Bezpieczeństwo na wynajem

Usługi związane z bezpieczeństwem kojarzą się głównie z ochroną fizyczną. Tymczasem wiele procesów związanych z utrzymaniem bezpieczeństwa informacji można kupić jako usługę.

Historycznie pierwszą usługą świadczoną w pełni poza siedzibą polskiego przedsiębiorstwa był hosting poczty elektronicznej. Przeniesienie jej obsługi stało się jednocześnie początkiem świadczenia usług związanych z bezpieczeństwem poczty elektronicznej. Serwery pocztowe dostawców usług zostały wyposażone w ochronę antywirusową i antyspamową, świadcząc w ten sposób usługę, która dotąd była obecna na terenie przedsiębiorstwa. Model ten funkcjonuje do dziś. Poniżej przedstawiamy kilka nowych i starszych usług bezpieczeństwa, które do tamtego czasu pojawiły się na rynku.

Zdalna ochrona poczty

Nie wszystkie firmy decydują się jednak na korzystanie z zewnętrznego serwera. Głównie ze względu na utrzymywanie lokalnego serwera, który obsługuje platformę komunikacyjną i pracy grupowej w organizacji. W takim przypadku firma może skorzystać jedynie z usługi ochrony poczty elektronicznej w modelu usługowym, gdy serwer w dalszym ciągu pozostaje w lokalnych zasobach IT. Mechanizm działania takiego serwisu zakłada przekierowanie strumienia poczty przychodzącej za pomocą protokołu SMTP z firmowego serwera do serwera usługodawcy. W tym środowisku odbywa się ochrona antyspamowa i antywirusowa, która - dzięki efektowi skali - może być skuteczniejsza niż pojedyncze oprogramowanie zainstalowane na lokalnym serwerze. Obecnie różnica ta się zaciera, gdyż nowoczesne korzystają z utrzymywanej przez dostawcę infrastruktury cloud computing. Ochrona antyspamowa i antywirusowa przez zewnętrzny podmiot ma zaletę braku ingerencji w lokalną infrastrukturę. Jednym z zarzutów podnoszonych przy takiej ochronie jest jednak udostępnienie usługodawcy całego strumienia wiadomości. Standardowe listy nie są szyfrowane, mogą więc być praktycznie w dowolnym miejscu przechwycone w tranzycie.

Zobacz również:

Test penetracyjny na zamówienie

Przedsiębiorstwo, które posiada infrastrukturę usługową, co pewien czas powinno kontrolować stan bezpieczeństwa usług, które udostępnia dla podmiotów zewnętrznych. Prace takie powinny być regularnie wykonywane przez dział IT. Co pewien czas należy jednak przeprowadzać też kontrolę za pomocą testów penetracyjnych. Usługa analizy podatności serwisów dostępnych z Internetu jest jedną z najtańszych w tej dziedzinie, umożliwiając przy tym ocenę odporności serwerów i oprogramowania na ataki, bazując na rzeczywistych scenariuszach. Test penetracyjny może sprawdzić podatność infrastruktury IT nie tylko na ataki hackerskie, które mają wykorzystać błędy w oprogramowaniu, ale także mogą sprawdzić reakcję na typowy atak odmowy obsługi.

Ekspert sprawdzi aplikację

Można także skorzystać z analizy kodu. Jest to jedna z metod usprawnienia pracy aplikacji oraz wykrywania jej podatności na ataki. Analizy mogą być przeprowadzane w sposób automatyczny za pomocą odpowiedniego oprogramowania albo przez grupę ekspertów. Przy takiej usłudze normą są umowy o zachowaniu poufności i ochrony własności intelektualnej. W odróżnieniu od testów penetracyjnych, które zakładają uruchomienie aplikacji w testowym środowisku, specjaliści mogą analizować kod oprogramowania, które jeszcze nie zostało wdrożone. Oczywiście przydatność analiz zależy od samej aplikacji oraz przyjętego sposobu kontroli kodu, niemniej audyt pomoże przy wychwyceniu typowych błędów programistycznych, skutkujących błędami, takimi jak SQL Injection. Analiza kodu aplikacji przez ekspertów umożliwi wykrycie potencjalnych nadużyć oraz wychwycenie tych błędów, które mogły być przeoczone przez programistów firmowych.

Testy wydajnościowe

Integralną częścią wdrożenia oprogramowania obsługującego istotne usługi biznesowe są testy wydajności. Takie próby w dobry sposób odpowiedzą na najważniejsze pytanie - czy infrastruktura wytrzyma planowane obciążenie. Testy wydajności systemów są na tyle skomplikowanym zagadnieniem, że niektóre przedsiębiorstwa świadczące usługi z branży IT posiadają specjalną komórkę ekspertów, pracujących nad wyborem modelu symulacji obciążenia, oprogramowania testującego oraz środowiska pracy. Wiadomo że nie wszystkie takie testy mogą być przeprowadzone przez wewnętrzny dział IT, gdyż nie zawsze dysponuje on odpowiednimi narzędziami symulującymi pracę użytkowników. Przy testach obciążenia przeprowadza się także analizę danych zbieranych przez systemy monitoringu pracy systemów IT. Informacje zebrane przez zestaw narzędzi są następnie analizowane przez specjalistów.

