Bezpieczeństwo IT w firmach z różnych branż
Przyjmowana przez firmy polityka bezpieczeństwa informacji powinna zależeć nie tylko od skali działania przedsiębiorstwa i jego zasięgu, ale również od branży, w jakiej działa. Czy profilowanie własnej oferty rozwiązań ochronnych z myślą o konkretnych branżach się opłaca?
Zgodnie z szóstym już rocznym raportem „Blurring the lines – 2013 TMT Global Security Study”, opracowanym przez Deloitte, firmy z branż Technology, Media and Telecommunications zawsze zaczynają ochronę swoich systemów IT od działań prewencyjnych. Z drugiej strony autorzy raportu wyraźnie podkreślają, że choć prewencji nie można zaniechać, to żaden podmiot przetwarzający jakiekolwiek dane nie jest w 100 proc. zabezpieczony przed potencjalnym atakiem. Niestety, większość analiz dotyczących bezpieczeństwa IT w firmach z różnych branż prowadzi do wniosków, że ochronę danych czy ogólnie zasobów informatycznych cechuje jedno: znaczne niedofinansowanie. Do takich wniosków prowadzi m.in. lektura opracowanego przez B2B International oraz firmę Kaspersky Lab badania „Global Corporate IT Security Risks 2013”.
Z punktu widzenia resellera lub integratora informacja o niedofinansowaniu w obszarze bezpieczeństwa może być traktowana jako dobra wiadomość. Stanowi pewną motywację do intensyfikacji działań, które mogą przełożyć się na konkretne wdrożenia. Jednak z drugiej strony wyniki wspomnianych analiz to jednak oczywisty problem, którym jest brak wiedzy o potencjalnych zagrożeniach, a więc też brak zainteresowania nimi ze strony osób decyzyjnych.
Zgodnie ze wspomnianym raportem 60 proc. osób podejmujących biznesowe decyzje dotyczące IT sygnalizuje brak czasu oraz pieniędzy na opracowanie spójnej strategii ochrony danych. Odsetek firm, w których procesy pozwalające zwalczać zagrożenia oceniono dobrze, sięga około 50 proc. Gdy weźmiemy pod uwagę konkretne branże, sytuacja wygląda czasem znacznie gorzej. Nieciekawie jest w edukacji, gdzie jedynie 28 proc. placówek uznaje, że ich rozwiązania w zakresie bezpieczeństwa IT zapewniają im wystarczający poziom ochrony. Minimalnie lepiej jest w instytucjach rządowych. Tutaj wskaźnik zadowolonych sięga 34 proc. Pozostałe dwie trzecie podmiotów ma poczucie stałego zagrożenia utratą poufnych informacji.
Rozwiązaniem, które w znacznym stopniu podniosłoby poziom ochrony danych w przedsiębiorstwach o różnych profilach działalności, byłoby chociażby wdrożenie spójnych reguł bezpieczeństwa dotyczących urządzeń mobilnych. Odwołując się raz jeszcze do wspomnianego raportu B2B International oraz Kaspersky Lab: w ciągu 12 miesięcy poprzedzających jego powstanie aż 91 proc. firm padło ofiarą co najmniej jednego zewnętrznego incydentu bezpieczeństwa, a w przypadku 85 proc. firm zgłoszono incydenty wewnętrzne.
Paweł Jurek
wicedyrektor ds. rozwoju, Dagma
Podczas profilowania oferty znacznie ważniejszymi czynnikami niż branża, w której firma działa, są: wielkość i struktura sieci klienta, a także organizacja pracy w dziale IT.
Zarządzanie ryzykiem źródłem zysku?
Sięgnijmy do kolejnego badania – tym razem przeprowadzonego wśród uczestników tegorocznego Cisco Forum 2014, głównie menedżerów i specjalistów IT z polskich instytucji i przedsiębiorstw. Wykazało ono, że to właśnie zarządzanie ryzykiem oraz bezpieczeństwo będą w najbliższych latach wywierać największy wpływ na IT w firmach. Wraz z postępującym rozwojem infrastruktury technicznej i masowym wzrostem ilości przetwarzanych danych zwiększa się także liczba ataków i poziom cyberzagrożeń. Ten ostatni – jeżeli wierzyć ogólnoświatowemu badaniu Cisco Annual Security Report – jest najwyższy w historii prowadzenia statystyk dotyczących zagrożeń bezpieczeństwa danych (w tym przypadku od 2000 r.).
