Kopie zapasowe

Istnieje taki żart, że ludzie dzielą się na tych, którzy robią kopie zapasowe i na tych, którzy będą je robić. Ci którzy je robią dzielą się na kolejne dwie grupy, ale to inna historia 😉 Przeważnie nie docenia się wartości regularnej kopii zapasowej, dopóki nie jest ona potrzebna. W każdym przedsiębiorstwie istnieją newralgiczne dane, których utrata może mieć negatywne konsekwencje. Oczywiście podświadomie wyczuwamy tutaj różnice w wartości danych:

• usunięto folder zawierający katalogi produktów dostarczane co miesiąc przez dostawców
• awarii uległ dysk twardy zawierający dane kontaktowe i historie zamówień wszystkich klientów

Katalogi prawdopodobnie można łatwo odzyskać. Firma poradzi sobie przez jakiś czas bez tych danych. A co z drugim punktem? Czy to przypadkiem nie będzie sytuacja kryzysowa, od której rozwiązania będzie zależeć być lub nie być przedsiębiorstwa? Warto przeprowadzić analizę ryzyka pod kątem newralgicznych danych i przyjąć odpowiednią politykę bezpieczeństwa.

Analiza ryzyka oraz polityka bezpieczeństwa

Działalność naszej firmy bazuje na danych: X, Y, Z. Jeżeli stracimy dane X, to […]. Dane X powinny być przechowywane w sposób […], dostęp do danych powinien być ograniczony do […], kopie zapasowe powinny być tworzone […]. To uproszczony model polityki bezpieczeństwa. Sama analiza ryzyka polega na zadaniu odpowiednim osobom pewnych pytań. Przykładowe z nich to:

1. Jakie dane są niezbędne dla Ciebie w Twojej pracy?
2. Co zrobisz, jeżeli stracisz dostęp do tych danych?
3. Jak szybko jesteś w stanie odzyskać utracone dane?
4. Kto poza Tobą ma dostęp do tych danych?
5. Czy ktoś poza Tobą potrzebuje pełnego dostępu do tych danych?
6. Co się stanie, jeżeli dostęp do danych uzyska konkurencja?

Uzyskane odpowiedzi pozwalają ustalić, na czym stoimy. Polityka bezpieczeństwa to nie tylko dokument, czy lista dobrych zaleceń. To również świadomość zatrudnionych osób. Nie bez powodu mówi się, że najsłabszym ogniwem zabezpieczeń jest właśnie człowiek (lub jak kto woli „czynnik ludzki”). Piszę o tym, ponieważ podczas rozmowy toczącej się wokół tego typu pytań należy zwracać uwagę na ogólną wiedzę rozmówcy w zakresie bezpieczeństwa, zagrożeń, konsekwencji. Pozwoli to ustalić, czy konieczne są dodatkowe szkolenia lub inne formy rozszerzania wiedzy.

Prawidłowa polityka bezpieczeństwa określa, co musi zostać zrobione, co ma być robione, przez kogo, kiedy i jak.

Firmowa strona www

W tym miejscu pozwolę sobie rozwinąć jedynie punkt polityki bezpieczeństwa jakim jest firmowa strona internetowa. Co składa się na firmową stronę www? Przeważnie jest to kod źródłowy, CMS, baza danych, treści dodane przez opiekuna strony lub administratora, zdjęcia i inne materiały. Nierzadko do tego zbioru dodaje się również hosting, domenę i skrzynki pocztowe działające w tej domenie i serwerze. Jaką rolę pełni opisany przed momentem zbiór? Strona pozwala klientom poznać informacje o produkcie, złożyć zamówienie. Skrzynki pocztowe zapewniają kontakt z klientami. Co się stanie, jeżeli stracimy kontrolę nad stroną? W najlepszym wypadku nie będzie się ładować klientom. A w najgorszym? Będzie zachęcać klientów do pobrania np. nowego katalogu, pod którym zostanie ukryte złośliwe oprogramowanie. Zostaną zmienione dane do przelewów bankowych. Strona będzie rozsyłać masowo spam, co doprowadzi do zablokowania firmowych skrzynek pocztowych. Opcji, niestety, jest naprawdę wiele. Co zrobimy, gdy dojdzie do takiej sytuacji? Jak się przed tym zabezpieczyć? Tutaj przeważnie zaczynają się schody. Podsunę kilka podstawowych działań:

1. Regularna kopia zapasowa.
2. Pewność, że umiemy odtworzyć kopię, gdy przyjdzie taka potrzeba.
3. Aktualizacje systemu CMS i środowiska.
4. Weryfikacja, czy administrator hostingu wykrywa anomalie typu np. masowy spam.

Zhakowano moją stronę!

Jeżeli doszło do incydentu z udziałem Twojej strony i potrzebujesz pomocy, skontaktuj się z nami. W tego typu przypadkach należy reagować natychmiast, gdyż konsekwencje mogą stawać się poważniejsze z każdą chwilą. Jeżeli szukasz przykładów, rozważ dwa przypadki: a) strona zamiast katalogu produktów udostępnia wirusa b) strona rozsyła spam. W pierwszym przypadku z każdą chwilą więcej klientów może ulec infekcji, a w drugim każdy wysłany mail przybliża nasz serwer do ustawienia blokad na innych serwerach pocztowych, a z tego trudno się wykręcić.

Konsultacje – umów się już dziś

Masz pytania? Nie jesteś pewny, jak ugryźć temat bezpieczeństwa w swojej firmie? Z miłą chęcią pomożemy odpowiednio zorganizować politykę bezpieczeństwa w Twojej firmie. Zajmiemy się również innymi zleceniami z zakresu bezpieczeństwa komputerowego. Podczas konsultacji zbierzemy informacje, doradzimy, odpowiemy na pytania i wyjaśnimy wątpliwości.