facebook LinkedIN LinkedIN - follow
IT Security , IT Security

Priority bezpečnostní politiky v malých a středních firmách



GFI Česká republika a SlovenskoS tím, jak jsou podnikové procesy postupně automatizovány a veškeré obchodní informace převáděny do digitální formy, firmy stále více spoléhají na své informační systémy a sítě. O to více jsou také vystavovány bezpečnostním rizikům a hackerským útokům z nejrůznějších stran. Součástí každé podnikové informační strategie proto má být komplexní bezpečnostní politika, která povede k zajištění ochrany dat a ve finále také kontinuity podnikání. V tomto článku se budeme věnovat oblastem, na které by se v komplexu bezpečnostních opatření měla soustředit malá a středně velká firma, aby dosáhla optimálního poměru ceny a výkonu.


Bezpečnostní politika podniku obsahuje celou řadu oblastí:

  • fyzická bezpečnost – tzn. místo, kde se data fyzicky skladují, zda je toto místo vyhovující z pohledu fyzického přístupu k zařízením pro ukládání a zpracování dat a zda je zajištěno z pohledu požárního zabezpečení, poruch či přírodních pohrom,
  • zálohování a archivace dat – zálohování je určeno k uchovávání operativních dat umožňujících rychlou obnovu v případě nějakého incidentu, archivace je zase důležitá k uchování historických dat pro možné (často zákonem stanovené) dohledávání informací,
  • zabezpečení před viry a malwarem – základní opatření, které ochraňuje podnikové informační prostředky před útoky zvenčí a narušením bezpečnosti dat,
  • zajištění před krádeží dat – opatření zabraňující tomu, aby data nemohla podnik žádným způsobem opustit, případně aby v případě krádeže mohla být jakkoli zneužita,
  • řízení pohybu dat – stanovení obecného řízení pohybu dat v podniku, tedy kategorizace dat, manipulace s nimi, sledování jejich pohybu, autorizace přístupu k nim apod.,
  • monitoring uživatelů a procesů – nastavení systému informujícího o tom, co pracovníci dělají s podnikovými prostředky a daty s možností zpětné kontroly a nastavení firemní politiky,
  • patch management – pravidelné aktualizace softwarového vybavení, které udržují podnikové systémy zabezpečené proti nejnovějším hrozbám,
  • konfigurační databáze – jakmile je organizace trochu větší, přestává mít přehled o nastaveních všech svých zařízení, je proto třeba mít systém pro řízení změn a vše ukládat do konfigurační databáze,
  • školení uživatelů – ať již to vyžadují normy, nebo ne, je důležité informovat uživatele o důvodech existence bezpečnostních pravidel a způsobech jejich dodržování,
  • externí přístup k datům – pravidla pro přístup do podnikové sítě z nepodnikových zařízení, z domácí kanceláře, vzdálené kanceláře, na cestách apod., k vybraným datům ze zvolených zařízení,
  • periodické kontroly a audit – každá informační infrastruktura potřebuje čas od času pravidelnou (a pokud možno) nezávislou kontrolu svého zabezpečení, protože útoky hackerů jsou stále vynalézavější, a obrana tak musí být neustále vylepšována.

Na co se soustředit

Zajištění stoprocentní bezpečnosti je poměrně drahá záležitost. Je proto třeba vždy učinit kompromis mezi úrovní zabezpečení a dostupnými prostředky. Žádný podnik či organizace, pokud se tedy nejedná o bezpečnostní informační službu státu, nemůže pokrýt všechny popisované oblasti bezpečnosti – ať už z důvodu finančních nákladů, nebo potřebného personálu. Je tedy třeba zvolit takové nástroje, které ošetří prioritní oblasti. Nejdříve si ale musíme uvědomit, jaká data firma vlastní a zpracovává, jak moc jsou citlivá a jaká technická zařízení a jací uživatelé mají k těmto datům přístup. V zásadě by si však každá malá a středně velká firma (SMB) do své bezpečnostní politiky neměla zapomenout zahrnout následující bezpečnostní prvky:

Autentizace uživatelů

Zjednodušeně uváděna pod termíny „uživatelské jméno a heslo“, může být případně spojená s dodatečnými technickými či biometrickými nástroji a certifikáty. Každý z těchto způsobů má své plusy a minusy. Nejpoužívanější metoda, tj. přihlášení jménem a heslem, je také nejméně bezpečná z důvodu poměrně snadné zjistitelnosti přihlašovacích údajů. Díky tomu může šikovný hacker získat nejen přístup k uživatelským datům, ale také vystupovat pod identitou uživatele a škodit jeho jménem. Je proto důležité, aby hesla měla nějakou minimální složitost (alespoň délku) a aby byla jednou za nějaké období obměňována. Zároveň se doporučuje doplnit základní zabezpečení nějakým technickým nástrojem, například čipovou kartou. Nedoporučuje se nařizovat uživatelům hesla příliš složitá a příliš často je obměňovat, protože pak si je začnou psát po papírcích, lepit na monitory a s bezpečností se ocitneme opět na začátku. Realistická doba požadavku na změnu hesla je zhruba tři měsíce.