Liczba danych przetwarzanych w firmach będzie w najbliższym czasie rosnąć, niezależnie od branży, w jakiej specjalizuje się dana jednostka gospodarcza. Dla działów IT to duże wyzwanie w zakresie skalowalności, wydajności i właśnie bezpieczeństwa. Wymaga konkretnych inwestycji, jednak wielu specjalistów zwraca uwagę także na to, że przy planowaniu zakupów i wdrożeń nowych rozwiązań (również w zakresie ochrony danych) jednym z głównych czynników decydujących o ich wyborze jest koszt. Rozwiązaniem elastycznym kosztowo, skalowalnym i łatwo adaptowalnym do firm o dowolnej skali działania są aplikacje i usługi w chmurze. Dodatkową ich zaletą jest nabywana niejako w pakiecie ochrona danych – kwestie bezpieczeństwa pozostają w gestii usługodawcy i gwarancji SLA.
Coraz bardziej rozpowszechnione przetwarzanie w chmurze umożliwia wyekspediowanie części usług IT poza firmę. Według Cisco w przedsiębiorstwach, które już korzystają z cloud computingu, najczęściej wykorzystywanymi usługami i aplikacjami działającymi w chmurze są: poczta elektroniczna (73 proc.), kalendarz (47 proc.), aplikacje biznesowe (zarządzanie sprzedażą, fakturowanie, księgowość itp. – 46 proc.) oraz usługi telekonferencyjne online (39 proc.).
Dariusz Fabiszewski
dyrektor generalny Cisco Systems
Koszty inwestycji w rozwiązania IT zawsze były jednym z głównych czynników branych pod uwagę przy planowaniu zakupów i wdrożeń nowych rozwiązań. Z tego względu wiele firm wstrzymywało niezbędne inwestycje. Sytuacja zmieniła się wraz z rozwojem i upowszechnieniem chmury obliczeniowej, która sprawia, że przedsiębiorstwa nie muszą dokonywać kosztownych zakupów sprzętu i oprogramowania, mogą bowiem robić to w modelu as-a-Service. Z naszych badań wynika, że z usług i aplikacji w chmurze już teraz korzysta lub zacznie korzystać w ciągu najbliższych sześciu miesięcy połowa polskich firm i instytucji.
Edukacja (szkoły, uczelnie)
Bezpieczeństwo IT w branży edukacyjnej to przede wszystkim ochrona danych osobowych kadry dydaktycznej, uczniów/studentów i innych pracowników. Ważne są także odpowiednie procedury, które mają chronić przed niepowołanym dostępem do wyników badań naukowych, arkuszy egzaminacyjnych, wyników testów etc. Warto pamiętać, że wielu producentów rozwiązań ochronnych oferuje instytucjom edukacyjnym preferencyjne stawki. Zwykle są to znacznie niższe koszty licencjonowania oprogramowania bądź tańsze (lub wręcz bezpłatne) plany subskrypcyjne usług w chmurze. Wiele instytucji edukacyjnych wyposażanych jest nie tylko w typowy sprzęt komputerowy, ale też np. w telefonię IP. Ta akurat technologia pozwala m.in. na ułatwienie procesu rekrutacji (a tym samym redukcję jego kosztów).
Handel (sklepy, sieci handlowe, hurtownie)
Kwestię bezpieczeństwa IT w branży handlowej w znacznym stopniu determinuje obowiązek ochrony danych osobowych. Oprócz tego wdrażane rozwiązania powinny uwzględniać specyficzne dane gromadzone przez firmę handlową. Mogą to być zarówno informacje dotyczące stanów magazynowych, monitoringu sklepu i towarów, analizy ruchu czy sposobu poruszania się klientów.
