Bezpieczeństwo startup-ów
RAPORT: WŁASNY BIZNES
W nawale zajęć związanych z uruchomieniem działalności nowej firmy (a potem zapewnienia jej pomyślnego rozwoju) czas poświęcony na formalne podejście do bezpieczeństwa informacji może wydawać się czasem straconym. Jeśli jednak przeanalizujemy to, w jaki sposób przechowywana jest duża część aktywów i kapitału intelektualnego firmy, oczywiste stanie się, że zabezpieczenie systemów i danych przed nieuprawnionym lub niepożądanym dostępem jest jednym z fundamentów sukcesu.
W niniejszym artykule omówię zatem obszary, na których powinna skoncentrować się firma rozpoczynająca działalność, aby nie paść ofiarą przestępstw, niedbalstwa lub złośliwości pracowników oraz nieprzewidzianych katastrof.
Zasady bezpieczeństwa
Dobre podejście do bezpieczeństwa zaczyna się od opracowania i udokumentowania skutecznych zasad. Zbiór takich zasad powinien jasno definiować prawa i obowiązki w miejscu pracy, eliminując tym samym sytuacje typu Przepraszam szefie, nie wiedziałem.
Chociaż stworzenie formalnego zbioru zasad bezpieczeństwa może wydawać się uciążliwym zadaniem, wcale nie musi tak być. Takie zasady nie muszą być długim dokumentem – muszą natomiast uwzględniać główne obszary ryzyka związane z działalnością firmy. W niektórych przypadkach klienci, partnerzy lub dostawcy wymagają od firmy, aby miała ona takie udokumentowane zasady, które mogą oni poddać ocenie – zwłaszcza jeśli planowane jest połączenie systemów dwóch firm. Zasady bezpieczeństwa powinny obejmować następujące zagadnienia:
Dopuszczalne użycie, czyli kodeks postępowania wyraźnie określający cele, do jakich mogą być użyte zasoby informatyczne firmy, w tym dostęp do Internetu. Przykładowo, pracownicy powinni wiedzieć, czy dopuszczalne jest przesyłanie osobistych maili lub wykonywanie prywatnych rozmów telefonicznych, a jeśli tak, to z jakimi ograniczeniami. Czy ograniczony jest czas, w jakim zasoby firmy mogą być użyte do celów osobistych? Czy ograniczony jest dostęp do niektórych serwisów internetowych? Czy pracownicy mogą podłączać do sieci firmy swoje prywatne urządzenia? Jakie zasady regulują użycie haseł? Czy są ograniczenia na rodzaj zawartości, jaka może być przesyłana przez e-mail lub faksem bądź publikowana w Internecie? Należy przy tym zwrócić uwagę, że jeśli polityka zbyt restrykcyjnie ogranicza możliwości pracowników, może to prowadzić do ich niezadowolenia i rezygnacji z pracy. Kategoryczny zakaz korzystania z mediów społecznościowych może przykładowo prowadzić do tego, że pracownicy będą kreatywnie poszukiwać sposobów na obejście zakazu, co może spowodować pojawienie się nowych nieoczekiwanych czynników ryzyka. Należy także określić, jakie sankcje będą stosowane w przypadku naruszenia polityki. Ale przede wszystkim zasady dopuszczalnego użycia powinny być jasne i zwięzłe, aby każdy, kto je podpisuje, w pełni rozumiał ich treść.
Bezpieczeństwo danych – w tym zakresie nasz zbiór zasad powinien koncentrować się na trzech głównych aspektach: poufności, integralności i dostępności danych. Zasady ochrony danych powinny określać strategię zabezpieczenia najważniejszych (w tym niejawnych) danych i zasobów przed nieuprawnionym dostępem, utratą i uszkodzeniem, a także zapewnienia ciągłego dostępu do nich zgodnie z potrzebami. W przypadku firmy rozpoczynającej działalność, zasady powinny w pierwszym okresie koncentrować się na szkoleniu pracowników (dotyczy to głównie obszaru dopuszczalnego użycia), technologicznych metodach zapewnienia dostępu do danych w razie nagłego wypadku, ochronie danych przed uszkodzeniem w razie naruszenia zasad, jak również na metodach zabezpieczenia przed próbami takiego naruszenia.