Ochrana před viry a malwarem

Naprosto zásadní zabezpečení i pro běžné uživatele, natož pro podniky. Tato ochrana má několik úrovní: jednak je umístěna na úrovni poštovního serveru, kde zabraňuje průniku virů prostřednictvím elektronické pošty, pak by měla být antivirová ochrana umístěna na internetové bráně, kde zabraňuje průniku přes webové stránky, a také na pracovních stanicích proti nákaze přenášené hlavně přes výměnná média. Ochrana na poštovním serveru, internetové gateway a na klientských stanicích by měla být založena pokud možno na různých antivirových jádrech tak, aby bylo zachycení virů co nejefektivnější. Uvědomme si, že pokud použijeme na všech úrovních (mailserver, gateway, pracovní stanice) antivir stejného výrobce, jediným efektem, který to přinese, je odolnost proti selhání či vypnutí antiviru na stanicích (či serverech), ne proti případné chybné detekci určité hrozby konkrétním antivirem.

GFI MailEssentials 2012 - antivirová jádra
GFI MailEssentials 2012 - antivirová jádra

 

Patch management

Dalším velmi důležitým bodem je patch management, a to i kdyby měl znamenat jen zapnutí aktualizací aplikací Microsoft prostřednictvím služby Windows Update. Nicméně dnes je stále evidentnější, že útočníci čím dál častěji cílí na aplikace třetích stran (typicky Adobe, webové prohlížeče), takže je nutné pravidelně aktualizovat veškerý software na počítači. Mimo jiné také proto, že dodavatelé počítačů dnes instalují na PC celou řadu aplikací, které běžní uživatelé nevyužijí a často ani nevědí, že je mají, ale které představují bezpečnostní riziko. Vedle pravidelného, ideálně automaticky nastaveného patch managementu se také doporučuje používat v podniku co nejméně různých typů softwarů – čím více softwarových programů, tím vyšší i riziko. Patch management lze zajistit dnes již i s pomocí některých antivirových programů, v případě větších podnikových sítí existují sofistikované nástroje umožňující pravidelné a automatizované záplatování i stovek stanic a serverů. Pamatujte na to, že důležitost patchování nějaké aplikace se neměří důležitostí aplikace samotné, ale jejím rozšířením!

Zálohování a archivace

Zálohování dat je pro každý podnik věc naprosto nutná – jeho cílem je přesunout aktuální data do jiné lokality pro případ nějaké katastrofy. Zálohování by jednoznačně mělo být automatizované (uživatelé sami to manuálně dělat nebudou) a také pravidelně kontrolované. Je třeba také stanovit, jako dlouho do minulosti se bude záloha vytvářet. Naopak archivace umožňuje držet v archivu veškerá data z historie firmy. Pro většinu SMB firem nemá smysl archivovat soubory, což je nesmírně drahé, v SMB firmách postačí archivace elektronické pošty ve stavu, v jakém přišla a odešla. Navíc archivace elektronické pošty je ze zákona stejně důležitá jako archivace obchodní korespondence. Důsledkem toho, že je dnes většina faktur posílána elektronicky ve formátu PDF, je dokonce archiv elektronické pošty vyžadován zákonem o účetnictví. A aby bylo jasno, zálohování není archivace. Zálohování vás vrátí tam, kde jste byli v momentě zálohy. Archivace vám vrátí všechna data, která do okamžiku archivace vznikla.

Periodická kontrola bezpečnostní politiky

Poslední klíčová oblast důležitá i pro majitele malých podniků je pravidelná kontrola bezpečnostní politiky. Tuto kontrolu je možné provádět manuálně, ale se vzrůstajícím počtem zařízení se manuální kontrola stává prakticky nerealizovatelnou. Proto existují systémy pro periodickou kontrolu, skenování zařízení na síti a zjišťování zranitelností, které takovéto kontroly provádí plně automatizovaně.

LANGuard analýza výsledku skenu
LANGuard analýza výsledku skenu

 

Dobrý základ zabezpečení podniku

Jakmile přijde na přetřes bezpečnostní politika, zjistíme, že nikdy nejsme u konce. Těžko očekávat, že v SMB sektoru se stane standardem zavádění certifikací dle ISO 27000. Přinejmenším je ale dobré vědět, co provozuji, jaká mám data a kdo k nim má mít přístup. Spolu s kvalitní antivirovou ochranou a patch managementem je to základ. Důležité je všechny prvky bezpečnostní politiky co nejnezávislejším způsobem kontrolovat. I kdyby to mělo znamenat jen myšlenkové cvičení „co se stane, když“.

Robert Houser
Autor je technickým ředitelem společnosti GFI Česká republika a Slovensko.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.