Mała firma w sieci

Bezpieczeństwo technologii IT w małej firmie (część I) – Jak chronić firmowe dane

stacja kolejowa
fot. Reginar / unsplash.com
680wyświetleń
stacja kolejowa 660x330
fot. Reginar / unsplash.com

Czy prowadząc małą firmę, można spać spokojnie bez obaw o jej bezpieczeństwo? Co ma wspólnego spokojny sen z bezpieczeństwem technologii IT…? Bardzo dużo, co postaram się wyjawić w poniższym artykule. Nakreślę kilka czarnych scenariuszy związanych z utratą cennych, firmowych danych oraz odpowiem na pytanie, jak się przed tym bronić.

 
Wyobraź sobie sytuację, w której Twoje dane zostają bezpowrotnie zaszyfrowane, a przestępca internetowy żąda okupu. Albo inaczej: poufne firmowe informacje zostają wykradzione z Twojego komputera wraz z częścią informacji i zdjęć dotyczących Twojego życia prywatnego, i znów przestępca żąda okupu, tym razem za niedopuszczenie do upublicznienia tych danych.
Inna sytuacja: dysk Twojego komputera nagle odmawia posłuszeństwa i tracisz swoje dane. Twój smartfon, a razem z nim kilka tysięcy cennych kontaktów biznesowych, zostaje skradziony. Kontakty dostają się w niepowołane ręce, a jednocześnie zostają przez Ciebie utracone.

Czy jesteś zabezpieczony przed takimi scenariuszami?

Przezorny zawsze ubezpieczony

Mówić o bezpieczeństwie jest trudno i jest to wręcz niepopularne. „Przecież mój komputer, smartfon działają, po co zawracać sobie głowę procedurami kopii zapasowych, aktualizacją oprogramowania, unikalnymi hasłami…”. „Technologia jest przecież dla informatyków, oni się tym zajmują”. „Mam przecież antywirusa, a to mnie zabezpiecza”. To tylko niektóre błędne przekonania i mity. Dzisiaj zagrożenia płynące z globalnej sieci, bez której nasz biznes nie może istnieć, ciągle rosną. A przestępczość – nazwijmy to – intranetowa, zaczęła być intratnym biznesem. Nielegalnym i karanym w wielu krajach, ale biznesem.
Kolejnym aspektem jest to, że to rolą właściciela, menedżera jest między innymi dbanie o możliwość realizacji procesów biznesowych wspomaganych IT bez przestojów oraz dbanie o poufność danych. Ponadto prawo obowiązujące w Polsce nakłada na przedsiębiorcę konieczność zapewnienia odpowiedniej ochrony przetwarzanych danych osób fizycznych. Są to wymogi Generalnego Inspektora Ochrony Danych Osobowych (GIODO), które już w przyszłym roku zostaną wzmocnione o dość restrykcyjne wymogi nałożone przez dyrektywę Unii Europejskiej GDPR (General Data Protection Regulation).

Od czego zatem zacząć ochronę danych w firmie?

Wszytko zależy oczywiście od skali biznesu, narzędzi IT w nim wykorzystywanych itp. Zacznijmy od zasad, które dotyczą każdego biznesu.

bramki zabezpieczające
fot. Mike Wilson / unsplash.com

Bezpieczeństwo to nie sprawa jednej osoby. Organizacje tworzą ludzie, nawet jeżeli jesteś wyczulony na zagadnienia z tym związane i zwracasz uwagę: jakich haseł używasz do różnych usług, na treść wiadomości, które do Ciebie przychodzą, na jakie strony www wchodzisz, nie dzielisz się informacjami przez telefon z osobami, których nie znasz itd… to niekoniecznie musi tak być z Twoimi pracownikami i współpracownikami.

Hasło – pozornie prosta sprawa

Ale zacznijmy od początku… od hasła. Powiesz, „co znowu, to jakiś absurd… Co jeszcze można w tak prostym i oczywistym temacie powiedzieć?”. A jednak, dobre hasło to fundament bezpieczeństwa firmowego. Proszę pamiętać, że często stanowi jedyne zabezpieczenie cennych danych. Wielokrotnie słyszałeś pewnie, że hasło musi być mocne, czyli:

  • kompletnie inne niż login,
  • długie (min. 8 znaków, czasami to za mało),
  • niekojarzące się z Tobą itd.

