Więcej niż ochrona

Na bezpieczeństwo firmy składa się nie tylko zapora sieciowa, oprogramowanie antywirusowe czy szyfrowanie danych na dyskach. Ważne jest także bezpieczeństwo techniczne, które jest szerszym pojęciem niż tylko ochrona fizyczna i kontrola dostępu.

58%

przestojów powodują ludzie, którzy nadzorują pracę centrum danych.

Przeważnie wymienia się trzy główne zagrożenia, które powodują większość problemów i przestojów. Są nimi nieuprawniony dostęp, zagrożenia środowiska zewnętrznego oraz problemy z zasilaniem. Statystyki podawane przez producentów sprzętu sugerują, że 58% przestojów powodują ludzie, którzy nadzorują pracę centrum danych. Przykładowo najdłuższy przestój w historii wdrożenia projektu wirtualizacji w Polkomtelu był spowodowany właśnie przez błąd człowieka.

Ponieważ całkowite wyeliminowanie jego nadzoru nie jest możliwe, należy zminimalizować ryzyko, ograniczając dostęp do systemu osobom postronnym. Kontrola dostępu i ścisły monitoring pracy jest kluczem do zarządzania ryzykiem, nawet jeśli prawdopodobieństwo kradzieży czy sabotażu jest niezwykle małe. Niedobory budżetowe nie zawsze są główną przyczyną problemów. Przeważnie jest to niewiedza, lekceważenie dobrych praktyk dotyczących zabezpieczeń technicznych chroniących infrastrukturę teleinformatyczną, a nawet zaniedbanie w postaci niedziałających procedur. Dobrym materiałem do konstrukcji zasad polityki bezpieczeństwa jest norma PN-ISO/IEC 17799. Na jej podstawie normy można opracować i wdrożyć procedury, które rozsądnym nakładem kosztów dadzą znaczącą poprawę bezpieczeństwa.

1. Podział stref

Aby osiągnąć dostateczny poziom bezpieczeństwa technicznego, pierwszym etapem opracowania zasad ochrony powinno być wydzielenie odpowiednich obszarów bezpiecznych. Można to osiągnąć poprzez podzielenie całości firmy na obszary, dla których należy z osobna analizować wymagania dotyczące ochrony fizycznej oraz personelu, który ma mieć tam dostęp. Na podstawie tych informacji należy opracować założenia barier fizycznych, które zapewnią wymagany poziom bezpieczeństwa. Elementami wdrażającymi politykę bezpieczeństwa technicznego mogą być drzwi, wzmocnione okna, zamki, ogrodzenie, bramy wejściowe, kolczatki obronne przy wjeździe i wyjeździe z parkingu, systemy monitoringu wizyjnego oraz automatyki i zdalnej kontroli, systemy dostępu, personel ochrony, a nawet recepcja firmy.

2. Alarmy i monitoring

W chronionych miejscach należy zastosować nadzór poprzez systemy alarmowe i monitoringu, każde wejście do strefy chronionej powinno być rejestrowane i poprzedzone identyfikacją. Dodatkowymi środkami technicznymi mogą być zamki elektroniczne z kartami magnetycznymi czy zbliżeniowymi lub urządzenia biometryczne.

Szeroki zakres działania

Zabezpieczenia techniczne obejmują następujące punkty:

- kontrola dostępu,

- ochrona przeciwpożarowa,

- systemy zasilania gwarantowanego,

- klimatyzacja i chłodzenie,

- zabezpieczenia proceduralne,

- ochrona przed emisją elektromagnetyczną.

3. Odpowiednie procedury

Najmniej kosztownym elementem są zabezpieczenia określane jako proceduralne, czyli organizacyjno-administracyjne. Obejmują one procedury zabezpieczeń w przedsiębiorstwie, szczegółowe instrukcje dostępu, zarządzanie uprawnieniami, szkolenia pracowników, rejestrowanie zdarzeń oraz prowadzenie szczegółowej dokumentacji (baza wiedzy), zasady ścisłej kontroli pracowników firm zewnętrznych, wdrożenie procedur zarządzania nośnikami danych.