Cudze narzędzia w firmie

Niektóre narzędzia związane z bezpieczeństwem są na tyle kosztowne, że ich zakup w przypadku firmy z sektora MSP będzie nieuzasadniony ekonomicznie. Przykładem mogą być koncentratory SSL VPN wyposażone w dwuskładnikowe uwierzytelnienie, appliance do ochrony poczty elektronicznej czy akceleratory WAN. Mała firma może jednak - w modelu usługowym - skorzystać z usługi świadczonej przez koncentrator VPN klasy enterprise oraz serwer mocnego uwierzytelnienia, płacąc jedynie stosowną do swojego "udziału" część kosztów. Jest to dobry model, szczególnie wtedy, gdy usługodawca dysponuje infrastrukturą, która może być w bezpieczny sposób współdzielona między różne podmioty, które z niej razem korzystają. Jeśli przedsiębiorstwo korzysta z usług hostingowych, w ten sam sposób może współdzielić ochronę za pomocą IPS. Choć nie zawsze założenia polityki zaprogramowane w IPS będą idealnie dopasowane do potrzeb firmy, to na pewno przyniosą dobre efekty. To samo dotyczy ochrony antyspamowej świadczonej przez urządzenia klasy appliance.

Inżynier do wynajęcia

W korporacyjnych działach IT pojawia się czasami potrzeba zapewnienia wsparcia technicznego na poziomie wykraczającym poza rozwiązania jednego producenta. Zazwyczaj takim wsparciem zajmują się integratorzy, łączący sprzęt i oprogramowanie różnych dostawców w jedną całość. Jeśli umowa to przewiduje, świadczą oni także wsparcie techniczne do wdrożonej infrastruktury jako całości. Wsparcie to przyjmuje różne formy - od zdalnego monitoringu i okresowej konserwacji, przez ciągły zdalny nadzór, aż do inżyniera-rezydenta, który pracuje w siedzibie firmy i jest gotowy do szybkiej interwencji, pomagając w rozwiązywaniu problemów. Czasami usługi te są także niezbędne, aby zapewnić wykonanie konkretnej operacji w zadanym czasie, gwarantując to przestrzeganymi zapisami w umowie. Jeśli instytucja ma dokonać migracji między środowiskami sprzętowymi (np. przy modernizacji zasobów IT lub przy pracach konserwacyjnych), operację taką może wykonać grupa specjalistów, którzy podejmą za to odpowiedzialność. Warto zauważyć, że różnica w stosunku do zwykłego wsparcia polega na tym, że prace te są wykonywane przez zewnętrzny podmiot niezależnie od stanu wiedzy i doświadczenia działu IT w organizacji.

Backup i elektroniczne archiwum

Jednym z aspektów bezpieczeństwa jest przechowywanie danych firmowych. To zadanie spełnia kopia zapasowa, która musi być wykonywana regularnie zgodnie z założeniami polityki bezpieczeństwa. Backup może być wykonywany w obrębie jednej infrastruktury utrzymywanej przez usługodawcę lub przenoszony do ośrodka zapasowego przez sieć. Najwygodniejszy model zakłada umieszczenie serwera z odpowiednim oprogramowaniem, które będzie pobierać dane z chronionych systemów, a następnie - po deduplikacji - prześle je do ośrodka przechowywania przez sieć. Dzięki deduplikacji ilość danych przesyłanych przez WAN jest o wiele mniejsza niż ogół backupowanych zasobów. Ponieważ przesłanie kompletu danych przez WAN trwałoby bardzo długo, niektórzy dostawcy (także w Polsce) oferują możliwość szybkiego odtworzenia danych do kolokowanego serwera albo wręcz zamontowanie aktualizowanej maszyny wirtualnej. Wtedy czas odzyskiwania na odzyskanie sprawności infrastruktury jest krótki i w przypadku katastrofalnej awarii umożliwia sprawne ponowne uruchomienie najważniejszych usług w rezerwowej lokalizacji.

Ciągłość działania

Nie każda firma poradzi sobie z budową i eksploatacją środowiska o wysokiej dostępności. Taką infrastrukturę można jednak wynająć od dostawcy lub zlecić obsługę w siedzibie firmy. Eksploatacja aplikacji w środowisku o wysokich wymaganiach dostępności wymaga wiedzy i doświadczenia, czasami wykraczającego poza możliwości działu IT. W takim przypadku zlecenie obsługi podstaw infrastruktury na barki firmy zewnętrznej może być o wiele tańsze i szybsze od przeprowadzenia odpowiednich szkoleń. Ponadto dostawca może wykorzystać inne narzędzia do zarządzania i monitoringu - przeznaczone dla bardziej rozbudowanych środowisk.

Inną usługą, świadczoną przez niektórych integratorów i dostawców jest zapewnienie sprzętu zastępczego w przypadku awarii. W odróżnieniu od serwisów, które oferują czas reakcji rzędu jednego dnia roboczego, niektóre przedsiębiorstwa mają wymagania czasu reakcji liczonego w godzinach, przy czym gwarantowany czas usunięcia naprawy bywa mocno wyśrubowany. W takim przypadku usługodawca oferuje podstawienie zastępczego sprzętu, może być to serwer, przełącznik sieciowy, a nawet duży zasilacz awaryjny.

Dla niektórych instytucji szczególnie ważne jest posiadanie zapasowego biura. Taką usługę też można zamówić, np. u operatorów hostingowych. Biuro jest w pełni wyposażone w komputery, biurka, całą niezbędną infrastrukturę i łączność. W przypadku konieczności obsługi pracy w zewnętrznej lokalizacji wystarczy przełączyć połączenia i przewieźć personel.


TOP 200