Podejścia technologiczne
W dobie Internetu najważniejszym zasobem każdej firmy są posiadane przez nią dane. Obecnie większość danych przechowywana jest w postaci cyfrowej, wobec czego wdrożenie efektywnej technologii jest niezmiernie istotne. Tradycyjne rozwiązania oparte na kopiach zapasowych polegają na tym, że dane kopiowane są z serwerów firmy na nośniki archiwalne, np. taśmy. W przypadku firmy rozpoczynającej działalność czynnikiem zniechęcającym do takich rozwiązań są środki finansowe przeznaczone na zakup i utrzymanie sprzętowego rozwiązania do zapisywania kopii zapasowych. Istnieje jednak nowe, bardziej opłacalne rozwiązanie oparte na technologii przetwarzania w chmurze. Najważniejszym wymaganiem firmy – zwłaszcza małej, która nie może sobie pozwolić na własny wydzielony zespół informatyków i specjalistów od bezpieczeństwa – jest ciągłość działania.
Nowa generacja rozwiązań do zabezpieczenia danych koncentruje się nie na ich odtworzeniu, ale właśnie na zapewnieniu ciągłości działania. Nowy paradygmat przetwarzania w chmurze przewiduje zamiast tworzenia kopii zapasowej danych ich przechowywanie w innej lokalizacji, synchronizację i zapewnienie dostępu. Za każdym razem, gdy plik zostaje zmieniony, natychmiast następuje synchronizacja danych z inną lokalizacją (z chmurą), co zapewnia, że najnowsza wersja pliku jest zawsze dostępna. Dostęp do danych powinien być możliwy z każdego urządzenia w dowolnym czasie, bez konieczności wykonywania uprzednio procesu odzyskiwania i przywracania danych.
Logiczna konsekwencja tej koncepcji jest taka, że firma rozpoczynająca działalność w ogóle nie musi ponosić kosztów wdrożenia i eksploatacji własnej lokalnej pamięci masowej. Jeśli dane wrażliwe mogą być bezpiecznie przechowywane w usłudze chmury, za kopie zapasowe odpowiada usługodawca, a dostęp zapewniony jest zawsze, taka technologia w prosty i ekonomiczny sposób spełnia równocześnie wiele wymagań, jak konieczność zapewnienia poufności, integralności i dostępności danych biznesowych.
W dalszym ciągu istnieje oprócz tego potrzeba zapewnienia poufności w przypadku zgubienia czy kradzieży firmowego komputera, tabletu lub smartfon'u. Urządzenia takie mogą być użyte do uzyskania dostępu do pamięci masowej w trybie on-line, a także mogą przechowywać lokalnie dane w trakcie ich przetwarzania. Bezpieczeństwo na poziomie lokalnym jest zatem nadal bardzo ważne. Kluczową technologią w tym obszarze jest szyfrowanie. W przypadku zgubienia, kradzieży lub włamania do urządzenia dane muszą być koniecznie zabezpieczone przed niewłaściwym użyciem.
Innym obszarem bezpieczeństwa, o którym nie wolno zapomnieć, jest zabezpieczenie komputerów, tabletów i smartfon'ów przed wirusami. Przestępczość internetowa w ogóle, a ukierunkowane ataki w szczególności, mają na celu przejęcie kontroli nad urządzeniami i kradzież poufnych danych lub informacji uwierzytelniających. Małe firmy mogą być jednym z najbardziej lukratywnych celów szkodliwego oprogramowania w sferze operacji bankowych. Zaskakujące wyniki przyniosła ankieta przeprowadzona ostatnio przez organizację Visa – wskazuje ona, że te właśnie firmy czują się mniej zagrożone takimi atakami niż duże przedsiębiorstwa. Przestępcy internetowi celują w małe firmy, ponieważ mają one pieniądze, a równocześnie często są wrażliwe na atak z uwagi na brak zasobów i umiejętności pozwalających na zabezpieczenie cennych danych lub informacji uwierzytelniających na poziomie porównywalnym z dużymi przedsiębiorstwami.
