Najlepsze zasady ochrony danych i ciągłości biznesowej w mobilnym świecie Przewodnik dla małych i średnich firm

Transkrypt

1 Biała księga Najlepsze zasady ochrony danych i ciągłości biznesowej w mobilnym świecie Przewodnik dla małych i średnich firm Autorzy: Colm Keegan, starszy analityk; Dan Conde, analityk; Leah Matuson, analityk badawczy Czerwiec 2015 To opracowanie zostało przygotowane przez ESG na zamówienie firmy HP i jest dystrybuowane na licencji udzielonej przez grupę ESG by The Enterprise Strategy Group, Inc. Wszelkie prawa zastrzeżone.

2 Spis treści Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 2 Wprowadzenie: Znaczenie ochrony infrastruktury informatycznej i zasobów biznesowych małych i średnich firm... 3 Małe i średnie firmy odczuwają istotny brak kompetencji w obszarze IT... 4 Możliwości i zagrożenia związane z mobilnością miejsca pracy i wykorzystaniem urządzeń prywatnych do celów służbowych... 5 Rozwiązania zapewniające bezpieczną mobilność danych i zdalną ochronę informacji... 6 Bezpieczna sieć: Tworzenie solidnych podstaw ochrony firmy... 7 Potrzeba wielowarstwowych zabezpieczeń działalności biznesowej... 7 Integracja narzędzi zabezpieczających i administracyjnych w celu zapewnienia przejrzystości i ochrony... 8 Zgodność ze standardami i procesami branżowymi to podstawa... 9 Potrzeba ochrony przed zagrożeniami w czasie rzeczywistym Dodatkowe kwestie informatyczne dotyczące bezpieczeństwa firmy Ciągła dostępność jako podstawowe narzędzie zapewniające konkurencyjność Infrastruktura informatyczna skalowana na żądanie Zasadnicza rola zunifikowanej i scentralizowanej ochrony danych Profesjonalne kompleksowe usługi wsparcia technicznego Szersze spojrzenie Wszystkie nazwy znaków towarowych są własnością odpowiednich spółek. Informacje zawarte w niniejszej publikacji uzyskano ze źródeł, które The Enterprise Strategy Group (ESG) uznaje za wiarygodne, jednak nie może tego zagwarantować. Niniejsza publikacja może zawierać opinie ESG, które mogą ulegać okresowym zmianom. Niniejsza publikacja jest objęta prawem autorskim The Enterprise Strategy Group, Inc. Jakakolwiek reprodukcja lub redystrybucja tej publikacji, w całości lub w części, w formacie papierowym, elektronicznym lub innym, przeznaczona dla osób nieupoważnionych do jej otrzymania, bez wyraźnej zgody The Enterprise Strategy Group, Inc., stanowi naruszenie przepisów prawa autorskiego Stanów Zjednoczonych oraz będzie podstawą do dochodzenia odszkodowania w postępowaniu cywilnym oraz, w stosownych przypadkach, postępowaniu karnym. W przypadku jakichkolwiek pytań należy skontaktować się z działem obsługi klientów grupy ESG pod numerem

3 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 3 Wprowadzenie: Znaczenie ochrony infrastruktury informatycznej i zasobów biznesowych małych i średnich firm Małe i średnie firmy borykają się z nie lada zmartwieniem, gdy chodzi o zapewnienie sprawnego, energicznego i pomyślnego działania. Biorąc pod uwagę odradzającą się gospodarkę, coraz bardziej konkurencyjny rynek, podlegającą ciągłym zmianom dynamikę rynku oraz nieprzemijające zagrożenia bezpieczeństwa danych, małe i średnie przedsiębiorstwa potrzebują niezawodnych i skutecznych środków ochrony zasobów biznesowych. Małe i średnie firmy mogą działać bardziej elastycznie i szybciej reagować na potrzeby klientów i pojawiające się szanse. Zwykle