W przypadku firm działających w branży handlowej ochrona informacji jest tym ważniejsza, że utrata np. danych klientów, zwłaszcza gdy te dostaną się w niepowołane ręce, może oznaczać utratę zaufania do firmy. Specyfika branży handlowej wymaga często łączenia niespójnych rozwiązań informatycznych (kontakt z klientem, współpraca z różnymi dostawcami itp.), co narzuca pewne wymagania dotyczące rozwiązań ochronnych. Powinny uwzględniać przetwarzanie danych w środowisku heterogenicznym i otwartym, bardziej narażonym na próby włamania i innego typu ataki cyberprzestępców.
Urzędy i instytucje (urzędy administracji państwowej, urzędy skarbowe, organizacje pozarządowe)
Dane przetwarzane przez urzędy administracji państwowej, urzędy skarbowe i inne jednostki terytorialne podlegające rządowemu aparatowi administracyjnemu charakteryzuje wysoki stopień standaryzacji i formalizmu wynikającego z charakteru działalności tych placówek. Zachowanie spójnych protokołów ułatwia np. komunikację między poszczególnymi placówkami, ale nakłada dodatkowe wymagania dotyczące ochrony i integralności danych. Warto też zauważyć, że sztywne procedury w zakresie przetwarzania danych nakładają na określone instytucje konkretne obowiązki związane z bezpieczeństwem informatycznym.
Wszelkie wdrożenia dotyczące zwiększenia poziomu bezpieczeństwa IT czy w ogóle przetwarzania informacji w przypadku instytucji wchodzących w skład aparatu administracyjno-skarbowego państwa są regulowane przez ustawę – Prawo zamówień publicznych i najczęściej poprzedzane wymaganą prawnie procedurą przetargową. Zresztą sam mechanizm realizowania zamówień publicznych w Polsce również podlega informatyzacji, plany z tym związane zostały ogłoszone przez Urząd Zamówień Publicznych jeszcze w 2012 r. Celem jest zastąpienie aktualnie obowiązującej formy pisemnej – w postępowaniach dotyczących zamówień publicznych – formą elektroniczną, co również wymaga adekwatnego poziomu zabezpieczeń.
Ochrona zdrowia (przychodnie, szpitale, apteki)
Bezpieczeństwo IT w placówkach ochrony zdrowia to oczywisty wymóg należytej ochrony danych osobowych – zarówno pracowników, jak i pacjentów. Ponadto cechą szczególną znacznej części danych przetwarzanych w placówkach medycznych jest ich poufność. Branża ta to również farmaceutyka, badania naukowe, biologia molekularna – gałęzie, w których przetwarzane dane powinny mieć zapewniony najwyższy poziom ochrony przed infiltracją, wandalizmem cyfrowym, szpiegostwem itp.
Ochrona danych osobowych i poufnych wyników badań to oczywiście nie wszystko. Szpitale i inne jednostki służby zdrowia korzystają również z oprogramowania usprawniającego wymianę danych z Narodowym Funduszem Zdrowia. Ponadto w wielu placówkach wdraża się rozwiązania informatyczne w zakresie stosunkowo nowego typu działalności – telemedycyny. Przykładem są badania prowadzone m.in. przez podwarszawski Instytut Kardiologii w Aninie, gdzie stan pacjentów może być monitorowany 24 godziny na dobę, mimo iż nie przebywają w placówce. Urządzenia monitorujące umieszczone na ciele pacjenta zdalnie przesyłają do placówki dane, które są w niej na bieżąco analizowane. Z jednej strony takie rozwiązanie pomaga uzyskać znacznie dokładniejszą diagnozę, ale z drugiej stawia nowe wymagania w zakresie ochrony danych.
