Zabezpečení firmy znamená mít připravený plán
Aktualizoval Howard Baldwin
Zabezpečení středně velkých firem dnes znamená správu dvou priorit, které jsou někdy konfliktní: aktivní ochrana firemní sítě a dat a přiměřeně snadný přístup pro autorizované uživatele. Znamená to také přiměřenou investici do zabezpečení, dostačující pro zajištění adekvátní ochrany, ale ne takovou, aby byly ohroženy finanční prostředky pro strategičtější investice do technologií.
Souhrnně:
| • | Určete, která data jsou nejdůležitější, a zaměřte se na jejich ochranu. |
| • | Důležitá data uchovávejte na samostatných serverech. |
| • | Udělte přístup k příslušným datům výhradně na základě zodpovědnosti daného pracovního místa a zajistěte, že se přístup změní v případě, že zaměstnanec odejde nebo je povýšen. |
Pro začátek potřebuje vaše firma systém, na jehož základě může prodiskutovat a implementovat technologie a zásady zabezpečení. Vytvořením komplexního plánu zabezpečení informací získáte logický a strategický přístup ke správě zabezpečení ve vaší firmě.
Nebudeme se pokoušet zahrnout vše, co by měl váš plán zabezpečení obsahovat, ale následující základní kroky by mohly být užitečné.
1. Začněte posouzením hardwarového a softwarového majetku
Kdybyste si měli vybrat jen jedno zařízení z celé firmy, které zabezpečíte, zvolili byste účetní server, e-mailový server nebo server elektronického obchodování? To vše záleží na tom, co je pro vaši firmu nejdůležitější. Pokud vaše společnost provozuje většinu svých obchodů přes internet, je pravděpodobně nejdůležitějším serverem, který je třeba zabezpečit, poslední jmenovaný.
Při vytváření plánu zabezpečení věnujete pozornost zabezpečení majetku IT, který je pro vaši firmu nejdůležitější, a z tohoto bodu postupujte v seznamu priorit směrem dolů. Nezabývejte se však jen zařízeními, upozorňuje Tim Keanini, technologický ředitel společnosti, která je dodavatelem zabezpečovacích technologií nCircle se sídlem v San Franciscu. Doporučuje zamyslet se také nad obchodními procesy, tedy tokem informací, na rozdíl od jejich pouhého umístění.
To znamená, že do diskusí týkajících se zabezpečení je třeba zahrnout obchodní partnery . Pokud se například vaše dodávky spoléhají na získání aktualizací zásob od vašich dodavatelů, musíte se zamyslet nad dvěma skutečnostmi: spolehlivostí síťového připojení a způsoby, kterými sami dodavatelé řeší zabezpečení informací.
Potřebujete další pomoc při posuzování rizik zabezpečení informačních technologií ve vaší společnosti? Vyzkoušejte nástroj pro vyhodnocení zabezpečení Microsoft Security Assessment Tool určený pro firmy s méně než 1 000 zaměstnanci. Přečtěte si také tento 12bodový kontrolní seznam zabezpečení.
2. Vytvořte vynutitelné zásady
Abyste zachovali nízké náklady na zabezpečení, zaměřte se na to, co je pravděpodobné, místo zaměření na to, co je jen možné. Je mnohem pravděpodobnější, že si zaměstnanec poznamená heslo na papírek, než že dojde k útoku na vaše sítě pomocí nebezpečného obsahu. (To je jedna z výhod středně velké firmy – je menší pravděpodobnost, že se stanete cílem, než u větší společnosti s všeobecně známým názvem.)
Proto potřebujete racionální zásady a tým managementu, který je ochotný trávit čas podrobným vysvětlováním důvodů těchto zásad zaměstnancům. Mezi některé tipy pro vytvoření zásady patří:
| • | Zajistěte, aby vaši zaměstnanci udržovali systémy Windows a Office spolu s obchodními aplikacemi stále aktuální pomocí nejnovějších položek ke stažení, zpravodajů zabezpečení a nástrojů od společnosti Microsoft. V tomto článku je uveden kontrolní seznam tipů zabezpečení pro zaměstnance a stránka zabezpečení společnosti Microsoft s aktualizacemi softwaru. |
| • | Vyžadujte silná hesla (obsahující číslice, písmena a znaky), ale nepožadujte po zaměstnancích, aby je měnili každé dva týdny: standardní frekvence je 45 až 90 dní. |
| • | Zajistěte, aby vaše zásady používaly zabezpečení založené na rolích, které přiděluje přístup na základě zodpovědností pracovního místa. |
| • | Jasně formulujte dokument se zásadami, pokud jde o následky jejich porušení, a sledujte, zda a kdy k takovému porušování dochází. |
| • | Pravidelně zásady revidujte a v případě změn informujte zaměstnance. |
| • | Pokud zaměstnanci změní pracovní pozici, zkontrolujte a změňte jejich oprávnění na základě jejich nového stavu. |
| • | Pokud zaměstnanec ze společnosti odejde, smažte jeho heslo ze systému. |
| • | Zaměstnanci mohou představovat největší rizika zabezpečení, častěji kvůli nedostatku řádného školení než kvůli přestupkům. (Více informací k tomuto tématu uvádí tento článek.) |
| • | Začleňte zásady zabezpečení na cestách pro zaměstnance, kteří pracují mimo kancelář. Podrobnější informace najdete v krok 5 dále v tomto článku. |
Nakonec zajistěte, aby zásady stanovily plán akce v případě problémů se zabezpečením, a určete osoby zodpovědné za určitá rozhodnutí, doporučuje Mark Mattis, ředitel společnosti Ascentium se sídlem v Bellevue ve státě Washington, která je partnerem společnosti Microsoft na úrovni Microsoft Gold Certified Partner.