dysponują jednak ograniczonymi zasobami, jeśli chodzi o finanse przeznaczone na inwestycje w infrastrukturę informatyczną oraz pracowników niezbędnych do zapewnienia całodobowej pracy przedsiębiorstwa. Co więcej, klienci i partnerzy biznesowi oczekują od małych i średnich firm coraz lepszego poziomu obsługi: stałego dostępu do informacji i usług z dowolnego urządzenia i w dowolnym miejscu na świecie. Pracownicy z kolei poszukują nowych metod podnoszenia produktywności zarówno tych pochwalanych przez firmowy dział IT, jak i wszelkich innych. Wiele firm z tego segmentu stara się podążać za nowymi trendami, takimi jak obsługa aplikacji z poziomu urządzeń mobilnych, by dostosować się do ekosystemu klientów, partnerów i pracowników. Rodzi to jednak wątpliwości, czy dane firmy są udostępniane bezpiecznie, bez tworzenia luk w zabezpieczeniach informacji. Jak dobrze chronić dane rozproszone na niezliczonych serwerach aplikacji i urządzeniach użytkowników na całym świecie? Aby sprostać nowym wymaganiom biznesowym i pozostawać konkurencyjnym dzięki kapitalizacji pojawiających się szans rynkowych, małe i średnie firmy muszą dysponować elastyczną infrastrukturą aplikacji z możliwością jej rozszerzenia bez zwiększania poziomu złożoności i kosztów. Głównym wyzwaniem jest tu fakt, że większość małych i średnich firm po prostu nie może przeznaczyć czasu lub zasobów na zaspokojenie wszystkich informatycznych potrzeb bez zaniedbywania podstawowej działalności. Aby sprostać wyzwaniom i niebezpieczeństwom ery cyfrowej, nie rezygnując z aktywnego dążenia do sukcesu, małe i średnie firmy muszą współpracować z organizacjami świadczącymi profesjonalne usługi na najwyższym poziomie, które gwarantują bezpieczną realizację sześciu głównych inicjatyw informatycznych: Mobilność danych. W obliczu rosnącej popularności korzystania z prywatnych urządzeń do celów służbowych (BYOD) firmy muszą mieć możliwość tworzenia i egzekwowania zasad podnoszących wydajność pracy oraz zapewnienia bezpieczeństwa poufnych danych. Solidna struktura zabezpieczeń informacji (przed zagrożeniami zewnętrznymi i wewnętrznymi). Ochrona poufnych informacji i danych o kluczowym znaczeniu dla firmy to podstawa. Bez względu na to, czy zagrożenie pochodzi spoza firmowej zapory, czy ma źródło w samej firmie narażenie bezpieczeństwa danych firmy oznacza ryzyko utraty przychodów, zaufania klientów oraz reputacji wśród klientów i społeczeństwa. Całodobowa dostępność aplikacji. Małe i średnie firmy muszą dbać o to, by ich aplikacje były przez cały czas maksymalnie dostępne. Transakcje biznesowe można zawierać zawsze i wszędzie, dlatego firmy muszą zapewniać stały, niezawodny i zabezpieczony dostęp do aplikacji swoim pracownikom oraz obecnym i potencjalnym klientom. Skalowalna infrastruktura. Aby firma mogła się rozwijać, musi nadążać za nieustannie zmieniającymi się potrzebami biznesu. Do tego niezbędna jest skalowalna infrastruktura, która pozwala ograniczyć wydatki kapitałowe i operacyjne, zredukować poświęcony czas i zasoby oraz zapewnić stałą, wydajną obsługę. Wszechobecna, kompleksowa ochrona. Dane muszą być aktywnie chronione w każdym miejscu: w głównych centrach danych, w oddziałach zdalnych, na urządzeniach użytkowników pracujących w terenie. Aby uprościć zarządzanie operacyjne, potrzebne jest wspólna struktura tworzenia kopii zapasowych i przywracania danych.

