Infrastruktura IT w obliczu rosnących zagrożeń

Biznes coraz częściej decyduje się na outsourcing usług IT. Pracownicy bez poinformowania i uzyskania zgody IT podłączają do firmowej sieci różne urządzenia. Jak wobec utraty panowania nad własną architekturą IT zachować bezpieczeństwo?

Infrastruktura IT w obliczu rosnących zagrożeń

<b>Piotr Fąderski, Country Manager na Polskę, VMware.</b>

Zapewnienie bezpieczeństwa powinno być wprowadzone przede wszystkim poprzez ustalenie odpowiednich polityk. Natomiast wynoszenie danych na zewnątrz, na przykład do chmury publicznej, jest w pełni bezpieczne, jeśli sama chmura spełnia

określone wymagania.

Utrzymanie bezpieczeństwa firmowych danych jest dzisiaj trudniejsze niż kiedykolwiek. Także ataki przybrały zupełnie inny charakter. Rozprzestrzeniających wirusy po losowych użytkownikach sieci trefnisiów zastąpili wyspecjalizowani w punktowych i rozłożonych w czasie atakach przestępcy, mający na celu np. sabotaż czy kradzież know-how. Jednocześnie trendy takie jak cloud computing czy outsourcing sprawiają, że zarządzanie firmową architekturą IT jest coraz bardziej wymagające.

Z uwagi na szeroko rozpowszechnione usługi chmurowe adresowane do firm i rosnącą świadomość możliwości – niestety, rzadko idącą w parze ze świadomością zagrożeń – biznes coraz częściej własnym sumptem zamawia usługi stricte informatyczne, stawiając własny dział IT przed faktem dokonanym. Mimo to wciąż właśnie dział IT ma zapewnić bezpieczeństwo firmowych danych i z tego m.in. jest rozliczany. Podobnie sprawa ma się z trendem Bring Your Own Device, niejednokrotnie wiążącym się z włączaniem do firmowej sieci prywatnych, niedostatecznie chronionych, prywatnych urządzeń pracowników bez poinformowania działu IT – tzw. shadow IT.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Uwierzytelnianie bez haseł – 10 rozwiązań
  • Złośliwe oprogramowanie w chmurze - nowy, niebezpieczny trend

Patrząc prawdzie w oczy

„Atakujący mają zdecydowaną przewagę nad obroną. Niezależnie od budżetu, wdrożonych rozwiązań czy stosowanych polityk bezpieczeństwa, nie jesteśmy w stanie zabezpieczyć się przed każdym możliwym zagrożeniem” – podkreśla Marek Ujejski, zastępca dyrektora Departamentu Informatyki Narodowego Funduszu Zdrowia. Nie oznacza to, że obrona przed cyberprzestępcami jest niemożliwa.

Kluczem jest redukcja, minimalizacja ryzyka, a także poparta odpowiednimi politykami i procedurami postępowania świadomość zagrożeń. Minimalizacja ryzyka obejmuje zarówno działania prewencyjne, jak i stosowane już po wykryciu naruszenia bezpieczeństwa. „Dzięki świadomości luk posiadanych rozwiązań możemy zmniejszyć podatności działaniami organizacyjnymi” – dodaje Marek Ujejski.

Ochrona kluczowych zasobów

Infrastruktura IT w obliczu rosnących zagrożeń

Adam Grzebieluch, wiceprezes zarządu Banku Ochrony

Środowiska. Pojawiają się konkretne analizy, z których wynika, że w wielu krytycznych obszarach funkcjonowania, także państwa, jesteśmy bezbronni. Łatwość ataku na infrastrukturę krytyczną, szczególnie przemysłową, jest banalna.

Świadomość wad własnych rozwiązań bezpieczeństwa powinna zostać wsparta wiedzą na temat kluczowych zasobów w firmie, szczególnie związanych z możliwością realizowania core businessu. Inny obszar, którego bezpieczeństwo powinno stanowić priorytet, to dział badań i rozwoju – jego praca zapewnia przewagę konkurencyjną firmy. Oprócz zabezpieczeń technologicznych potrzebne są właściwie przemyślane polityki bezpieczeństwa, zarządzanie procesami oraz środki prewencyjne adekwatne do potencjalnych zagrożeń.

Takie podejście prezentują dostawcy technologii, dla których kwestia bezpieczeństwa jest warunkiem przetrwania firmy. „Pracownicy HP mający dostęp do najwyższego poziomu tajności informacji wewnętrznych, np. z R&D, nie mają prawa korzystać z rozwiązań mobilnych” – mówi Artur Kamiński, Country Cloud Business Manager w HP Polska. „Istnieją takie miejsca, gdzie restrykcyjność i konserwatyzm mają pełne uzasadnienie. Technologia wszystkiego nie załatwi”.

Bezpieczeństwo w chmurze

Co ciekawe, dodatkowe zabezpieczenia mogą zostać wdrożone dzięki technologiom opartym na trendach uważanych za potencjalnie zagrażających poufności firmowych danych. Utrzymanie dedykowanej armii specjalistów ds. bezpieczeństwa, analityków i informatyków poświęconych tylko tego typu zagadnieniom jest nieosiągalne i nieopłacalne dla większości firm. Nic nie stoi jednak na przeszkodzie, aby skorzystać z dodatkowych usług bezpieczeństwa oferowanych w modelu… chmury obliczeniowej. Ogranicza to konieczne do poniesienia nakłady inwestycyjne i kadrowe, jednocześnie zapewniając skalę obrony, jakiej przedsiębiorstwo nie byłoby w stanie osiągnąć, nawet inwestując krocie.

„Platforma przeciwdziałająca atakom DDoS, DDoS Protection, jest dziś dostępna z chmury, a znając nakłady, jakie musieliśmy ponieść na jej uruchomienie, trudno jest mi wyobrazić sobie sytuację, w której firma sama zbudowałaby platformę o takiej pojemności, jednocześnie mając pozytywne ROI” – stwierdza Leszek Hołda, prezes Integrated Solutions.

Tradycyjnie rozumiane systemy antywirusowe to w dzisiejszych czasach z punktu widzenia przedsiębiorstwa o wiele za mało. Usieciowienie usług bezpieczeństwa stara się odpowiedzieć na konieczność dodatkowej ochrony firmowych zasobów, nie rujnując przy tym jej budżetu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200