Wysoki, 82-proc., odsetek wskazań udzielonych przez uczestników badania jasno wskazuje, że głównym wyzwaniem związanym z ochroną danych jest budowanie organizacyjnej „odporności” na działania cyberprzestępcze. Do tych ostatnich można zaliczyć zarówno próby infekcji infrastruktury firmowej złośliwym oprogramowaniem, przykładowo ransomwarem, jak i phishing oraz inne formy internetowych oszustw. Zagrożenia cybernetyczne pozostają głównym elementem determinującym podejście do kwestii ochrony danych, niezależnie od wielkości organizacji.

Drugim pod względem ważności wyzwaniem (52%) jest coraz większa liczba urządzeń końcowych, mogących gromadzić, przechowywać i przesyłać dane. Z jednej strony dotyczy to sprzętu elektronicznego, zwłaszcza mobilnego, będącego na wyposażeniu pracowników – w dodatku firmowe działy IT muszą sobie radzić ze zjawiskiem tzw. shadow IT, czyli użytkowaniem nieautoryzowanego, np. prywatnego sprzętu, do celów służbowych. Inny wątek to internet rzeczy (oraz przemysłowy internet rzeczy). W 2020 r. podłączonych do IoT ma być nawet 20 mld różnych urządzeń i sensorów – szacuje Gartner. Efektywna ochrona procesów generowania danych przez czujniki IoT i zarządzania nimi będzie wymagało coraz większej uwagi.

Zobacz również:

• Ransomware zagraża ochronie zdrowia
• Zerowanie Windows 10/11 - z której opcji skorzystać?
• Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego

Zaskoczeniem może być fakt, że aż 42% uczestników badania za poważne wyzwanie w kontekście ochrony danych uznało Rozporządzenie o Ochronie Danych Osobowych. To bardzo wyraźny sygnał, jakich trudności nastręcza organizacjom dostosowanie swoich procesów biznesowych do wymogów RODO, chociaż od jego wprowadzenia mija już 1,5 roku.

Backup w firmie. Widmo utraty danych

Na razie utrata danych nie jest bolączką nadmiernie trapiącą polskie przedsiębiorstwa. Trzech na czterech uczestników badania deklaruje, że w ciągu minionego roku nie nastąpiły żadne trudności w działaniu ich organizacji spowodowane utratą danych. Do wystąpienia problemów operacyjnych przyznaje się 14% badanych, a co dziesiąty nie ma na ten temat wiedzy.

Jeżeli wziąć pod uwagę wielkość organizacji, to niemal 1/5 przedstawicieli sektora MŚP w ankiecie badania zasygnalizowało problemy operacyjne, a aż 82% zaprzeczyło, jakoby w ich firmach takie występowały.

Dla sektora dużych firm i korporacji odsetek odpowiedzi twierdzących wynosił 10%, a przeczących – 69%. Zwraca natomiast uwagę 21-proc. odsetek odpowiedzi „Nie wiem”. Można domniemywać, że nawet jeżeli w tych przypadkach wystąpiły problemy z bezpieczeństwem danych, to nie stanowiły istotnego zagrożenia dla sprawności operacyjnej organizacji.

W organizacjach, w których w ciągu ostatniego roku nastąpiły problemy operacyjne spowodowane utratą danych, najczęstszą przyczyną były awarie sprzętowe oraz incydenty cyberbezpieczeństwa (odpowiedzi te uzyskały identyczny odsetek wskazań). Nieco rzadziej do problemów dochodziło w wyniku niemożności przywrócenia kopii danych, chociaż tę przyczynę częściej podawali przedstawiciele dużych firm i korporacji.

Backup w firmie. Ważne są procedury

Uczestników badania pytaliśmy również, czy w ich organizacji stworzono i wdrożono procedury działania na wypadek utraty danych. Z udzielonych odpowiedzi wynika, że zasadniczo konieczność dysponowania sprawnymi i skutecznymi procedurami odzyskiwania danych na wypadek awarii lub utraty jest w polskich organizacjach dobrze rozumiana. Trzech na czterech uczestników badania deklaruje, że w ich firmach stworzono i wdrożono odpowiednie schematy działania na wypadek ich utraty.