Kluczowym osiągnięciem technologii zabezpieczeń przed atakami z Internetu, które firmy rozpoczynające działalność mogą wykorzystywać na masową skalę, jest hosting usług. Polega on na tym, że firma powierza zadanie zainstalowania i skonfigurowania rozwiązania zabezpieczającego oraz zarządzania nim zaufanemu zewnętrznemu usługodawcy. Bez względu na to, które konkretnie rozwiązanie zabezpieczające zostanie wybrane, powinno ono obejmować wszystkie platformy używane w środowisku roboczym – zarówno mobilne, jak i stacjonarne – umożliwiając zarządzanie z jednego interfejsu. Nie powinno ono być oparte na przestarzałej metodzie aktualizacji regularnie pobieranych od dostawcy, lecz powinno używać dynamicznie (w czasie rzeczywistym) inteligentnych metod rozpoznawania ryzyka i powstrzymywania ataków jeszcze przed ich rozpoczęciem. Zarówno bieżące zarządzanie, jak i reakcja na incydenty powierzone zostają ekspertom zajmującym się bezpieczeństwem, dzięki czemu firma może skoncentrować się na swojej zasadniczej działalności, pozyskiwaniu nowych klientów, budowaniu wizerunku marki i osiąganiu sukcesów.
Ochrona najcenniejszych zasobów
Większość firm rozpoczynających działalność w XXI wieku wykorzystuje Internet do pozyskiwania i utrzymywania klientów, co oznacza, że serwis internetowy i rozwiązanie do handlu elektronicznego mają kluczowe znaczenie dla sukcesu firmy. Bezpieczeństwo dotyczy nie tylko biura, lecz także systemów obsługi klienta. Sklepy internetowe i systemy handlu elektronicznego są magnesem przyciągającym przestępców. Przestępcy doskonale wiedzą, że po uzyskaniu nieuprawnionego dostępu do serwera handlu elektronicznego mogą przejąć wielką ilość informacji o kartach kredytowych i innych danych osobowych. Niebezpieczeństwo nie ogranicza się jednak do systemów płatności – serwisy internetowe małych firm także są częstym celem włamań. Jeśli przestępcy dokonają włamania do serwisu internetowego firmy, mogą dążyć do zainfekowania klientów szkodliwym oprogramowaniem, oczywiście bez wiedzy i zgody kierownictwa firmy. Każda z takich ewentualności może spowodować utratę większości klientów.
Firma, która utrzymuje własne serwery webowe, musi zapewnić ich bieżącą aktualizację. Jeśli szybkie instalowanie aktualizacji na bieżąco nie jest możliwe, firma musi zainwestować w rozwiązanie chroniące przed włamaniem do hosta i zapobiegające wykorzystaniu luk w zabezpieczeniach serwera zanim nastąpi aktualizacja. Równie ważne jest regularne testowanie serwerów komunikujących się z Siecią Web pod kątem wrażliwości na penetrację, np. wskutek błędów w skonfigurowaniu lub rozluźnienia dyscypliny posługiwania się hasłami. Większość firm rozpoczynających działalność nie posiada własnych serwerów webowych i korzysta z usług operatora Internetu lub innego partnera. Jest to jeszcze jeden obszar, w którym posiadanie swoich należycie zdefiniowanych zasad bezpieczeństwa daje wielkie korzyści. Należy poznać takiego usługodawcę, zbadać jego zasady ochrony danych, sprawdzić, czy jego możliwości odpowiadają naszym wymaganiom oraz upewnić się, czy stosowane przez niego środki zabezpieczenia danych i systemów są dostateczne.
Biec szybciej niż inni
Bezpieczeństwo jest niestety często postrzegane jako przeszkoda dla elastyczności i prężności działania. Często jednak wybór właściwej technologii, oparty na prawidłowym rozumowaniu, decyduje o tym, czy firma rozpoczynająca działalność przetrwa czy też poniesie klęskę.
W małej firmie, tak jak w wielkim przedsiębiorstwie, centralnym aspektem bezpieczeństwa jest zarządzanie ryzykiem. Całkowite zabezpieczenie się przed wszystkimi zagrożeniami nie jest możliwe – zwłaszcza przy napiętym budżecie. Dlatego główną zasadą powinno być takie utrudnienie ataków, aby przestępca zniechęcił się i skierował swoją uwagę na innym obiekcie.
