Co ma wspólnego spokojny sen z technologią? Kolejna cześć porad dotyczących bezpieczeństwa IT. Tym razem o tym, jak można uchronić się przed utratą cennych, firmowych danych poprzez tworzenie kopii zapasowych z podaniem konkretnych rozwiązań i narzędzi.
W poprzednim numerze „FIRMERA” wprowadzaliśmy w temat bezpieczeństwa IT w firmie, kreśląc kilka czarnych scenariuszy utraty danych. Wiązały się one z awarią sprzętową dysku, kradzieżą sprzętu z danymi, pożarem lub zalaniem. Zwróciłem wtedy uwagę na możliwość działania szkodliwego oprogramowania, które może szyfrować dane, w celu wyłudzenia okupu. Według mnie, w świetle przedstawionych faktów, bardzo ważne jest ustanowienie w firmie polityki kopii zapasowych – backupów – i jej konsekwentna realizacja.
To działanie może wydać Ci się zbyteczne, ale czy na pewno? Mamy w przedsiębiorstwach procedury zapewnienia jakości, rozpisujemy procesy, składamy wielostronicowe oferty do przetargów, nie mówiąc o dokumentacji wymaganej porządkiem prawnym w naszym kraju. Ile czasu poświęcamy zatem dokumentacji naszych systemów IT, które w większości przypadków są kręgosłupem naszego biznesu?
Jeżeli (podobnie jak większości przedsiębiorców) ten temat zabiera Ci niewiele czasu, proponuję abyś na początek stworzył prosty dokument ustanawiający politykę bezpieczeństwa Twojej firmy. Może być to jednostronicowy dokument, w którym określimy: dane do wykonywania kopii, ich częstotliwość, rodzaj nośnika, osoby odpowiedzialne za ich wykonanie oraz narzędzia wykonywania tych kopii.
Kopie zapasowe danych
Są dwie najważniejsze rzeczy wymagające szerszego omówienia. Pierwsza to narzędzia, których wybór jest bardzo szeroki. Dla mniejszych firm podstawowe narzędzia backupu są zwykle darmowe: np. Veeam.com, 2brightsparks.com, Clonezilla.org, Cobiansoft.com, Crashplan.com. Musimy zapewnić tylko nośniki danych, czyli dyski. Backup może być też wykonany do komercyjnej „chmury”: np. Onedrive.com, Dropbox.com oraz rozwiązania chmurowe dedykowane dla kopii zapasowych: np. Crashplan.com, Tanibackup.pl.
Druga fundamentalnie ważna kwestia dotyczy okresowego wykonywania kopii czasowych, w celu ich przechowywania poza siedzibą firmy, jeżeli korzystasz z własnych nośników danych. Minimalny wymóg to podjęcie takiego działania raz w tygodniu. Dane i wszystkie kopie nie mogą być przechowane w jednej lokalizacji, gdyż istnieje prawdopodobieństwo pożaru lub kradzieży.
Zamykając temat zabezpieczania danych, musisz pamiętać o jeszcze jednej, ważnej kwestii. Twoje systemy nie mogą mieć dostępu do kopii zapasowych w trybie nadpisywania. Szkodliwe oprogramowanie działające na komputerze mogłoby Ciebie pozbawiać danych również na utworzonej kopii. Warto też przetestować scenariusz odzyskiwania danych oraz zadbać o niezależną kopię zapasową firmowej strony WWW. W przypadku tak bardzo popularnego CMSa jak WordPress.org, służy do tego wtyczka Updraftplus.com, dostępna również w wersji darmowej.
Codzienne bezpieczne korzystanie z internetu, czyli skąd bierze się szkodliwe oprogramowanie
Czy serfowanie w internecie może zaszkodzić naszej firmie? Może się to zdarzyć i nie mam tu na myśli trwonienia czasu przez pracowników przeglądających zasoby sieci w poszukiwaniu rozrywki. Takie zachowania możesz monitorować (powiadamiając o tym pracowników) np. za pomocą systemu firmy Axence.net (moduł Users – inteligentne monitorowanie użytkowników). Niestety, są gorsze „kataklizmy”, które ostatnio zdają się narastać. Myślę tutaj o przestępczym hakowaniu serwisów WWW w celu „wstrzyknięcia” złośliwego kodu. Użytkownik internetu odwiedza zainfekowaną stronę i wykonuje prostą akcję pobrania szkodliwego oprogramowania – wirusa – na swój komputer. Działanie tego oprogramowania może być różnorodne: wspomniane szyfrowanie danych w celu wymuszenia okupu, przejęcie kontroli nad urządzeniami komputera (mikrofon, kamera, wykonywanie zrzutów ekranu), wyciek danych na serwery przestępców internetowych. Wszystkie z wymienionych akcji, za wyjątkiem pierwszej, mogą przebiegać bez wyraźnych objawów, ze względu na brak możliwości wykrycia przy pomocy standardowego oprogramowania.
Należy zaznaczyć, że zagrożenia mogą płynąć z różnych serwisów WWW, nie tylko tych odwołujących się do naszych „słabości”. Zanim przedstawię w skrócie, jakie ułomności naszych serwisów internetowych wykorzystują przestępcy i na co należy zwrócić uwagę, w przypadku naszych firmowych stron WWW, odpowiem na najważniejsze pytanie: jak się bronić?
Na pewno potrzebna jest powszechna świadomość zagrożeń płynących ze stron WWW. Nie należy reagować na reklamy nieznanych źródeł oraz na proste „wezwania do akcji”, np. „wygrałeś super smartfona”. Ważna jest instalacja oprogramowania antywirusowego (pakiet security) na naszych firmowych komputerach, które zawiera wtyczkę do przeglądarki internetowej badającej reputację stron WWW już na etapie wyszukiwania, np. w Google.com. Zwykle obwiązują oznaczenia: kolor zielony – nie zdiagnozowano zagrożeń, żółty – wchodzisz na własne ryzyko, czerwony – skrajne ryzyko, nie wchodź (np. rozwiązania firm McAfee.com, Avast.com). Dodam, że brak aktualizacji systemu operacyjnego (np. Windows) oraz aplikacji zwiększa podatność komputerów firmowych na zagrożenia.
Chroń firmowy serwis WWW
Pewnie zmartwię znaczną część czytelników, ale nie wystarczy raz zlecić wykonanie firmowej strony WWW. Powinna być ona nadzorowana i aktualizowana. Brak aktualizacji, szczególnie w przypadku powszechnie znanych, otwartych (znany kod aplikacji) oraz w znacznej części darmowych platform CMS (Content Management System – system zarządzania treścią) Joomla.org, WordPress.org, powoduje pełne otwarcie się na zagrożenia. W przypadku wspomnianego już najpopularniejszego WordPressa, zaawansowaną ochronę (z jednoczesnym przypominaniem w wiadomościach e-mailowych, o koniecznych czynnościach serwisowych,) zapewni wtyczka Wordfence.com, dostępna również w wersji darmowej.
Zapraszamy do zapoznania się z pozostałymi artykułami dotyczącymi bezpieczeństwa technologii IT w małej firmie autorstwa Marcina Pieleszka:
- Bezpieczeństwo technologii IT w małej firmie (część 1) – Jak chronić firmowe dane
- Bezpieczeństwo technologii IT (część 2) – Jak tworzyć kopie zapasowe danych
- Bezpieczeństwo technologii IT (część 3) – Jak chronić swoją pocztę elektroniczną i konta społecznościowe
- Bezpieczeństwo technologii IT (część 4) – Jak chronić dane na komputerze i urządzeniach mobilnych