4 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 4 Kompleksowe, profesjonalne usługi. Małe i średnie firmy muszą zbudować kluczowe relacje partnerskie z organizacjami, które zapewniają usługi konsultingowe i szkoleniowe oraz ciągłe wsparcie. Zestaw usług może także obejmować różne usługi finansowe, które umożliwiają małym i średnim firmom nabywanie ważnych zasobów wymaganych do dalszego działania. Małe i średnie firmy odczuwają istotny brak kompetencji w obszarze IT W większości przedsiębiorstw nie ma zasobów IT niezbędnych do realizacji podstawowych wymogów biznesowych. Według badania przeprowadzonego przez firmę ESG, profesjonaliści IT zapytani o najbardziej problematyczne braki zasobów w działach IT najczęściej już czwarty rok z rzędu wymieniali bezpieczeństwo danych (patrz rysunek 1). 1 Brak osób przeszkolonych pod względem zapewniania bezpieczeństwa w małych i średnich firmach pociąga za sobą ryzyko włamania do baz danych i kradzieży informacji (zarówno z zewnątrz, jak i wewnątrz firmy), czego skutkiem może być narażenie dostępności aplikacji i informacji, a nawet poważniejsze zagrożenie. Co więcej, niektórym przedsiębiorstwom brakuje także podstawowych umiejętności z zakresu projektowania architektury IT, zarządzania urządzeniami przenośnymi i wdrażania aplikacji mobilnych. Te umiejętności są dla firm coraz ważniejsze, ponieważ przedsiębiorcy nieustannie poszukują nowych sposobów na zapewnienie użytkownikom i klientom lepszego poziomu obsługi, próbując wykorzystać nowe możliwości na rynku. Bardzo ważne jest więc holistyczne podejście do organizacji niezbędnych zasobów, tak aby promować rozwój i zapewnić bezpieczeństwo środowiska informatycznego firmy. Wymaga to właściwego połączenia inteligentnego sprzętu i technologii programowych. Kluczową kwestią jest też oczywiście współpraca z organizacjami, które mogą zapewnić profesjonalne usługi i fachową pomoc niezbędne do zbudowania podstaw wydajnej, wysokodostępnej, skalowalnej i bezpiecznej infrastruktury z kompleksowymi zabezpieczeniami danych. Ponadto dzięki zapewnianym przez firmy partnerskie szkoleniom i certyfikacjom małe i średnie firmy mogą budować własne doświadczenie dające im większą niezależność. Rysunek 1. Obszary technologii, w których występują problematyczne braki kompetencji W którym z następujących obszarów IT występuje problem braku kwalifikacji wśród pracowników Państwa firmy? (liczba odpowiedzi respondentów wyrażona w procentach, N=591, można udzielić wielu odpowiedzi) Bezpieczeństwo informacji Architektura IT/planowanie Zarządzanie urządzeniami przenośnymi Projektowanie aplikacji na urządzenia przenośne Wirtualizacja serwerów/infrastruktura chmury prywatnej Projektowanie aplikacji Analiza biznesowa/analiza danych Ochrona danych (tj. tworzenie kopii zapasowych i odzyskiwanie danych) Administracja sieci Administracja serwerów Administracja baz danych Pomoc techniczna/serwis Zarządzanie zgodnością, monitorowanie i raportowanie Zarządzanie pamięcią masową Przedsiębiorstwo społeczne/technologie współpracy Media społecznościowe/technologie marketingowe Nie odczuwamy braku kwalifikacji w żadnym obszarze IT 23% 22% 21% 19% 19% 18% 17% 17% 16% 16% 16% 15% 13% 13% 13% 13% 28% 0% 5% 10% 15% 20% 25% 30% Źródło: Enterprise Strategy Group, 2015 r. 1 Źródło: Raport badawczy firmy ESG 2015 IT Spending Intentions Survey, luty 2015 r.

5 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 5 Możliwości i zagrożenia związane z mobilnością miejsca pracy i wykorzystaniem urządzeń prywatnych do celów służbowych Mobilność miejsc pracy staje się trendem postępującym z zawrotną prędkością wraz z rozwojem technologicznym. Dzięki różnorodności urządzeń przenośnych (takich jak laptopy, terminale, tablety, smartfony) oraz niezliczonym narzędziom do udostępniania danych i współpracy, pracę można wykonywać w dowolnym miejscu i czasie oraz na dowolnym urządzeniu. Aby zachować przewagę nad konkurencją, małe i średnie firmy muszą zapewnić swoim pracownikom, partnerom i klientom bezpieczny dostęp do odpowiednich danych. Jednak poza możliwością zwiększenia wydajności pracy i