Odsetek takich organizacji w sektorze MŚP wynosi 70%, podczas gdy wśród korporacji – ponad 80%. Duże firmy, z racji skali i zakresu świadczonych usług oraz większego grona potencjalnie poszkodowanych klientów, muszą być lepiej przygotowane na konieczność szybkiego odzyskania danych po awarii.

Równie ważne jak przygotowanie planu na wypadek utraty danych jest odpowiednie szkolenie pracowników w zakresie ich ochrony. W 67% firm uczestniczących w badaniu „Computerworlda” takie szkolenia są organizowane. Co trzecia firma nie prowadzi tego typu działań.

Backup w firmie. Używane rozwiązania

Ochrona danych może – i powinna – być zapewniana na różnych poziomach i za pośrednictwem różnych narzędzi. Jak wskazują ankietowani w badaniu „Computerworlda”, w polskich organizacjach najpowszechniejsze w użyciu jest oprogramowanie do backupu danych (72% wskazań). W sektorze MŚP używa go 80% badanych firm.

W mniejszym stopniu firmy używają kompleksowych systemów do backupu i odzyskiwania danych. Średnią (39%) zaniża jednak sektor MŚP. Te rozwiązania skrojone są do potrzeb dużych organizacji, co odzwierciedlają odpowiedzi ankietowanych: 50% przedstawicieli korporacji zaznaczyło tę odpowiedź.

Proporcje odwracają się w wypadku sieciowych pamięci masowych z funkcjonalnością backupu. Ogólny odsetek wskazań takich produktów to 38%, jednak w ujęciu według wielkości firmy 45% przypada na MŚP, a 29% na korporacje.

Urządzenia przeznaczone do tworzenia kopii zapasowych są w Polsce jeszcze rozwiązaniem stosunkowo niszowym (17% wskazań).

Słaby wynik chmury jako sposobu na backup to, jak się wydaje, rezultat obaw o bezpieczeństwo danych przechowywanych poza firmową serwerownią.

Wśród innych metod wykonywania kopii zapasowych uczestnicy badania wskazywali również m.in.: dodatkowy własny serwer zewnętrzny do backupu, dodatkowy backup ważnych danych na pamięci USB oraz pełny outsourcing centrum danych.

Backup w firmie. Częstotliwość backupu

Uczestnicy badania, pytani o typową częstotliwość wykonywania kopii zapasowych danych o kluczowym znaczeniu dla działania organizacji, byli wyjątkowo zgodni. Zarówno w małych i średnich firmach, jak i w korporacjach, backup najczęściej wykonuje się raz dziennie – zadeklarowało to odpowiednio 57 i 58% badanych.

Warto jednak zauważyć, że niemal 1/5 uczestników badania zadeklarowała, że w ich organizacji backup wykonywany jest kilka razy na dzień, a przeciętnie co dziesiąty ankietowany stwierdził, że kopie wykonywane są w trybie ciągłym.

Wdrożenie procedur odzyskiwania danych to jedno, ale ich skuteczność to coś innego. Efektywna i szybka reakcja na awarię, a następnie sprawne usunięcie jej skutków wymagają uprzedniego sprawdzenia różnych scenariuszy utraty i odzyskiwania danych. Procedura testowa powinna objąć szerokie spektrum potencjalnych wypadków, poczynając od ataków cyberprzestępczych, przez fizyczne awarie infrastruktury, na uszkodzeniach samych zasobów niezbędnych do przywrócenia danych kończąc.

Jak wynika z badania „Computerworlda”, przeciętnie w 62% organizacji przeprowadzane są testy procedur odzyskiwania danych. Jeżeli jednak wziąć pod uwagę wielkość firmy, testowaniem procedur recovery bardziej zainteresowane są mniejsze podmioty. Większość organizacji, w których przeprowadza się testy procedur odzyskiwania danych, sprawdza ich poprawność kilka razy w roku (41% wskazań). Nieco mniej, bo 28% tych firm, testuje swoje procedury systematycznie, raz w miesiącu. W co dziesiątej testy przeprowadzane są raz na rok.

W przeważającej większości przypadków osobą zarządzającą zadaniami i procesami backupu oraz odzyskiwania danych jest firmowy informatyk lub administrator. Znikomy odsetek firm podchodzi do kwestii kompleksowej ochrony danych na tyle poważnie, by zatrudniać do tego specjalistę. W niektórych organizacjach funkcję tę pełni dyrektor IT.

