Kliknite tukaj, da namestite Silverlight*
SlovenijaSpremeni|Vsa Microsoftova spletna mesta
Microsoft Slovenija 
Center za podjetja 

Osnove varnosti: Kaj vključiti v načrt varnosti IT

Srednje velika podjetja se prepogosto osredotočajo le na tehnologijo, namesto da bi ukrenila vse potrebno za upravljanje okolja IT v krizi. Če preučite in razumete poslovne procese, postopke in potek dela, boste svoji organizaciji laže zagotovili potrebno varnost.

Povzetek:

Temeljito ocenite sredstva, procese, poteke dela in funkcije v podjetju.

Po prednostih razvrstite sredstva ter varnostne rešitve in pravilnike prilagodite ravnem tveganja.

Povprašajte za mnenje posameznike v podjetju ter razvijte skupno vizijo in pristop.

Tako kot varnostne grožnje se tudi strategije razlikujejo od organizacije do organizacije. Podjetje, ki v celoti posluje prek spleta ali ima visok odstotek mobilnih zaposlenih, ima denimo drugačne varnostne potrebe kot maloprodajna veriga. Tudi kultura podjetja vam lahko narekuje uporabo varnostnih rešitev. Tako utegne organizacija z visokim odstotkom zaposlenih, mlajših od 30 let, vlagati več v izobraževanje o varnosti, da mlajšim zaposlenim prepreči onemogočenje omrežja z varnostno tveganimi dejavnostmi.

Temeljita vnaprejšnja analiza ­– ki ustreza vašemu poslovnemu načrtu – vam pomaga zgraditi temelje uspešne in stroškovno učinkovite varnostne strategije.

»Vsakdo ima drugačen prag bolečine,« pravi Eileen Hasson, predsednica svetovalnega podjetja in lastnika potrdila Microsoft Gold Certified Partner The Computer Company iz West Hartforda v Connecticutu, ZDA. Izguba pomembnih e-poštnih sporočil lahko na primer ogrozi delo odvetniške pisarne in uniči odnose s strankami; zdravstveni organizaciji lahko razkritje ene same zdravstvene kartoteke prinese slabo podobo v medijih in stroge kazni zaradi kršenja zdravstvenih predpisov.

Poznavanje »praga bolečine« svojega podjetja je pomemben del varnostne strategije, saj vas prisili opredeliti področja, ki so poslovno kritičnega pomena.


*Organizacija mora vedeti, kje so shranjeni podatki, kako zaposleni shranjujejo podatke in kako se ti notranje in zunanje izmenjujejo.*
Michael Cobb
generalni direktor
Cobweb Applications Ltd., Surrey, England, and Microsoft MVP

Popišite fizična sredstva

Prvi − in morda najlažji − korak varnostne analize je popis sredstev IT podjetja, vključno s fizičnimi sredstvi, kot so prenosni računalniki in prenosne naprave za shranjevanje. Ko veste, kaj morate zaščititi, lahko priporočite ustrezne rešitve in postopke, kot so konfiguracije sistemov in omrežja, upravljanje popravkov in načrtovanje nadgradnje strojne in programske opreme.

Ocenite poslovne procese

Nato analizirajte poslovne procese z vidika varnosti. »Organizacija mora vedeti, kje hrani podatke, kako zaposleni shranjujejo informacije in kako jih izmenjujejo notranje in zunanje,« pravi Michael Cobb, generalni direktor svetovalnega podjetja Cobweb Applications Ltd. iz Surreyja v Angliji in »Microsoft Most Valuable Professional« (MVP). Morda na primer zaposleni za izmenjavo datotek z osebami znotraj ali zunaj podjetja uporabljajo programe z nizko ravnjo varnosti, kot so programi za neposredno sporočanje, ali pa lastniške podatke hranijo nešifrirane v prenosnem računalniku. Takšne dejavnosti zahtevajo nove pravilnike oddelka za IT, ki bodo zaposlenim preprečili, da bi nehote ogrozili občutljive podatke podjetja.

