Pobierz Bezpieczna firma - Notatki - Elementy informatyki i więcej Notatki w PDF z Informatyka tylko na Docsity! POLITECHNIKA RADOMSKA Im. Kazimierza Pułaskiego ZARZĄDZANIE BEZPIECZEŃSTWE M DANYCH W FIRMIE BAL MAGDALENA Wydział Ekonomiczny Praca zaliczeniowa z informatyki I rok semestr 2 System niestacjonarny Radom 2006 Większość firm w dzisiejszych czasach posiada plan zachowywania informacji i ich odtwarzania wraz z odpowiednimi procesami. Jednak, ponieważ nie można jednoznacznie stwierdzić, że procesy te w pełni odnoszą się do wymogów biznesowych, inwestycje w Business Continuity mogą być dalekie od wystarczających. Co więcej, procesy ochrony danych dla pojedynczych systemów niekoniecznie muszą składać się na plan chroniący całą firmę. Nawet najmniejszy przeoczony szczegół może zrujnować dobrze przygotowany plan. Do niedawna klasyczne podejście do odtwarzania po katastrofie koncentrowało się na odtworzeniu scentralizowanego Data Center, w przypadku zaistnienia katastrofy naturalnej lub spowodowanej działaniem człowieka. Pomijany był wątek zapewnienia ciągłości działania funkcjom biznesowym. Chociaż podejście tradycyjne jest nadal ważne, okazuje się ono niewystarczające w przypadku środowiska rozproszonego. W środowisku Internetu wymóg ciągłości działania nabiera zupełnie nowego wymiaru. W latach 80-tych odtwarzanie w warunkach katastrofy (Disaster Recovery) zostało uznane za formalną dziedzinę oraz komercyjną działalność biznesową. Koncentrowano się głównie na ochronie centrów przetwarzania danych - serca przetwarzania danych firmy. Model ten, w latach 90., zaczął ewoluować w stronę rozproszonego przetwarzania danych oraz architektury klient/serwer. W tym samym czasie okazało się, że struktura IT jest integralną częścią nieomalże każdego aspektu prowadzenia biznesu. Przetwarzanie danych przestało być czymś, co odbywało się gdzieś w tle. Wręcz przeciwnie, krytyczne dane biznesowe mogły być rozsiane po całej firmie - na komputerach osobistych, sieciach działowych i centrach przetwarzania danych. Ta ewolucja trwa nadal. Kluczowe inicjatywy biznesowe, takie jak zarządzanie zasobami przedsiębiorstwa (ERP), zarządzanie łańcuchem dostaw (SCM) oraz e-biznes zainicjowały potrzebę nieprzerwanego dostępu do informacji. Oznacza to, że firma nie jest w stanie funkcjonować bez niezbędnej technologii informatycznej: danych, oprogramowania, sprzętu, sieci, call center - nawet komputerów przenośnych. Na przykład firma, która sprzedaje swoje wyroby przez Internet lub zapewnia klientom wsparcie przy pomocy działającego całą dobę cali center, musi działać 24 godziny na dobę, 7 dni w tygodniu. W przeciwnym razie jej klienci odejdą do konkurencji, która zapewni im takie warunki. Firma, która wykorzystuje rozwiązania e-biznesowe do zakupu i dystrybucji części i produktów, nie jest już zależna tylko od własnej technologii, ale również od niezawodności technologii swoich dostawców. W rezultacie, ochrona krytycznych procesów biznesowych wraz z ich skomplikowanymi współzależnościami stała się tak samo ważna jak ochrona danych. Celem firm, które nie mogą sobie pozwolić na nawet najkrótszy przestój, jest osiągnięcie stanu ciągłości działania, gdzie krytyczne systemy i sieci są zawsze dostępne, niezależnie od tego, co się może wydarzyć. To zmusza do proaktywnego myślenia: należy włączyć dostępność, bezpieczeństwo i niezawodność w procesy