Skrzynka czy rozwiązanie

Staranne przygotowanie projektu opartego o analizę potrzeb, procesów i wykorzystywanych aplikacji to najważniejszy warunek udanego wdrożenia systemu bezpieczeństwa.

Staranne przygotowanie projektu opartego o analizę potrzeb, procesów i wykorzystywanych aplikacji to najważniejszy warunek udanego wdrożenia systemu bezpieczeństwa.

We wdrożeniach szczególnie ważną rolę mają integratorzy, gdyż to na ich barkach z reguły spoczywa odpowiedzialność za dobór rozwiązań, przygotowanie i poprawną instalację systemu. Gdy firma wdraża system związany z bezpieczeństwem, nie zawsze jest on przystosowany do jej rzeczywistych potrzeb. Czasami impulsem do zakupu takich rozwiązań jest incydent naruszenia bezpieczeństwa, który się właśnie zdarzył. Menedżerowie w takim przypadku często kierują się informacjami, które nie zawsze odzwierciedlają stan faktyczny. Kupowane są wówczas rozwiązania, które nie przystają do potrzeb firmy i uruchamianych jest wiele procesów i usług sprawiających problemy w użytkowaniu.

Zaczynamy...

Pierwszym z etapów pracy jest dokładne rozpoznanie specyfiki przedsiębiorstwa. Należy uwzględnić jak działają systemy w firmie, w jaki sposób można dokonać integracji oprogramowania, jaka część istniejących rozwiązań będzie współpracować z nowym systemem. Przy analizach trzeba wziąć pod uwagę zagrożenia, przed którymi mają ochronić wdrażane systemy oraz jakie korzyści przyniesie ich instalacja.

Bardzo ważna jest analiza ryzyka, która umożliwia określenie potrzeb i nakładów na bezpieczeństwo. Jest to bardzo ważny etap, dlatego że przeszacowanie potencjalnych szkód powoduje większe, często bardzo duże wydatki. Niejednokrotnie okazuje się, że podawane przez firmę zagrożenia nie są najważniejszym z problemów. W takim przypadku dobry integrator powinien zaproponować całościową analizę biznesu firmy. Zdarza się, że taki sposób rozwiązania problemów jest lepszy od instalacji pojedynczego, nawet najbardziej zaawansowanego urządzenia. Często okazuje się bowiem, że od zakupu sprzętu znacznie ważniejsze jest np. wdrożenie procedur ograniczania uprawnień w firmie.

Gdy przeciwstawić tym opiniom powszechny trend w wielu firmach, polegający na tym, że decyzje wdrożeniowe podejmuje się samodzielnie i nie poprzedza żadną analizą, to oczywiste, że wiele z realizowanych projektów można określić przynajmniej jako nietrafione. Przyczyn takiego stanu rzeczy można upatrywać w tym, że menedżerowie korzystają z materiałów reklamowych, traktując systemy bezpieczeństwa tak samo, jak opcje bezpieczeństwa dostępne w przełącznikach sieciowych lub routerach. Rzadko kiedy myśli się całościowo, analizując współpracę wdrażanych systemów z infrastrukturą firmy.

Przy dużym wdrożeniu, od dodatkowych opcji, którymi z reguły chwalą się producenci, ważniejsza jest późniejsza możliwość sprawnego zarządzania systemem. Firmy zdają się o tym zapominać wychodząc z założenia, że na zaporze niewiele się dzieje. Jest to błąd, gdyż na administrację systemami związanymi z bezpieczeństwem składa się nie tylko konfiguracja zapory sieciowej.

Proces i system

Maciej Ogórkiewicz

Wdrożenie systemów bezpieczeństwa, od firewalli i IPS-ów aż do zarządzania tożsamością, nie może być realizowane ad hoc.

Najważniejszym etapem jest dokładne poznanie firmy, jej infrastruktury i potrzeb, poprzedzone analizą ryzyka i kosztami - mówi Maciej Ogórkiewicz, inżynier konsultant w firmie Solidex.

W bardziej sformalizowanych firmach istnieją zalążki myślenia procesowego. Gdy firma jest nowocześnie zarządzana, zdefiniowano w niej najważniejsze procesy i niezbędne dla nich zasoby. Gdy potrzeby te są już ustalone, można opracować metody ich ochrony. Nie zawsze trzeba wykorzystywać w tym celu zaawansowaną technologię.

"Często od razu widać, że wdrożenie żądanego przez klienta, jednego elementu systemu nie spowoduje radykalnej poprawy bezpieczeństwa firmy. Wtedy szukamy możliwości finansowania szerszego projektu, który to zapewni. Alternatywą może być także przygotowanie projektu, w którym zmiany będą dotykały również innych elementów firmy, przynosząc rzeczywistą poprawę bezpieczeństwa" - mówi Radosław Piedziuk, dyrektor działu rozwoju sprzedaży w ATM. Te projekty mogą dotyczyć np. zmian w poziomach uprawnień użytkowników, przemodelowania sieci firmy, czy zastosowania innych rozwiązań, które będą korzystniejsze dla przedsiębiorstwa niż wymiana jednego elementu.

Gdy firma posiada wizję swojej pracy jako procesu, znacznie łatwiej ocenić, co dokładnie należy chronić, obejmując nie tylko ochronę danych przed ich utratą, ale także zapewnienie ciągłego funkcjonowania przedsiębiorstwa. Firma, która ma świadomość, że utrzymanie konkretnych procesów jest dla niej krytyczne, będzie mogła dokładnie określić priorytet oraz wagę ochrony. Na podstawie takich informacji integratorzy mogą przygotować systemy, które będą dopasowane do potrzeb przedsiębiorstwa, ich możliwości obejmą dokładnie to, co jest niezbędne. Podkreślają to obie wspomniane firmy.

"Przedsiębiorstwo, które rozpoznało krytyczne procesy, może zapewnić im ciągłość pracy i żądane bezpieczeństwo. Integrator posiada podejście całościowe, dzięki czemu opracuje rozwiązanie przygotowane do wypełniania konkretnych zadań" - mówi Radosław Piedziuk. "Dla firmy, która dokładnie wie, co ma chronić, można przygotować rozwiązanie, które spełni jej wymagania" - dodaje Maciej Ogórkiewicz, inżynier konsultant w firmie Solidex. W mniejszych organizacjach, gdzie wiele prac i zasad nie jest nigdzie zapisanych, analiza tego jak pracuje firma, jest najtrudniejszym zadaniem całego wdrożenia.


TOP 200