Backup w firmie. Ochrony nigdy za wiele

Chociaż rozwiązania backup chronią przed utratą danych, to same kopie zapasowe powinny być również zabezpieczone, aby możliwe było odzyskanie danych. W końcu typowy dla ataków ransomware sposób ataku to wyszukiwanie obecności kopii zapasowych i ich neutralizacja – bez tego atak się nie powiedzie. Dlatego też uczestników badania zapytaliśmy o dodatkowe metody zabezpieczeń backupu stosowane w ich firmach.

Konieczność ochrony backupu jest w polskich przedsiębiorstwach względnie dobrze rozpoznana. Najwięcej, bo 60% uczestników badania deklaruje, że backup wykonywany jest na kilku nośnikach, a ponad połowa uważa, że stosowane są różne rodzaje backupów: krótko-, średnio- i długoterminowe. Niemal co drugi ankietowany przyznaje, że w jego firmie kopie zapasowe przechowywane są w fizycznie odizolowanej infrastrukturze IT, a co trzeci, że są dodatkowo szyfrowane.

Pytanie, które funkcje i parametry rozwiązań do backupu są najważniejsze? Bogata oferta dostawców rozwiązań backup często nie ułatwia wyboru. Funkcje takich narzędzi można jednak podzielić według ważności i na tej podstawie dokonać selekcji.

Kluczowa dla uczestników badania jest możliwość natychmiastowego przywrócenia danych po awarii (instant recovery) – wskazało ją 63% ankietowanych. Co zrozumiałe, wskaźnik ten w ujęciu według wielkości firmy jest wyższy dla dużych firm (65%, w porównaniu z 61% w sektorze MŚP).

Na drugim miejscu w skali ważności wymieniana jest automatyzacja procesów backupu i odzyskiwania danych – wskazała ją ogółem ponad połowa badanych. Ponownie większy nacisk na tę funkcję kładą przedstawiciele korporacji niż MŚP (wskazało ją odpowiednio 54 i 50% osób na stanowiskach kierowniczych w tych sektorach).

Widać jednak, że menedżerowie rozumieją potrzebę mniejszego angażowania personelu organizacji w procesy wykonywania kopii danych i ich odzyskiwania. Funkcja człowieka powinna tu zostać ograniczona do ośrodka decyzyjnego – tego zdania jest aż 65% kierowników i dyrektorów.

Za trzecią ważną cechę rozwiązania backup ankietowani uznali obsługę różnych systemów i typów danych (42% wskazań). Co ciekawe, na dalszych miejscach znalazły się takie parametry, jak: łatwość obsługi i przyjazny interfejs (36%), połączenie funkcji backupu i data recovery (28%) oraz elastyczność/skalowalność, rozumiana jako możliwość dostosowania funkcjonalności produktu do potrzeb i wielkości organizacji (25%).

Backup w firmie. Plany na przyszłość

„Czy państwa organizacja planuje modernizację lub zakup rozwiązania backupu i ochrony danych w najbliższych 12 miesiącach?” – na to pytanie 44% ogółu badanych odpowiedziało przecząco, nie widząc potrzeby zmian w tym zakresie. Do wymiany istniejącego produktu do backupu i ochrony danych dojdzie wkrótce w jednej na trzy spośród badanych organizacji – 38% ankietowanych deklaruje, że modernizacja istniejącego rozwiązania albo zakup nowego nastąpi w ciągu roku.

W tym gronie 51% badanych wskazało, że dotychczas używane rozwiązanie jest przestarzałe – była to najczęstsza przyczyna decyzji o zmianie. Dla 31% uczestników badania dotychczas używane rozwiązanie jest niewygodne w obsłudze, a dla 21 – nie spełnia wymogów w zakresie ochrony danych.

Uczestnicy wskazywali także inne motywacje do zmiany, w tym: chęć dodatkowego zabezpieczenia organizacji, chęć rozbudowy systemu zabezpieczeń oraz – w wypadku rozwiązań sprzętowych – brak miejsca na składowanie duplikatów.

Backup w firmie. Pełna wersja raportu

Pełna wersja badania "Backup w firmie jest dostępna do pobrania w formie pliku PDF z Biblioteki IT "Computerworlda.