Warto przypomnieć historyjkę o dwójce ludzi, którzy szli przez dżunglę i nagle spotkali tygrysa. Jeden z nich prędko sięgnął do plecaka i wyciągnął buty do biegania. Drugi spojrzał z powątpiewaniem i powiedział: Naprawdę sądzisz, że w tych butach pobiegniesz szybciej niż tygrys?. Na co pierwszy odparł: Nie muszę biec szybciej niż tygrys. Wystarczy, że będę biegł szybciej niż ty.
Autor: Rik Ferguson
Dyrektor ds. komunikacji i badań nad bezpieczeństwem
w firmie Trend Micr
Zasady bezpieczeństwa
Dobre podejście do bezpieczeństwa zaczyna się od opracowania i udokumentowania skutecznych zasad. Zbiór takich zasad powinien jasno definiować prawa i obowiązki w miejscu pracy, eliminując tym samym sytuacje typu Przepraszam szefie, nie wiedziałem.
Chociaż stworzenie formalnego zbioru zasad bezpieczeństwa może wydawać się uciążliwym zadaniem, wcale nie musi tak być. Takie zasady nie muszą być długim dokumentem – muszą natomiast uwzględniać główne obszary ryzyka związane z działalnością firmy. W niektórych przypadkach klienci, partnerzy lub dostawcy wymagają od firmy, aby miała ona takie udokumentowane zasady, które mogą oni poddać ocenie – zwłaszcza jeśli planowane jest połączenie systemów dwóch firm. Zasady bezpieczeństwa powinny obejmować następujące zagadnienia:
Dopuszczalne użycie, czyli kodeks postępowania wyraźnie określający cele, do jakich mogą być użyte zasoby informatyczne firmy, w tym dostęp do Internetu. Przykładowo, pracownicy powinni wiedzieć, czy dopuszczalne jest przesyłanie osobistych maili lub wykonywanie prywatnych rozmów telefonicznych, a jeśli tak, to z jakimi ograniczeniami. Czy ograniczony jest czas, w jakim zasoby firmy mogą być użyte do celów osobistych? Czy ograniczony jest dostęp do niektórych serwisów internetowych? Czy pracownicy mogą podłączać do sieci firmy swoje prywatne urządzenia? Jakie zasady regulują użycie haseł? Czy są ograniczenia na rodzaj zawartości, jaka może być przesyłana przez e-mail lub faksem bądź publikowana w Internecie? Należy przy tym zwrócić uwagę, że jeśli polityka zbyt restrykcyjnie ogranicza możliwości pracowników, może to prowadzić do ich niezadowolenia i rezygnacji z pracy. Kategoryczny zakaz korzystania z mediów społecznościowych może przykładowo prowadzić do tego, że pracownicy będą kreatywnie poszukiwać sposobów na obejście zakazu, co może spowodować pojawienie się nowych nieoczekiwanych czynników ryzyka. Należy także określić, jakie sankcje będą stosowane w przypadku naruszenia polityki. Ale przede wszystkim zasady dopuszczalnego użycia powinny być jasne i zwięzłe, aby każdy, kto je podpisuje, w pełni rozumiał ich treść.
Bezpieczeństwo danych – w tym zakresie nasz zbiór zasad powinien koncentrować się na trzech głównych aspektach: poufności, integralności i dostępności danych. Zasady ochrony danych powinny określać strategię zabezpieczenia najważniejszych (w tym niejawnych) danych i zasobów przed nieuprawnionym dostępem, utratą i uszkodzeniem, a także zapewnienia ciągłego dostępu do nich zgodnie z potrzebami. W przypadku firmy rozpoczynającej działalność, zasady powinny w pierwszym okresie koncentrować się na szkoleniu pracowników (dotyczy to głównie obszaru dopuszczalnego użycia), technologicznych metodach zapewnienia dostępu do danych w razie nagłego wypadku, ochronie danych przed uszkodzeniem w razie naruszenia zasad, jak również na metodach zabezpieczenia przed próbami takiego naruszenia.
