlepsze wykorzystanie przestrzeni składowania danych i optymalizację, opartą o skrupulatną analizę firmowych potrzeb. "Ilość informacji rośnie lawinowo, a wobec kryzysu nie możemy sobie pozwolić na powiększanie zasobów pamięci bez ograniczeń" - mówi Grzegorz Stępniak, dyrektor Pionu Informatyki w spółce Gaz System. Duża ilość danych nie tylko podnosi koszty, ale powoduje wydłużenie standardowych operacji. "Danych jest tak dużo, że niektóre zadania zaczynają wykraczać poza zaplanowany czas wykonania, pomimo mocnych serwerów" - podkreśla Marek Ujejski, zastępca dyrektora Departamentu Informatyki w NFZ. Na dodatek, przyrost danych nie jest równoznaczny z poprawą ich jakości. Zdaniem Adama Tomkiewicza z firmy Philips Polska, ilość naprawdę niezbędnych informacji przyrasta tylko nieznacznie. Coraz wydajniejsze systemy backupu umożliwiają archiwizację wszystkich danych, ale z punktu widzenia efektywności ich wykorzystania nie jest to najlepsze rozwiązanie. Wyjściem może być optymalizacja sposobów przechowywania danych i dostępu do nich.

Połączyć dwa światy

W takiej sytuacji nie lada wyzwaniem staje się połączenie mechanizmów sprawnego dostępu do rosnących zasobów danych z jednoczesnym zachowaniem bezwzględnych wymogów bezpieczeństwa. Historycznie, zagadnienia bezpieczeństwa i dostępności traktowano rozłącznie. Dzisiaj jednak tradycyjne podziały: serwerownia - stacja robocza, bezpieczeństwo - dostępność, zaczynają się zacierać i prawdopodobnie proces ten będzie postępował coraz szybciej. "Nowe zagrożenia, konsumeryzacja oraz cloud computing zmienią departamenty IT nie do poznania. Działy bezpieczeństwa i odpowiedzialne za zapewnienie dostępności będą ze sobą ściślej współpracować" - zwraca uwagę Piotr Chrobot, dyrektor Symantec Polska. Podział IT na część odpowiedzialną za przetwarzanie i ciągłość działania i część chroniącą przed zagrożeniami jest co prawda nadal silnie zakorzeniony w polskich firmach, ale widać już wyraźny trend do ujmowania tych obszarów w jedną całość.

Końcówka jest częścią systemu

Utrzymywanie rozdziału środowiska przetwarzania danych na centrum i końcówkę nie odpowiada modelowi, który coraz wyraźniej staje się rozproszony. W takiej sytuacji zwykła stacja robocza jest podobna do dużego serwera; jedyna różnica dotyczy ilości i szybkości dostępu do danych. Obraz ten jest jeszcze bardziej skomplikowany, gdy doda się bardzo pojemne nośniki USB, technologię pracy zdalnej, możliwość niezauważonego wysłania danych przez niedostatecznie zabezpieczoną sieć oraz pracujące poza siedzibą firmy urządzenia przenośne. Zapewnienie bezpieczeństwa takiej infrastrukturze wymyka się tradycyjnym schematom. "Dostarczenie nowoczesnych rozwiązań, łączących różne zagadnienia ochrony, wymusi zmiany organizacyjne w przedsiębiorstwach. Jesteśmy jeszcze na wczesnym etapie tych zmian, które wstrząsną organizacją całego działu IT" - uważa Piotr Chrobot.

Pomiędzy IT a biznesem

Oprócz modyfikacji zasad, rządzących rozproszonym środowiskiem przetwarzania danych, wyzwaniem dla osób odpowiedzialnych za bezpieczeństwo jest wypracowanie relacji z biznesem. To rola oficera bezpieczeństwa, który musi mieć przegląd technologii, ale znacznie ważniejsze jest to, aby panował nad organizacją i potrafił nawiązać dialog z biznesem. "Rozmowy na temat polityki bezpieczeństwa mogą być długie i pracochłonne, gdyż wiele szczegółów wymaga wyjaśnienia i dopracowania. Zazwyczaj jednak z dojściem do kompromisu nie ma problemów" - ocenia Marek Ujejski. Styk IT z biznesem stale poszerza się, co oznacza pojawianie się kolejnych obszarów, które należy odpowiednio chronić.

Ochrona i dostępność to pojęcia przyległe do świata IT. Biznes lepiej rozumie pojęcie ryzyka. Szczególnie dobrze widać to na przykładzie instytucji sektora finansowego. "W bankach obowiązują normy oceny ryzyka, narzucone przez regulację Bazylea 2, wymuszające zmiany organizacyjne, zbliżające ludzi bezpieczeństwa i dostępności. Zarządzanie ryzykiem operacyjnym obejmuje już nie tylko włamania, ale także straty, wynikające z niedostępności systemu" - wyjaśnia Maciej Kulisiewicz, dyrektor Departamentu Ryzyka Operacyjnego i Compliance w Invest Banku. Jeśli prawidłowo zaimplementuje się zasady zarządzania ryzykiem, w jednym miejscu skupią się różne rodzaje ryzyka (finansowe, prawne, IT). Odpowiedzialną za to komórką organizacyjną jest zazwyczaj niezależny dział, przeważnie nazywany departamentem ryzyka. Fachowcy przekonują, że sposób myślenia kategoriami ryzyka operacyjnego można przenieść do dowolnej instytucji, nie tylko z sektora bankowego.

Artykuł powstał na bazie debaty zorganizowanej przez Computerworld i firmę Symantec.