03_19_Informačná bezpečnosť firiem – 3. časť
Informačná bezpečnosť firiem – 3. časť
Ako si overiť reálny stav informačnej bezpečnosti firmy? V súčasnosti asi len ťažko nájdeme firmu, ktorá by nebola existenčne závislá od informácií. Údaje o tom, aké zásoby má na sklade, koľko jej zákazníci dlžia, komu treba dodať tovar, alebo kto je objednaný na poskytnutie služieb, sú pre väčšinu firiem to najväčšie aktívum. Napriek tomu firmy pri ochrane tohto digitálneho majetku nie sú dosť obozretné. Paradoxne však väčšiu pozornosť venujú ochrane áut alebo montáži kamerových systémov.
Kde robia firmy chyby pri ochrane dát? 1. Nepoznajú hodnotu vlastných informácií Keď som sa raz majiteľa dopravnej firmy opýtal pri vyjednávaní o cene zabezpečenia IT techniky, či by chcel radšej, aby sa mu pokazilo jedno z áut alebo server, odpovedal pohotovo: „Fúha, ak by mi dnes vypadol server, tak to tu môžeme zavrieť. Bez auta si pár dní poradím, ale bez počítačov nerozvezieme nič.“ Toto vyjadrenie jasne ilustruje situáciu aj v mnohých iných firmách. Často berieme počítače ako samozrejmosť a nevenujeme dostatočnú pozornosť ich bezpečnosti a bezpečnosti dát. Inými slovami, častou chybou je, že firmy podceňujú alebo nepoznajú hodnotu vlastných informácií. 2. Nevenujú dostatočnú pozornosť ich ochrane Druhou veľmi častou chybou firiem je, že sa spoliehajú na svojho dodávateľa IT, nerozumejú sa jeho práci a príliš mu dôverujú. Majitelia a manažéri malých a stredných firiem sa zameriavajú na riešenie svojich pracovných úloh a spoliehajú sa na to, že ten šikovný chlapec, ktorý sem chodí zapájať tlačiarne a inštalovať softvér, sa stará aj o bezpečnosť dát – veď nainštaloval aj antivírus. V praxi je situácia zlá, externý dodávateľ, ktorý poskytuje IT služby, rieši veci zo svojho uhla pohľadu, spravuje a ochraňuje si veci po svojom a netuší, že používatelia nezálohujú lokálne súbory na určené miesto, že si inštalujú vlastný softvér, že poskytujú WiFi heslo návštevám alebo k účtovnému programu cez teamviewer pristupujú tretie strany bez akýchkoľvek obmedzení. Jednoducho povedané, firmy bezpečnosti nevenujú pozornosť, spoliehajú sa na „zázračné možnosti“ externého dodávateľa. 46
Ročník_2019_03
3. Nemajú plány v prípade porúch Treťou chybou firiem je absencia plánu B. Vo firmách neexistujú plány, čo robiť v prípade, že sa pokazí server, vypadne prístup k internetu alebo počítačovú sieť napadne vírus. V praxi sa stretávam iba s predstavou, ktorá sa dá zhrnúť do vety: „Zavoláme nášho technika, on nám pomôže.“ V situácii, keď sa pokazí jedno PC, vypadne na pár hodín internet alebo sa zasekne tlačiareň, tak technik na telefóne je fajn. Firmy však musia mať plány aj na závažnejšie situácie, pri ktorých prestane fungovať úplne všetko, napríklad v dôsledku poruchy disku, na ktorom sú všetky dáta alebo vírusu, ktorý ochromí všetky počítače vo firme (napríklad ransomvér). Tu predstava, že to technik vyrieši bez toho, aby existovali záložné údaje mimo napadnutú sieť, alebo možnosť nahradiť server iným pripraveným riešením, nie je v praxi dostatočne rýchlo realizovateľná. Ak to mám zhrnúť, tak firmy, ktoré nevenujú pozornosť ochrane údajov a neriadia svoju informačnú bezpečnosť, riskujú svoju existenciu. Ako to vyriešiť?