biznesowe, a nie zmieniać plany odtwarzania po katastrofie w taki sposób, aby objęły procesy biznesowe. Ta sama technologia informatyczna, która zapewnia nam przewagę nad konkurencją, tworzy również nowe zagrożenia i wyzwania. W Internecie, firmy mają możliwość stworzenia natychmiastowego zadowolenia - lub niezadowolenia - wśród milionów ludzi. W środowiskach ERP i SCM organizacje mogą zbierać owoce zwiększonej wydajności lub odczuć wpływ awarii, która może zaistnieć w dowolnym miejscu tego zintegrowanego procesu. Obecnie osiągnęliśmy taki moment, gdzie krytyczne przerwanie działalności nie jest już mierzone w godzinach, a minutach. Firmy działające w Internecie bardziej boją się o możliwość obsłużenia nagłego wzrostu liczby klientów, niż ognia lub powodzi. I kontrola dostępu, fizyczna ochrona, ochrona przeciwpożarowa, monitorowanie, zarządzanie zainstalowanym sprzętem, organizacja ośrodka (struktura, stanowiska pracy, zakres obowiązków, nabór i szkolenie personelu). Niektóre firmy jak np. IBM oferuje pełną usługę serwisową dla Ośrodka Przetwarzania - od wstępnej oceny, poprzez projektowanie i planowanie oraz realizację: począwszy od prac budowlanych do instalacji i konfiguracji sprzętu. Dotyczy to nie tylko sytuacji, gdy planowany jest nowy ośrodek, ale również przeróbek istniejących centrów i ich dostosowania do wciąż zmieniającej się bazy sprzętowej i rodzajów zastosowań: zmiany technologii, tworzenia i rozbudowy sieci lokalnych i rozległych. Usługa może obejmować pojedyncze elementy począwszy od konsultacji aż do objęcia całego przedsięwzięcia (umowa typu "pod klucz"). Umożliwia to klientowi skupienie się na jego rzeczywistym obszarze działalności: bankowości, ubezpieczeniach, handlu czy produkcji przemysłowej. Polityka Bezpieczeństwa w Bartex Holding S.A. Obecne realia, które zmuszają do gromadzenia i przetwarzania wielkich ilości danych, wymuszają na przedsiębiorstwie odpowiednie nimi zarządzanie i ochronę. Bartex Holding S.A. jest narażony na następujące zagrożenia utraty lub zniszczenia danych: Zagrożenia postaci nie fizycznej i zapobieganie Wirus - zazwyczaj wirusy zawierają w sobie destrukcyjne kody-polecenia dla komputera, które są tragiczne w skutkach dla firmy i tworzą olbrzymie straty na całym świecie. Jest to najpowszechniejsze i najbardziej realne globalne zagrożenie dla naszych danych. Samo zapobieganie infekcją jest w miarę proste, jednak niedopuszczalne są jakiekolwiek zaniedbania. Proces ochrony musi być starannie opracowany i bieżąco aktualizowany. Podstawą jest posiadanie programu antywirusowego np. Mks-Vir, Norton Antyvirus, PC-Cilin. Programy różnią się pomiędzy sobą skutecznością oraz licencją. Pomimo kosztów lepiej zrezygnować z licencji typu freeware, na rzecz płatnych, gdyż płatne programy oferują zazwyczaj większą skuteczność i szerszy zakres oferowanych funkcji ochrony. Na etapie posiadanie skonfigurowanego programu antywirusowego należy ograniczyć prawdopodobieństwo infekcji. W tym celu można ograniczyć dostęp sieci zewnętrznych, takich jak Internet, do naszej sieci. Można w tym celu , wyłączyć z sieci firmowej komputery, które będą używane do połączeń z sieciami ogólnodostępnymi. Pracownicy firmy nie mogą na służbowych komputerach wprowadzać danych z prywatnych nośników. Złośliwa aplikacja, dialer, atak z zewnątrz - jest to typ coraz powszechniejszej metody kradzieży danych lub