Fundamentalnie ważne jest również, że nie przekazujemy haseł innym osobom, nie wysyłamy ich e-mailem, nie ujawniamy przez telefon, nawet gdy prosi o to jakiś „informatyk”. Należy trzymać się bezwzględnie zasady: jedna osoba = jedno konto = jedno hasło. Niektóre firmy, oszczędzając na licencjach, zalecają pracownikom współdzielenie kont i haseł. A jest to, zdaniem wielu specjalistów, biznesowy grzech ciężki…
cytat_bezp_IT_popr
Dlaczego? W przypadku przejęcia go przez niepowołane osoby lub szkodliwe oprogramowanie (działające automatycznie), zostanie otwarta tylko droga do jednego z używanych przez Ciebie serwisów, komputerów itp. A nie jednocześnie do komputera, poczty, banku itp.

Mądrze zarządzaj hasłami

Kolejnym etapem będzie używanie w przestrzeni internetu innego unikalnego hasła do każdego serwisu. Dlaczego? Nie wiadomo, w jakim stopniu Twoje hasło jest chronione, np. przez właściciela Twojego ulubionego sklepu internetowego i czy w pewnym momencie przestępca internetowy nie zdobędzie bazy danych klientów z hasłami. Wielokrotnie nawet popularne media donosiły o takich przypadkach. Jeśli przestępca zdobędzie hasło, może próbować je wykorzystać do zalogowania się do poczty, banku itp. Jak to zrobić, aby w każdym miejscu w internecie mieć inne hasła? Przecież ich nie zapamiętamy. Oczywiście, ale jest bardzo wygodne rozwiązanie.
Pomagają w tym programy do zarządzania hasłami (typu password manager), które w sposób bezpieczny (zaszyfrowany) przechowują hasła. Mogą być one offline, z bazą haseł na dysku (keepass.info), lub online, gdzie baza jest przechowywana „w chmurze” (lastpass.com, 1password.com).
W ochronie zasobów powinniśmy pójść dalej. Szczególnie w epoce, kiedy coraz więcej firmowych danych przechowujemy w „chmurze”, czyli na serwerach usługi, która jest udostępniona w sieci, np. Microsoft Office 365, Google Apps oraz przez wiele serwisów oferujących miejsce na nasze pliki i inne dane.

Uwierzytelniaj dwuetapowo

Istnienie takich serwisów jak twofactorauth.org pokazuje, że dwuskładnikowe uwierzytelnienie udostępniają już setki usługodawców internetowych. Powszechnie jest ono znane przy potwierdzaniu transakcji przelewu w bankowości internetowej. I tak, jak w bankowości, nie powinniśmy z niego rezygnować, definiując tzw. „zaufanego odbiorcę”, jednocześnie coraz częściej implementując do innych usług.
Czołowi dostawcy poczty elektronicznej (Microsoft, Google), miejsca dla naszych plików (Dropbox.com) czy serwisów społecznościowych (Facebook, Twitter, Linkedin) oferują oprócz hasła potwierdzanie logowania kodem SMS. Aby skonfigurować dodatkowe uwierzytelnienie, należy wykonać zwykle dość prostą procedurę. Zaczyna się od wpisania w wyszukiwarkę internetową: „jak skonfigurować dwuskładnikowe uwierzytelnienie w…”. Zwykle odpowiedzią będzie prosta instrukcja krok po kroku. W przypadku, kiedy nasze hasło zostanie przejęte, dostępy nadal będą chronione przez dodatkowe zabezpieczenie.

dodatkowe zabezpieczenie
fot. Alex Simon / unsplash.com

Odpowiednia ochrona haseł (w większych organizacjach polityka haseł zarządzana centralnie poprzez centralne reguły) i ochrona dostępów innymi metodami, to pierwsze i fundamentalne zagadnienia, jakie należy wziąć pod uwagę, wchodząc na drogę zwiększenia bezpieczeństwa naszego biznesu oraz danych naszych klientów. Droga bezpiecznego biznesu od strony technologii, ma wiele etapów i jest dość długa, ale warto ją podjąć, w celu zapewnienia ciągłości biznesowej i poczucia bezpieczeństwa właścicieli i naczelnego kierownictwa.
 


Zapraszamy do zapoznania się z kolejnymi artykułami dotyczącymi bezpieczeństwa technologii IT w małej firmie autorstwa Marcina Pieleszka:

 

Dodaj komentarz