3. Investujte do několika serverů, které vám pomohou chránit data.
Po stanovení priorit a zásad se zamyslete nad ochranou. Jedním ze způsobů ochrany důležitých informací je pouhé rozdělení těchto dat na samostatné servery, přičemž každý ze serverů je oddělený interní branou firewall. Nezapomeňte také oddělit veřejný webový server od interní sítě.
Pokud jste začínali jako malá firma, asi jste nepřemýšleli o důsledcích poskytnutí přístupu zaměstnancům k několika serverům, ale teď, když jste větší, je čas tak učinit. „Není důvod, proč by vaši prodejci a zaměstnanci podpory měli potřebovat přístup k účetním serverům,“ vysvětluje Jeff Jones, ředitel oddělení pro zabezpečení a technologie společnosti Microsoft.
4. Zvolte vhodné systémy pro zabezpečení různých zařízení
Kromě zvýšení úrovně zabezpečení integrovaného v produktech vytvořila společnost Microsoft také řadu produktů pro zabezpečení firmy chránící všechny sítě a systémy. Microsoft Forefront je řada produktů chránících klientské počítače, serverové aplikace a rozhraní sítě, které lze centrálně spravovat a škálovat, aby je mohly využívat tisíce uživatelů. (Podrobné informace o technologii Microsoft Forefront získáte v tomto datovém listu.)
Podle odborníků je v době, kdy je na trhu s technologiemi zabezpečení stále více možností a specializovaných produktů, často nejjednodušší spravovat integrovaný systém zabezpečení, jako je Microsoft Forefront.
Při výběru sady technologií zabezpečení vezměte v úvahu, že určitá zařízení vyžadují konkrétní nástroje:
| • | Stolní i přenosné počítače vyžadují antivirovou ochranu, ochranu proti spywaru a ochranu branou firewall (viz Microsoft Forefront Client Security). |
| • | E-mailové servery vyžadují antivirovou ochranu, jako je například program Microsoft Antigen, součást skupiny produktů Forefront. |
| • | Servery a sítě vyžadují brány firewall a systémy detekce narušení (tyto možnosti nabízí ISA Server společnosti Microsoft, který je také součástí řešení Forefront). |
5. Vytvoření strategie zabezpečení na cestách
S tím, jak stále více zaměstnanců řeší pracovní záležitosti po telefonu a pracuje na cestách, roste i důležitost zajištění strategie zásad zabezpečení na cestách, která chrání před lidskými chybami i před viry, vandaly a nebezpečnými útočníky. Gary Chen, analytik, který se zaměřuje na problémy malých firem ve společnosti Yankee Group se sídlem v Bostonu, doporučuje pro vzdálený přístup použit technologii virtuální privátní sítě (VPN), protože zahrnuje šifrované a zabezpečené ověřování.
Investujte do mobilních zařízení, která mají funkci známou jako „schopnost zabíjet,“ doporučuje Chen. V případě ztráty zařízení může server, pro který jsou určena, odeslat signál, který způsobí, že mobilní operační systém přestane fungovat. Díky tomu nelze ukrást ze zařízení data a zařízení nemá přístup k hostiteli.
Další informace o vytvoření zásad zabezpečení na cestách uvádí tento článek; další informace o zabezpečení mobilních zařízení uvádějí tyto články z webu systému Windows Mobile na webu Microsoft.com.
Toto jsou základy, s nimiž je vhodné začít. Přečtěte si část věnovanou zabezpečení, kde jsou uvedeny další zdroje. Pak se ujistěte, že vaše firma má vytvořený plán.
Howard Baldwin žije v Sunnyvale v Kalifornii a přispívá svými články na web Centrum středně velkých firem. Jeho práce se objevily v časopisech CIO, Optimize a InfoWorld.