podniesienia poziomu obsługi klientów, postępująca mobilność wiąże się także z powstawaniem luk w zabezpieczeniach informacji. Ochrona danych przed zagrożeniami spoza zapory i z wewnątrz Dzięki regularnym publikacjom medialnym na temat włamań do baz danych większość organizacji ma świadomość, co może się stać, gdy informacje nie są wystarczająco dobrze chronione. Narażenie krytycznych i poufnych danych prowadzi do utraty reputacji, zaufania klientów i przychodów. Takie zagrożenia i związane z nimi konsekwencje nie dotyczą jednak tylko wielkich światowych firm. Przeciwnie małe i średnie firmy muszą być w kwestii zabezpieczania danych i sieci tak samo skrupulatne. Co więcej, w przypadku małych i średnich firm nie wystarczy ochrona przed zagrożeniami z zewnątrz muszą one także zachować czujność na wypadek zagrożeń w samej organizacji. Niektórzy pracownicy, korzystający z kont z uprawnieniami, mogą mieć dostęp do poufnych danych i krytycznych informacji biznesowych, rejestrów finansowych czy własności intelektualnej. Natomiast pracownicy bez odpowiednich upoważnień mogą próbować znaleźć sposób, aby użyć poświadczeń kont z uprawnieniami w celu uzyskania dostępu do zastrzeżonych danych. Nie powinien zatem dziwić fakt, że jednym z priorytetów każdej organizacji jest ochrona firmy i zabezpieczanie danych. Dodatkowym wyzwaniem dla działu IT jest fakt, że zamiast korzystać z dopuszczonych przez firmę programów do udostępniania plików, pracownicy używają aplikacji do udostępniania i synchronizacji plików w chmurze publicznej na potrzeby przechowywania i pobierania poufnych i krytycznych danych. W ten sposób narażają bezpieczeństwo informacji, tworząc furtkę dla potencjalnych złośliwych ataków. Z tego powodu, biorąc pod uwagę tendencję do realizacji działań biznesowych niezależnie od czasu i miejsca oraz na dowolnym urządzeniu, niezwykle ważne dla małych i średnich firm jest tworzenie, stosowanie i egzekwowanie zasad mających na celu ochronę najważniejszych danych przy jednoczesnym sprawnym prowadzeniu firmy, zarządzaniu kosztami oraz zdobywaniu i utrzymywaniu klientów. Może się wydawać, że to niełatwe zadanie, jednak wcale nie musi tak być. Mobilność i bezpieczeństwo danych Małe i średnie firmy potrzebują sposobów, by zwiększać wydajność użytkowników oraz ułatwiać partnerom i klientom współpracę. Mobilność aplikacji to kluczowa inicjatywa biznesowa, którą małe i średnie przedsiębiorstwa muszą podjąć, aby zwiększyć konkurencyjność i otworzyć nowe ścieżki przychodów. Wyzwaniem dla działu IT może jednak być fakt, że ze względu na większą liczbę urządzeń podłączonych do firmowej sieci rośnie ryzyko nieautoryzowanego dostępu do danych. Mogą to być dane kart kredytowych klientów, informacje o kontach bankowych, pliki z danymi dotyczącymi wynagrodzeń czy też własność intelektualna. Co więcej, małe i średnie firmy muszą zachować czujność wobec prób kradzieży danych wewnątrz organizacji. Może do nich dojść równie łatwo, jak do ataków zewnętrznych, które są podejmowane przez hakerów próbujących przedostać się przez zaporę, by uzyskać dostęp do firmowej sieci. W niedawno przeprowadzonym przez firmę ESG badaniu 29% ankietowanych specjalistów IT wskazało, że ich firmy doświadczyły kilku naruszeń zabezpieczeń danych na skutek narażenia na ryzyko urządzenia przenośnego, a 18% przyznało, że miał miejsce przynajmniej jeden taki wypadek (patrz rysunek 2). 2 2 Źródło: Raport badawczy firmy ESG The State of Mobile Computing Security, luty 2014 r.

6 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 6 Aby zapewnić bezpieczeństwo danych biznesowych, małe i średnie przedsiębiorstwa potrzebują rozwiązań obejmujących wiele warstw zabezpieczeń. Obejmują one: 1. Bezpieczeństwo sieci: wykorzystanie inteligentnych urządzeń sieciowych, które działają jak pierwsza linia obrony w czasie rzeczywistym. Urządzenia sieciowe najpierw poddają kwarantannie wszystkich użytkowników do momentu zweryfikowania ich poświadczeń, a następnie przyznają dostęp do określonych danych. 