Podejścia technologiczne
W dobie Internetu najważniejszym zasobem każdej firmy są posiadane przez nią dane. Obecnie większość danych przechowywana jest w postaci cyfrowej, wobec czego wdrożenie efektywnej technologii jest niezmiernie istotne. Tradycyjne rozwiązania oparte na kopiach zapasowych polegają na tym, że dane kopiowane są z serwerów firmy na nośniki archiwalne, np. taśmy. W przypadku firmy rozpoczynającej działalność czynnikiem zniechęcającym do takich rozwiązań są środki finansowe przeznaczone na zakup i utrzymanie sprzętowego rozwiązania do zapisywania kopii zapasowych. Istnieje jednak nowe, bardziej opłacalne rozwiązanie oparte na technologii przetwarzania w chmurze. Najważniejszym wymaganiem firmy – zwłaszcza małej, która nie może sobie pozwolić na własny wydzielony zespół informatyków i specjalistów od bezpieczeństwa – jest ciągłość działania.
Nowa generacja rozwiązań do zabezpieczenia danych koncentruje się nie na ich odtworzeniu, ale właśnie na zapewnieniu ciągłości działania. Nowy paradygmat przetwarzania w chmurze przewiduje zamiast tworzenia kopii zapasowej danych ich przechowywanie w innej lokalizacji, synchronizację i zapewnienie dostępu. Za każdym razem, gdy plik zostaje zmieniony, natychmiast następuje synchronizacja danych z inną lokalizacją (z chmurą), co zapewnia, że najnowsza wersja pliku jest zawsze dostępna. Dostęp do danych powinien być możliwy z każdego urządzenia w dowolnym czasie, bez konieczności wykonywania uprzednio procesu odzyskiwania i przywracania danych.
Logiczna konsekwencja tej koncepcji jest taka, że firma rozpoczynająca działalność w ogóle nie musi ponosić kosztów wdrożenia i eksploatacji własnej lokalnej pamięci masowej. Jeśli dane wrażliwe mogą być bezpiecznie przechowywane w usłudze chmury, za kopie zapasowe odpowiada usługodawca, a dostęp zapewniony jest zawsze, taka technologia w prosty i ekonomiczny sposób spełnia równocześnie wiele wymagań, jak konieczność zapewnienia poufności, integralności i dostępności danych biznesowych.
W dalszym ciągu istnieje oprócz tego potrzeba zapewnienia poufności w przypadku zgubienia czy kradzieży firmowego komputera, tabletu lub smartfon'u. Urządzenia takie mogą być użyte do uzyskania dostępu do pamięci masowej w trybie on-line, a także mogą przechowywać lokalnie dane w trakcie ich przetwarzania. Bezpieczeństwo na poziomie lokalnym jest zatem nadal bardzo ważne. Kluczową technologią w tym obszarze jest szyfrowanie. W przypadku zgubienia, kradzieży lub włamania do urządzenia dane muszą być koniecznie zabezpieczone przed niewłaściwym użyciem.
Innym obszarem bezpieczeństwa, o którym nie wolno zapomnieć, jest zabezpieczenie komputerów, tabletów i smartfon'ów przed wirusami. Przestępczość internetowa w ogóle, a ukierunkowane ataki w szczególności, mają na celu przejęcie kontroli nad urządzeniami i kradzież poufnych danych lub informacji uwierzytelniających. Małe firmy mogą być jednym z najbardziej lukratywnych celów szkodliwego oprogramowania w sferze operacji bankowych. Zaskakujące wyniki przyniosła ankieta przeprowadzona ostatnio przez organizację Visa – wskazuje ona, że te właśnie firmy czują się mniej zagrożone takimi atakami niż duże przedsiębiorstwa. Przestępcy internetowi celują w małe firmy, ponieważ mają one pieniądze, a równocześnie często są wrażliwe na atak z uwagi na brak zasobów i umiejętności pozwalających na zabezpieczenie cennych danych lub informacji uwierzytelniających na poziomie porównywalnym z dużymi przedsiębiorstwami.
Kluczowym osiągnięciem technologii zabezpieczeń przed atakami z Internetu, które firmy rozpoczynające działalność mogą wykorzystywać na masową skalę, jest hosting usług. Polega on na tym, że firma powierza zadanie zainstalowania i skonfigurowania rozwiązania zabezpieczającego oraz zarządzania nim zaufanemu zewnętrznemu usługodawcy. Bez względu na to, które konkretnie rozwiązanie zabezpieczające zostanie wybrane, powinno ono obejmować wszystkie platformy używane w środowisku roboczym – zarówno mobilne, jak i stacjonarne – umożliwiając zarządzanie z jednego interfejsu. Nie powinno ono być oparte na przestarzałej metodzie aktualizacji regularnie pobieranych od dostawcy, lecz powinno używać dynamicznie (w czasie rzeczywistym) inteligentnych metod rozpoznawania ryzyka i powstrzymywania ataków jeszcze przed ich rozpoczęciem. Zarówno bieżące zarządzanie, jak i reakcja na incydenty powierzone zostają ekspertom zajmującym się bezpieczeństwem, dzięki czemu firma może skoncentrować się na swojej zasadniczej działalności, pozyskiwaniu nowych klientów, budowaniu wizerunku marki i osiąganiu sukcesów.