Z vnaprejšnjo analizo ključnih procesov − ob sodelovanju skupin zaposlenih z različnim funkcijami − prepoznate šibke točke in možnosti napak. Recimo, da pregledujete prekinitev delovnega razmerja zaposlenega in odkrijete, da ni mehanizma, s katerim bi lahko direktor ali vodja kadrovske službe tej osebi preklical pravice dostopa do sistema in e-pošte. Če ta postopek uvedete kot obvezen − in ga vključite v ustrezen potek dela − se izognete dnevom, tednom ali mesecem nepooblaščenega dostopa.

Razvrstite svoje varnostne potrebe po pomembnosti

Ko končate analizo poslovnih procesov in opravite nujne spremembe, je čas, da prednostno razvrstite varnostne potrebe. Osnovni sistem številčnega ocenjevanja od 1 do 3 (nepomembno, srednje pomembno, zelo pomembno) je lahko izhodiščna točka določanja, kateri sistemi in sredstva so najpomembnejši. S to lestvico ocenite posledice varnostnih kršitev (na primer čas nedelovanja omrežja ali finančni stroški). Pridobljena matrica vam bo dala vpogled v to, kaj je najpomembnejše.

Dodatni nasveti za razvoj učinkovitega načrta

Osredotočite se na dogodke, ne na čas. Čeprav je pogosto pametno pripraviti podroben eno-, dve- ali petletni načrt za varnost IT, je varnost gibljiva tarča. »Ves čas nastajajo nove tehnologije in nove grožnje,« pravi Cobb. Zato se osredotočite na pravilnike in postopke, ki prinašajo kar največjo prožnost in odgovornost, in svoj načrt redno pregledujte.

Dodelite varnostne odgovornosti v organizaciji. Vključite jih v opis delovnih nalog, da bo upravljanje varnosti postalo praksa. Morda na primer vodja prodaje s seboj vedno nosi prenosnik s podatki o strankah in drugimi občutljivimi podatki. Tak posameznik mora biti tudi odgovoren za zaščito teh podatkov − s šifriranjem, preverjanjem pristnosti in z drugimi načini.

Opišite korake, ki jim je treba slediti v primeru varnostnega incidenta. Tako lahko preprečite paničen odziv zaposlenih. Po vsakem incidentu se z vodji in ključnimi člani varnostnega osebja pogovorite, kateri ukrep je bil učinkovit in kateri ne.

Priredite rešitev tveganju. Najprej se osredotočite na področja največjega poslovnega tveganja. Za finančno ustanovo so na primer pomembna orodja, ki v izhodnih podatkih preverjajo določena številčna zaporedja, kot so številke računov ali številka zavarovanja. Za klicne centre so pomembni programi, ki blokirajo dohodne e-poštne priloge in preprečujejo, da bi zlonamerna programska oprema onemogočila ključne poslovne dejavnosti.

Razvijte varnostni pristop, ki je prožen, a učinkovit. To pomeni, da pravilniki in tehnologije ne smejo zmanjševati storilnosti. Če na primer morate nekaterim zaposlenim omogočiti uporabo bliskovnih pomnilniških naprav, to gotovo pomeni varnostno tveganje. Oddelek za IT mora zagotoviti, da imajo ti zaposleni dostop samo do podatkov, ki jih potrebujejo za svoje delo, kot določijo vodje. Ravnovesje med praktičnostjo in varnostjo je občutljiva zadeva, še zlasti ko organizacije zrastejo in njihova infrastruktura IT postane bolj zapletena.Tehnologije, kot je Microsoft Windows Server 2003 Active Directory, pomagajo upravljati vloge in odgovornosti.

In končno, redno nadzorujte sistemske in dnevniške datoteke. Tako boste lažje prepoznali morebitne težave ter se boste na spremembe hitro in učinkovito odzvali.

Čeprav v sodobnem poslovnem okolju ni preprostega odgovora na varnostne grožnje, sta temeljito ocenjevanje in varnostni načrt v skladu s poslovanjem najboljša načina za zmanjšanje tveganja. »Dobre varnostne prakse niso nikoli naključje,« sklene Cobb. »So posledica premišljene analize in vključujejo vse kotičke organizacije.«


Samuel Greengard

Samuel Greengard je pisatelj iz mesta West Linn v ameriški zvezni dražavi Oregon, in je strokovnjak na področju gospodarstva ter tehnologije.



©2014 Microsoft Corporation. Vse pravice pridržane. Pišite nam |Pogoji uporabe |Blagovne znamke |Vaša zasebnost
Microsoft