ich zniszczenia, w przypadku dialerów metoda narażenia firmy na straty. Jest to celowe działanie osób trzecich mające na celu osiągnięcie zamierzonych korzyści w postaci danych lub pieniędzy z połączeń z kosztownymi numerami. Czasami korzyści te, to zniszczenie lub uszkodzenie danych na serwerach firmy. Podstawowa metodą zapobiegania jest tu stosowanie aplikacji typu firewall. Są to aplikacje, które blokują dostęp do naszego systemu z sieci zewnętrznych, na bieżąco monitorują i informują użytkownika o próbie ataku, raportują. Przykładem takiej aplikacji jest ZoneAlarm. Jeden z najdynamiczniej rozwijanych projektów cechujący się wysoką skutecznością chroniący przed wspomnianymi metodami ataku, a poniekąd również chroni przed wirusami. Wewnętrzny atak sieci przez pracownika firmy - system powinien być skonfigurowany tak, aby każdy użytkownik miał własne konto i uprawnienia adekwatne do zajmowanej funkcji. Wszelkie poczynania użytkowników powinny być raportowane administratorowi systemu. Tu też może okazać się skuteczne uprzedzenie o odpowiedzialność dyscyplinarnej i karnej poczynionej szkody. Dostęp do sieci musi być ograniczony do minimum. Zagrożenia postaci fizycznej i zapobieganie Kradzież - zdarzanie mogące mieć miejsce w każdej chwili działalności. Kradzież może nastąpić z zewnątrz poprzez włamanie lub niezauważone przedostanie się nieupoważnionych osób na teren zakładu. Kradzieży może również dokonać pracownik. W celu zapobiegania kradzieży firma powinna posiadać etatowych agentów ochrony z licencjami I-ego i ii-ego stopnia, którzy przy pomocy nowoczesnego systemu monitoringu oraz sieci czujników ruchu (aktywnych, gdy pracownicy będą nieobecni na terenie obserwowanym) będą w stanie obserwować cały teren zakładu przy niewielkich nakładach ludzkich. Bardzo ważnym elementem bezpieczeństwa jest wprowadzenie system przepustek (w postaci kart elektromagnetycznych) o zróżnicowanym poziomie uprawnień. Drzwi do najbardziej newralgicznych części budynku powinny być zabezpieczone w zamki z czytnikami wspomnianych kart, aby umożliwić łatwy, a zarazem ograniczony przepływ pracowników. Zalanie, pożar i inne zdarzenia losowe - okoliczności nieprzewidywalne. Jedynym sposobem szybkiej interwencji w przypadku pożaru jest posiadanie czujników dymu, dzięki którym agent ochrony będzie mógł poinformować odpowiednie jednostki interwencyjne. W przypadku innych zdarzeń losowych podstawą jest intensywny monitoring, który umożliwi szybką reakcję. Nieumyślne (niekonieczne) zniszczenie przez pracownika - każdy pracownik powinien być odpowiednio przeszkolony w zakresie BHP oraz obsługi komputera. Nie powinni mieć dostępu do urządzeń współtworzących sieć pracownicy, dla których ten kontakt jest zbyteczny. Skuteczne może okazać się uprzedzenie o odpowiedzialności dyscyplinarnej i karnej za ewentualnie poczynione szkody. Bez względu na charakter i rodzaj działalności firmy, nie należy szczędzić pieniędzy na ochronę sieci komputerowych i zawartych w nich danych. Bezwzględnie należy regularnie dokonywać kopii zapasowych danych (kopie muszą być bardzo aktualne przy dużym przepływie danych) i deponować w bezpiecznych miejscach. Kopii powinno być kilka. Nie powinny być przechowywane na terenie zakładu a w rożnych, nie związanych ze sobą miejscach, takich jak skrytki w różnych bankach. Takie zabezpieczenie daje niemal stuprocentową gwarancję, że