Program bezpečnosti vo firme


Každá firma by mala mať nejaký program bezpečnosti IS (informačného systému). Samozrejme pokiaľ nejaký IS má.

V každom informačnom systéme (IS) je nutné nasadiť nejaké bezpečnostné riešenie. Samotná bezpečnosť IS je dynamický proces, ktorý sa vyvýja a mení s rastom či zmenou firemného prostredia a aj napriek snahe vždy bude obsahovať niekoľko slabých miest. Je nutné pokryť bezpečnostnú politiku komplexne v oblasti systémovej aj manažérskej.
Preto sa vypracúva plán na zabezpečenie v dvoch vlnách podľa oblasti pôsobenia.

V bezpečnosti IS poznáme dve oblasti či typy pôsobenia:
1.) Reaktívny typ – kde dochádza k reakcií na incident a dá sa povedať, že i keď je to historický model, stále je potrebný. Ide o reakciu na dej či udalosť, ktorá poškodila už daný IS a následné napravenie chýb alebo odstránenie problému
2.) Proaktívny typ – v ktorom dochádza k vyhodnocovaniu rizík, vykonávaniu predbežných opatrení a k zavádzaniu kontrol. Vytváraniu stratégií a plánov na disaster recovery (obnovu po incidente).

Pre komplexný bezpečnostný program je nutné mať nasledovné:
· Plán firemného IS – dokonalé poznanie vlastného systému a jeho homogénnosť je dosť dôležité pre odhad rizík a slabých miest.
· Analýza a vyhodnotenie rizík – audit IS je nutný aspoň 2x do roka.
· Identifikácia rizikových dát a častí systému – ide o oblasti ktoré by mohli spôsobovať problémy alebo mohli byť zdrojom incidentov
· Presná definícia kľúčových dát a častí IS – je nutné vedieť bez čoho sa neobíde chod firmy, a tiež čo by mohlo najviac poškodiť firmu keby došlo k incidentu.
· Definovať zásady bezpečnosti vo firme
· Vzdelávať zamestnancov
· Plán rozvoja IS

Pokiaľ máte už taký program, treba dbať na jeho aktualizáciu a aplikáciu zmien v ňom. Taktiež je nutné stanoviť striktné pravidlá pre prácu mimo objektu firmy. Je nutné vziať v úvahu zmeny legislatívy, komunikáciu so zmluvnými partnermi či model pracovných postupov zamestnancov. A to značí že je nutné zmapovať komplexné toky dát a miesta ich vzniku. Je nutné mať pod dohľadom pripojenia k iným sieťam (LAN či WAN) a tiež je nutné spravovať identity užívateľov a zálohované dáta.

Akonáhle pochopíte a zmapujete procesný model vašej firmy a aplikujete vyššie uvedené informácie, mali by ste byť schopný odhadnúť stav a nutné zmeny v IS. Samozrejme treba brať do úvahy iné oddelenia a tiež záujem manažmentu (a taktiež jeho informovanosť). Pokiaľ je k dispozícií je dobré si pozrieť históriu minulých incidentov a reakcií na ne.

Pokiaľ sa vám to zdá zbytočné, uvediem dva príklady bežného narábania s IS a jeho optimálne riešenie.
Bežný živnostník či jednoosobová firma:

Realita:
IS spočíva v jednom PC (laptop alebo stolné PC) s pripojením na internet. Z 90% tam bude operačný systém (OS) Windows XP spolu s Microsoft Office a ekonomický program na vedenie účtovníctva. Na danom PC podľa všetkého chodia na internet všetci príslušníci domácnosti a fungujú pod jedným účtom s právami administrátora. Dotyčný si občas spravý zálohu údajov na inú partíciu disku či na zapisovateľné médium (CD alebo DVD).
V prípade bezpečnostného incidentu (zavírenie, pád systému, konflikt v OS) často dôjde k reinštalácií OS a novému nainštalovaniu a v prípade že nedošlo k poškodeniu, alebo že záloha existuje, k importu dát do ekonomického programu.