2. Sieci definiowane programowo (SDN): zautomatyzowane, kompleksowe zabezpieczenia przełączników sieciowych, routerów i bezprzewodowych punktów dostępu przed botnetami, złośliwym oprogramowaniem i stronami szpiegującymi. Sieć SDN może nadawać priorytet ruchowi w sieci, np. rozróżniając procesy krytyczne dla działania firmy od aktywności mediów społecznościowych, aby zapewnić krytycznym danym najwyższy priorytet zasobów sieciowych. Sień SDN może izolować i kontrolować poszczególne urządzenia, co daje pewność, że tylko autoryzowani użytkownicy mają dostęp do poufnych aplikacji i danych. 3. Analityka zabezpieczeń: nieinwazyjne wirtualne sondy sieciowe mogą analizować dane przesyłane przez firmowe łącza. Sondy porównują wzorce ruchu sieciowego do zwykłej aktywności w sieci, wskazując i izolując ruch sieciowy w przypadku wykrycia podejrzanych działań, takich jak ataki DDoS (rozproszona odmowa usługi). 4. Uwierzytelnianie wieloczynnikowe (MFA): oprogramowanie aplikacji wykrywa żądanie logowania użytkownika pochodzące z nieznanego urządzenia lub nieznanej lokalizacji (w innym kraju). Wymagając od użytkowników dodatkowego kodu dostępu przypisanego do znanego adresu użytkownika, uwierzytelnianie wieloczynnikowe może ograniczyć przypadki kradzieży danych. Podstawą jest wiedza, kim jest użytkownik i jakie uprawnienia może posiadać przed udzieleniem zezwolenia na dostęp do poufnych aplikacji biznesowych. Ufaj, ale sprawdzaj to podstawowa strategia, a posiadanie odpowiedniej infrastruktury zabezpieczeń ma kluczowe znaczenie. Rysunek 2. Czy firma doświadczyła naruszenia zabezpieczeń na skutek narażenia na ryzyko urządzenia przenośnego? Czy zgodnie z Państwa wiedzą w ciągu ostatniego roku doszło w firmie do naruszenia zabezpieczeń w wyniku połączenia z siecią firmową zagrożonego urządzenia przenośnego? (liczba odpowiedzi respondentów wyrażona w procentach, N=242) Nie wiem; 3% Tak, wiele razy; 29% Nie; 50% Tak, raz; 18% Źródło: Enterprise Strategy Group, 2015 r. Rozwiązania zapewniające bezpieczną mobilność danych i zdalną ochronę informacji Dla małych i średnich firm niezwykle ważne jest korzystanie ze sprawdzonych rozwiązań, dzięki którym możliwa jest bezpieczna mobilność danych i zdalna ochrona informacji przy jednoczesnym uproszczeniu procesów, obniżeniu kosztów i zapewnieniu zgodności z wymogami regulacyjnymi i przepisami. Rozwiązania

7 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 7 te muszą zapewniać proaktywną ochronę danych, aplikacji i systemów. Optymalnie powinny one obejmować: Przełączniki sieciowe z wbudowanymi funkcjami analizy bezpieczeństwa. Funkcje zabezpieczeń, takie jak oddzielny ruch w sieciach VLAN, i listy kontroli dostępu zezwalające na dostęp użytkownika. Rozwiązania te zapewniają możliwość skanowania i identyfikowania urządzeń podłączanych do sieci i przydzielania im uprawnień dostępu do aplikacji w zależności od użytkownika (konto gościa lub pracownika). Zautomatyzowane aktualizacje sygnatur i poprawek luk w zabezpieczeniach. W miarę identyfikacji nowych wirusów organizacje muszą możliwie szybko aktualizować bazy danych sygnatur wirusów, aby skrócić ekspozycję na zagrożenie. Narzędzia do zdalnego usuwania danych. Ponieważ dane mogą być przechowywane wszędzie, na każdym urządzeniu w organizacji, małe i średnie firmy muszą mieć możliwość ich zdalnego usuwania niezależnie od lokalizacji urządzenia. Zapewnia to ochronę przed kradzieżą danych w przypadku zgubienia lub kradzieży urządzenia. Bezpieczne uwierzytelnianie aplikacji. Małe i średnie firmy dążą do zapewnienia pracownikom, partnerom i klientom zdalnego dostępu do danych, jednak wiąże się to z nowymi kierunkami potencjalnych ataków. Zabezpieczenia mobilnych punktów dostępu mogą zostać naruszone, dlatego ważne jest stosowanie przez działy IT bezpiecznego uwierzytelniania aplikacji. Tendencja do korzystania z prywatnych urządzeń w pracy dodatkowo utrudnia działom IT ochronę firmowych danych stosowanie uwierzytelniania wieloczynnikowego zapewnia dodatkową warstwę zabezpieczeń. Profesjonalne usługi wsparcia technicznego. Od początkowego projektu, konfiguracji i wdrożenia po bieżące wsparcie małe i średnie firmy potrzebują partnerów świadczących