Budownictwo (biura architektoniczne i geodezyjne, deweloperzy)
Spowolnienie gospodarcze w branży budowlanej wymusza poszukiwanie rozwiązań informatycznych, które z jednej strony pomagają zwiększyć efektywność firm, a z drugiej zapewniają optymalny poziom bezpieczeństwa przetwarzanych danych. W tym przypadku informacjami o wysokiej wrażliwości są m.in. dane projektowe i przetwarzanie danych w ramach różnych systemów IT. Ze względu na rozproszenie (prowadzenie prac projektowych, budowlanych i wykończeniowych w różnych miejscach) i konieczność dostępu uprawnionych użytkowników do odpowiednich danych za pomocą różnych urządzeń (laptopów, smartfonów itp.) w czasie rzeczywistym (np. sprawdzanie bieżących stanów materiałowych, monitorowanie przepływu sprzętu), tego typu przedsiębiorstwa będą zainteresowane przede wszystkim ochroną komunikacji realizowanej za pomocą różnych technik i protokołów.
Doradztwo biznesowe i prawne (kancelarie, biura rachunkowe)
W instytucjach doradczych szczególne znaczenie mają rozwiązania dotyczące przechowywania danych, ich szyfrowania, wysokiej dostępności i uwierzytelniania dostępu. Sama realizacja wdrożenia zależna jest od skali działania organizacji. Inne potrzeby będzie miała niewielka placówka doradcza, a inne wielooddziałowa, międzynarodowa korporacja prawna i firma konsultingowa. Część klientów z tej branży decyduje się na wdrożenie rozwiązań u siebie, część wybiera bezpieczne przechowywanie danych na zdalnych serwerach bądź korzystanie z chmury.
Finanse i ubezpieczenia (banki, biura maklerskie, firmy ubezpieczeniowe)
Zarządzanie instrumentami finansowymi oraz majątkiem klienta to operacje wymagające najwyższego poziomu zabezpieczeń. Nic zatem dziwnego, że ta branża od dawna przoduje w inwestowaniu w rozwiązania IT, których zadaniem jest podwyższanie poziomu ochrony przetwarzanych informacji. Ponadto charakter przetwarzanych danych powoduje zwiększone zapotrzebowanie na wszelkie narzędzia wspomagające bezpieczną archiwizację informacji i wykonywanie kopii zapasowych. Specyfika tej branży wymaga również stosowania zaawansowanych systemów uwierzytelniania (tokenów, haseł jednorazowych itp.) stosowanych zarówno na linii klient – instytucja finansowa, jak i w rozliczeniach instytucjonalnych między podmiotami.
Przemysł (produkcja, wydobycie, energetyka)
Specyfika branży nakłada obowiązek szczególnej dbałości o bezpieczeństwo IT i stosowanie rozwiązań ściśle współpracujących z systemami automatyki przemysłowej i przystosowanych do pracy w cyklu ciągłym. Przykładem instalacji o kluczowym znaczeniu są wszelkiego typu rozwiązania służące podtrzymywaniu zasilania w przypadku awarii, co pozwala uniknąć kosztownych przestojów w produkcji. Istotne znaczenie mają również systemy monitoringu IP umożliwiające m.in. zwiększenie poziomu bezpieczeństwa pracowników (np. w branży wydobywczej).
Podobne artykuły
NAKIVO: niezawodny backup bez inwestowania w nowy sprzęt
Bezpieczeństwo środowisk IT często postrzegane jest jako koszt, co prowokuje do poszukiwania oszczędności w tym obszarze. Podobnie jest z kwestiami dotyczącymi backupu danych. Świadoma tej sytuacji firma NAKIVO opracowała rozwiązanie, które zapewnia bardzo bogatą funkcjonalność, ale jednocześnie minimalizuje koszty jego wdrożenia i obsługi.
Intel ułatwia zabezpieczenie systemu Windows 11
Nietypowe działania cyberprzestępców wymagają nietypowych metod obrony. Aby skutecznie zabezpieczyć system IT konieczne okazało się wprowadzenie mechanizmów ochronnych także w sprzęcie. Wyzwanie to, we współpracy z Microsoftem, podjęła firma Intel.
SD-WAN: sieć dla hybrydowego IT
Bezpieczeństwo firmowych danych, a także komfort pracowników uzyskujących zdalny dostęp do aplikacji i cyfrowych zasobów, muszą być takie same bez względu na ich lokalizację i rodzaj wykorzystywanego urządzenia. Ochronę złożonej i rozproszonej infrastruktury IT umożliwiają rozwiązania typu SD-WAN.