Ochrona najcenniejszych zasobów
Większość firm rozpoczynających działalność w XXI wieku wykorzystuje Internet do pozyskiwania i utrzymywania klientów, co oznacza, że serwis internetowy i rozwiązanie do handlu elektronicznego mają kluczowe znaczenie dla sukcesu firmy. Bezpieczeństwo dotyczy nie tylko biura, lecz także systemów obsługi klienta. Sklepy internetowe i systemy handlu elektronicznego są magnesem przyciągającym przestępców. Przestępcy doskonale wiedzą, że po uzyskaniu nieuprawnionego dostępu do serwera handlu elektronicznego mogą przejąć wielką ilość informacji o kartach kredytowych i innych danych osobowych. Niebezpieczeństwo nie ogranicza się jednak do systemów płatności – serwisy internetowe małych firm także są częstym celem włamań. Jeśli przestępcy dokonają włamania do serwisu internetowego firmy, mogą dążyć do zainfekowania klientów szkodliwym oprogramowaniem, oczywiście bez wiedzy i zgody kierownictwa firmy. Każda z takich ewentualności może spowodować utratę większości klientów.
Firma, która utrzymuje własne serwery webowe, musi zapewnić ich bieżącą aktualizację. Jeśli szybkie instalowanie aktualizacji na bieżąco nie jest możliwe, firma musi zainwestować w rozwiązanie chroniące przed włamaniem do hosta i zapobiegające wykorzystaniu luk w zabezpieczeniach serwera zanim nastąpi aktualizacja. Równie ważne jest regularne testowanie serwerów komunikujących się z Siecią Web pod kątem wrażliwości na penetrację, np. wskutek błędów w skonfigurowaniu lub rozluźnienia dyscypliny posługiwania się hasłami. Większość firm rozpoczynających działalność nie posiada własnych serwerów webowych i korzysta z usług operatora Internetu lub innego partnera. Jest to jeszcze jeden obszar, w którym posiadanie swoich należycie zdefiniowanych zasad bezpieczeństwa daje wielkie korzyści. Należy poznać takiego usługodawcę, zbadać jego zasady ochrony danych, sprawdzić, czy jego możliwości odpowiadają naszym wymaganiom oraz upewnić się, czy stosowane przez niego środki zabezpieczenia danych i systemów są dostateczne.
Biec szybciej niż inni
Bezpieczeństwo jest niestety często postrzegane jako przeszkoda dla elastyczności i prężności działania. Często jednak wybór właściwej technologii, oparty na prawidłowym rozumowaniu, decyduje o tym, czy firma rozpoczynająca działalność przetrwa czy też poniesie klęskę.
W małej firmie, tak jak w wielkim przedsiębiorstwie, centralnym aspektem bezpieczeństwa jest zarządzanie ryzykiem. Całkowite zabezpieczenie się przed wszystkimi zagrożeniami nie jest możliwe – zwłaszcza przy napiętym budżecie. Dlatego główną zasadą powinno być takie utrudnienie ataków, aby przestępca zniechęcił się i skierował swoją uwagę na innym obiekcie.
Warto przypomnieć historyjkę o dwójce ludzi, którzy szli przez dżunglę i nagle spotkali tygrysa. Jeden z nich prędko sięgnął do plecaka i wyciągnął buty do biegania. Drugi spojrzał z powątpiewaniem i powiedział: Naprawdę sądzisz, że w tych butach pobiegniesz szybciej niż tygrys?. Na co pierwszy odparł: Nie muszę biec szybciej niż tygrys. Wystarczy, że będę biegł szybciej niż ty.
Autor: Rik Ferguson
Dyrektor ds. komunikacji i badań nad bezpieczeństwem
w firmie Trend Micr
|
nr 12(116)2011  |
|