usługi, które pomogą im zwiększać poziom bezpieczeństwa i automatyzacji, zapewniając stałą ochronę prowadzonej działalności. Bezpieczna sieć: Tworzenie solidnych podstaw ochrony firmy Potrzeba wielowarstwowych zabezpieczeń działalności biznesowej Zarządzanie siecią i jej bezpieczeństwem to podstawa infrastruktury informatycznej każdej firmy. Trudnym zadaniem małych i średnich firm jest zapewnienie pracownikom działu IT ogólnych umiejętności umożliwiających pełnienie ról administracyjnych, takich jak administrator sieci, administrator urządzeń bezprzewodowych czy administrator zabezpieczeń. Łatwość wykonywania zadań przez administratorów infrastruktury IT jest szczególnie istotna ze względu na fakt, że jak widać na rysunku 1 według badań firmy ESG umiejętności z zakresu bezpieczeństwa danych i zarządzania urządzeniami przenośnymi są tym, czego w wielu firmach brakuje. Ze względu na coraz większą różnorodność prywatnych urządzeń używanych w pracy i praktycznie nieograniczoną dostępność sieci Wi-Fi nie wystarczy już polegać na przestarzałych metodach zabezpieczeń projektowanych z myślą o środowiskach homogenicznych. Podejście wielowarstwowe jest niezbędne, aby zabezpieczyć firmę na wszystkich etapach połączenia urządzenia i użytkownika z lokalnymi zasobami zawierającymi dane przedsiębiorstwa. Poleganie wyłącznie na solidnej barierze ochronnej może narazić firmę na niebezpieczeństwo w przypadku, gdy istnieje wiele punktów dostępu. Przykładowo niewłaściwie zabezpieczone prywatne urządzenie przenośne wykorzystywane do celów służbowych może być potencjalnym zagrożeniem ze względu na punkt dostępu w sieci Wi-Fi. Wdrażając zabezpieczenia sieci, małe i średnie przedsiębiorstwa powinny w szczególności wziąć pod uwagę następujące aspekty: Urządzenia użytkowników końcowych. Dział IT musi mieć możliwość kontrolowania dostępu urządzeń użytkowników końcowych do sieci firmowej. Bezpośredni dostęp. Po zezwoleniu urządzeniu i użytkownikowi na dostęp do sieci dalszy dostęp nie powinien być kłopotliwy wymaganie uwierzytelniania na każdym kroku jest uciążliwe

8 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 8 i zmniejsza produktywność. Gdy urządzenie zostanie zidentyfikowane w sieci, nie należy ponownie wymagać potwierdzania jego tożsamości. Identyfikacja użytkowników końcowych. Użytkownicy nawigujący w sieci muszą zostać zidentyfikowani. Korzystanie z zasobów ma zawsze jakiś cel, dlatego należy taką aktywność monitorować. Identyfikacja zagrożeń. Każde nieznane żądanie dostępu do najważniejszych zasobów należy zidentyfikować i poddać kwarantannie. Rysunek 3 ilustruje potrzebę zabezpieczenia infrastruktury, urządzeń i informacji zarówno tych związanych z pracownikami mobilnymi, zlokalizowanych w biurach zdalnych i oddziałach, jak i tych w samej sieci firmowej. Rysunek 3. Konieczność zabezpieczenia wszystkich warstw sieci Źródło: Hewlett-Packard, 2015 r. Wdrażając strategię wielowarstwowych zabezpieczeń, małe i średnie firmy muszą wziąć pod uwagę szereg innych kwestii. Po pierwsze, należy uwzględnić znaczenie szkolenia pracowników. Przykładowo, pracowników należy przeszkolić w zakresie stosowania podstawowych najlepszych praktyk dotyczących bezpieczeństwa, takich jak ochrona komputerów przenośnych za pomocą hasła, korzystanie z silnych haseł dostępu do systemów biznesowych i ich regularna zmiana oraz unikanie pobierania programów z niezabezpieczonych stron. To pierwsza i podstawowa linia zabezpieczeń przedsiębiorstwa. Po drugie, małe i średnie firmy nie mają komfortu polegania na rozbudowanych zespołach specjalistów do spraw poszczególnych aspektów zabezpieczeń sieci. Profesjonalne usługi firm zewnętrznych mogą pomóc w wielu kwestiach, od oceny bezpieczeństwa sieci po wdrożenie infrastruktury i inne codzienne zadania. Z pomocą zewnętrznej firmy można opracować zintegrowane, wielowarstwowe rozwiązanie i podnieść wydajność personelu. Integracja narzędzi zabezpieczających i administracyjnych w celu zapewnienia przejrzystości i ochrony Ze względu na rosnącą liczbę urządzeń na co dzień łączących się z siecią firmową niezwykle istotny jest przejrzysty system zarządzania siecią i zasadami bezpieczeństwa, ponieważ pracownikom działu IT trudno jest kontrolować wszystkie urządzenia osobno. System jest tak silny jak jego najsłabsze ogniwo, dlatego całościowy pogląd sieci jest także niezbędny do zapewnienia kompleksowego bezpieczeństwa. Sprzęt i oprogramowanie do zarządzania muszą być zintegrowane, by możliwy był całościowy widok systemu. Zestaw rozproszonych narzędzi do zarządzania jest mało przydatny i wydłuża czas reakcji z powodu konieczności