Optimálne riešenie:
IS mať zložený z domáceho a firemného PC poprípade mať externý USB disk či NAS pole na odkladanie údajov.
Na firemnom PC, ktoré by kľudne mohlo byť niekoľko rokov staré (napr. 500 – 1000MHz procesor s 1-2GB Ram, 20GB +40GB pevnými diskami) na ktorom bude bežať OS Windows, Office, ekonomický program a internetové pripojenie (email). Samozrejmosťou by mal byť antivírový program.
Pracovný účet v OS by nemal mať práva administrátora a daný počítač by mal byť zálohovaný a to minimálne dáta s ekonomického programu, emailové správy a poprípade nastavenia systému na iný pevný disk.

Ako vidieť zvýšil by sa počet PC v domácnosti na dva. Na toto však stačí použiť starší počítač a ako vidieť na modeli stačí aj pc s 500MHz procesorom na dané úlohy, ktoré by mal firemný počítač pre malú firmu zvládať.

Firma s 20 zamestnancami a niekoľkými externými spolupracovníkmi.

Realita:
IS je zložený s rôznych pc na rôznych OS (často kombinácia Windows XP, Vista a Windows 7) vačšinou OEM, MS Office rôznych verzií a programov ktoré sú nutné k chodu firmy. Všetky PC sú v skupine WORKGROUP a maximálne majú nastavené zdieľanie priečinkov. Zamestnanci často (skoro vždy J ) používajú účet s administrátorskými právami. Často nebývajú dané PC kontrolované nikým a ako boli zapojené a nastavené dú. Pracovná plocha je plná odkazov a súborov, ktoré sú v priečinku Plocha. Externisti, poprípade zamestnanci ktorí majú home office sa pripájajú do firmy na svoje PC (v horšom prípade na nejaký „všeobecný server”).

Optimálne riešenie:
Zjednotenie OS a programového vybavenia. Vytvorenie „domény” na linuxovom systéme (vzhľadom k relatívne vysokej cene serverových OS na platforme Windows) a vytvorenie file serveru so zálohovaním dát.
VPN klienti by sa pripájali iba k dátam a mohli by používať webmail. Všetky dôležité súčasti by sa zálohovali na file serveri a na plochu dávať iba odkazy na dané súbory. Zároveň môže firma na danom servery prevádzkovať vlastné www stránky.

Je síce pravdou že je nutné postaviť server ale v podstate to zvládne bežný počítač. Nastavenie SMB serveru by mohlo byť nasledovné (Ubuntu)

workgroup = firma
netbios name = ubuntu
server string = %h server (Samba, Ubuntu)
interfaces = 192.168.1.1
local master = yes
domain master = yes
os level = 128
domain logons = yes
nt acl support = yes
enable privileges = yes
#cesta k roaming profilu
#%L=meno serveru;%U=meno uzivatela;%m=meno pc;
logon drive = Z:
logon home = \\%L\%U
logon path = \\%L\Profiles\%U
[homes]
    comment = Home Directories
    writeable = Yes
    browseable = No
[profiles]
    path = /home/profiles
    browseable = no
    writable = yes
    readonly = no
    profile acls = yes
[obchod]
  comment = Obchod
  path = /home/obchod
  guest ok = yes
  writeable = yes
  browsable = yes
  public = yes
  create mask = 0777
  directory mask = 0777
[www]
    comment = web
    path = /home/www
    guest ok = yes
    writeable = yes
    browsable = yes
    public = yes
    create mask = 0777
    directory mask = 0777 
[install]
    comment = install
    path = /home/install
    guest ok = yes
    writeable = yes
    browsable = yes
    public = yes
    create mask = 0777
    directory mask = 0777
[netlogon]
    comment    = Network Logon Service
    path        = /home/netlogon
    admin users = root
    guest ok    = yes
    browsable  = no
[uctovnictvo]
    comment    = uctovnictvo
    path        = /home/ uctovnictvo
    valid users = @ucto
    writeable  = yes
    browseable  = yes
    public      = yes

Ako vidieť v ukážkových modeloch investícia do IS na zníženie rizík je vcelku minimálna (rastie s množstvom užívateľov, PC a serverov).

blog bol napísaný pre www.wug.sk bez setingu smb

Reklamy
This entry was posted in Nezaradené. Bookmark the permalink.

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s