9 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 9 powtarzania tych samych zadań. Co więcej, bez zintegrowanego podejścia administracja siecią może stać się wąskim gardłem blokującym wdrażanie nowych usług i aplikacji oraz może nie obsługiwać uzgadniania danych i zdarzeń z różnych narzędzi, co zwiększa ryzyko wystąpienia błędów popełnianych przez ludzi. Badania przeprowadzone przez firmę ESG wykazały, że zintegrowana architektura zabezpieczeń sieci to jeden z najważniejszych czynników strategii zabezpieczeń przedsiębiorstwa (patrz rysunek 4) 3. Wbudowane funkcje zabezpieczeń urządzeń sieciowych zapewniają firmom liczne korzyści. Przykłady takich funkcji obejmują: sieci VLAN oddzielające segmenty sieci, listy kontroli dostępu zarządzające ruchem w sieci oraz protokół IEEE 802.1x realizujący uwierzytelnianie sieciowe. Jeśli firma ma swoje urządzenia sieciowe, powinna pomyśleć o takim rozwiązaniu. W przypadku oceny nowego sprzętu warto wybrać urządzenia, które obsługują przynajmniej sieci VLAN, listy kontroli dostępu i protokół IEEE802.1x. Jak już wspomniano, ochrona przed atakami DDoS i wielopoziomowe kontrole dostępu są istotnym elementem zwiększającym bezpieczeństwo. Ponadto niespecjalizujący się w konkretnych dziedzinach pracownicy działu IT z pewnością docenią możliwość centralnego zarządzania infrastrukturą sieciową z poziomu zintegrowanej konsoli administracyjnej. Dzięki takiemu rozwiązaniu dział IT nie musi zajmować się rutynowymi zadaniami związanymi z bezpieczeństwem zamiast tego udostępnia użytkownikom samoobsługowe narzędzia do zarządzania. Pozwala to użytkownikom końcowym samodzielnie rejestrować w firmowej sieci prywatne urządzenia używane do zadań służbowych. Umożliwia także skrócenie czasu potrzebnego do wdrożenia nowych użytkowników. Rysunek 4. Czynniki mające największy wpływ na kształtowanie strategii zabezpieczeń sieci firmowej Który z poniższych czynników ma największy wpływ na kształtowanie strategii bezpieczeństwa sieci Państwa firmy? (liczba odpowiedzi respondentów wyrażona w procentach, N=397, można udzielić pięciu odpowiedzi) Wykrywanie złośliwego oprogramowania i zapobieganie zagrożeniom Potrzeba zbudowania zintegrowanej architektury zabezpieczeń sieci z centralnym punktem sterowania i mechanizmem egzekwowania zasad Inicjatywy na rzecz wdrożenia przetwarzania mobilnego Potrzeba wprowadzenia bardziej elastycznych zabezpieczeń sieci obsługujących dynamiczne procesy biznesowe Inicjatywy na rzecz wdrożenia usług w chmurze Zgodność z przepisami 52% 48% 46% 43% 43% 43% Potrzeba lepszego zrozumienia działania sieci w celu wykrywania incydentów i właściwego reagowania Skalowanie zabezpieczeń sieci pod kątem zwiększającego się ruchu sieciowego 37% 36% Dostęp do sieci nie tylko dla pracowników firmy 24% Zgodność ze standardami i procesami branżowymi to podstawa 0% 10% 20% 30% 40% 50% 60% Źródło: Enterprise Strategy Group, 2015 r. Urządzenia sieciowe mogą być skonfigurowane w różny sposób jako urządzenia przewodowe lub bezprzewodowe (Wi-Fi), fizyczne lub wirtualne (w oparciu o sieć VLAN lub SDN). Choć specyfikacje każdej sieci trzeba uwzględniać indywidualnie, ważne jest, by rozpatrywać wszystkie urządzenia według tych samych standardów. Organizacje muszą odejść od podziału na zasoby będące własnością firmy, np. wydane przez firmę komputery przenośne, i wykorzystywane do pracy urządzenia prywatne, np. tablety i smartfony. Zamiast tego dział IT powinien traktować wszystkie urządzenia jednakowo. 3 Źródło: Raport badawczy firmy ESG Network Security Trends in the Era of Cloud and Mobile Computing, sierpień 2014 r.

10 Opracowanie techniczne: Najlepsze praktyki w zakresie ochrony danych i ciągłości biznesowej w świecie mobilnym 10 Narzędzia zabezpieczające muszą być intuicyjne i łatwe w użyciu dla użytkowników końcowych. W przypadku zatrudnienia nowych pracowników lub wprowadzania do projektu personelu usługodawcy zewnętrznego szkolenie nowych osób z zakresu nowych interfejsów i złożonych procesów zabezpieczających jest mało wydajne. Zamiast tego warto wykorzystać dobrze znane procesy administracyjne, które umożliwiają wydajną pracę. Poleganie na znanych standardach technologicznych i procesowych zapewnia użytkownikom znajomość narzędzi i możliwość uwzględnienia wszystkich możliwych aspektów infrastruktury. Potrzeba ochrony przed zagrożeniami w czasie rzeczywistym Zagrożenia sieci należy aktywnie eliminować w czasie rzeczywistym. Hakerzy stosują coraz bardziej zaawansowane techniki, które często zmieniają. W konsekwencji systemy wykrywania zagrożeń oparte na sygnaturach nie zapewniają wystarczającej ochrony sieci. Co więcej, systemy wykrywania złośliwego oprogramowania muszą opierać się na aktualnej wiedzy o najnowszych zagrożeniach. Konieczne jest zapobieganie różnego rodzaju aktywności złośliwego kodu, takiej jak eksfiltracja danych, żądania okupu za odszyfrowanie danych użytkownika (ransomware) lub oszustwa wymuszające kliknięcia. Ponieważ administratorzy infrastruktury IT w małych i średnich firmach nie mogą poświęcać całego czasu na studiowanie najnowszych szczegółów dotyczących zabezpieczeń na poziomie podstawowym, dobrym rozwiązaniem jest zautomatyzowana infrastruktura wdrażająca zabezpieczenia sieci i aplikacji, która pozwala im zająć się zadaniami generującymi rzeczywisty zysk. Zagrożenia są niezliczone i cały czas pojawiają się kolejne. Możliwe jest jednak tworzenie skutecznych, kompleksowych systemów ochrony eliminujących ryzyko bez ograniczania działalności przedsiębiorstwa. Kluczem jest wybór rozwiązań uwzględniających wielowarstwowe, kompleksowe podejście do zarządzania bezpieczeństwem, jak również współpraca z usługodawcami, którzy pomogą wdrożyć te technologie w celu zaspokojenia unikatowych potrzeb firmy. Więcej niż bezpieczeństwo Bezpieczeństwo to zaledwie pierwszy element układanki, jaką stanowi większa infrastruktura IT. Aby płynnie prowadzić działalność, małe i średnie firmy muszą chronić swoje dane bez względu na ich lokalizację. Oznacza to, że aby sprostać nowym wymogom biznesowym, dział IT musi być w stanie szybko przywracać dane na żądanie oraz skalować sprzęt obsługujący aplikacje w sposób łatwy, szybki i ekonomiczny. Bezpieczna sieć jest bardzo ważnym, ale jednym z wielu elementów kompleksowej strategii IT mającej zapewnić firmie bezpieczeństwo i umożliwić jej sprawne funkcjonowanie (patrz rysunek 5). Rysunek 5. Filary ochrony małych i średnich przedsiębiorstw Szkolenie pracowników i najlepsze zasady (zabezpieczenia, zgodność i mobilność) Bezpieczna sieć (sieci VLAN, zarządzanie tożsamościami, uwierzytelnianie wieloskładnikowe itp.) Stała dostępność (nadmiarowa infrastruktura, plan ciągłości biznesowej lub odzyskiwania awaryjnego) Skalowalna infrastruktura (sieć, serwer i pamięć masowa) Kompleksowa ochrona danych (wszystkie aplikacje, urządzenia i lokalizacje) Źródło: Enterprise Strategy Group, 2015 r.