Małe i średnie przedsiębiorstwa nie mają planu B

Wiele firm nie ma świadomości tego, jak istotna jest ochrona infrastruktury IT. Według badań Deloitte z 2013 r. 70% małych i średnich przedsiębiorstw nie wierzy, że naruszenie bezpieczeństwa danych spowoduje finansowe konsekwencje i wpłynie negatywnie na wiarygodność biznesu. Choć firmy inwestują w ochronę, często nie potrafią wykorzystać zakupionych do tego celu narzędzi. Jak pokazuje badanie RSM Tenon z 2012 r., jedynie 27% europejskich menedżerów wyższego szczebla z sektora MSP przeprowadza kontrolę bezpieczeństwa sieci w swojej firmie, a 16% przebadanych nie posiadało informacji, czy mają zainstalowane oprogramowanie antywirusowe.

– Brak zabezpieczeń może mieć zarówno prawne, jak i finansowe konsekwencje. Z badań firmy Kroll Ontrack wynika, że w zeszłym roku utraty danych doświadczyło prawie 50% przedsiębiorstw. Koszty zniknięcia kluczowych informacji z samej tylko poczty elektronicznej i systemów pracy grupowej rosną z każdym rokiem. Jedno na cztery przebadane przedsiębiorstwa szacuje je na co najmniej 50 tys. USD, a 3% – na ponad 1 mln USD¹ – podkreśla Wojciech Mach, dyrektor zarządzający Luxoft Poland.

Niewłaściwe zabezpieczenie wrażliwych informacji, a w efekcie ich utrata, kosztuje firmy czas i pieniądze. Utracone dane tylko ze środowisk Microsoft Exchange Server i Office SharePoint Server w 65% przypadków kosztowały firmy mniej niż 50 tys. dolarów, ale 25% przedsiębiorstw oszacowało je na wyższe. Według informatyków czas potrzebny na odzyskanie utraconych danych to najczęściej połowa dnia pracy, ale czasem nawet kilka czy kilkanaście dni. W skrajnych przypadkach nie udaje się to nigdy².

Skąd biorą się zagrożenia?

Przedsiębiorstwa doświadczają utraty lub kradzieży danych, zniszczenia sprzętu lub paraliżu komunikacyjnego często z powodów własnych zaniedbań lub zewnętrznych czynników. Brak zasilania lub Internetu, wpływ warunków atmosferycznych i uszkodzenia mechaniczne urządzeń to nieprzewidywalne zdarzenia, którym trudno zapobiec, ale które można przewidzieć i im przeciwdziałać.

– Wbrew powszechnemu stereotypowi o zagrożeniach wywołanych atakiem hakerów, większe straty związane są z wewnętrznymi zaniedbaniami firm i tzw. czynnikiem ludzkim. Wśród najczęstszych błędów jest brak kopii zapasowych, nieodpowiednie zabezpieczanie danych czy brak szkoleń w zakresie ochrony danych – mówi Adam Rasiński, Security Officer, Capgemini Polska.

Pracownicy często nie mają odpowiedniej wiedzy z zakresu bezpieczeństwa IT. Nie potrafią stosować zainstalowanych narzędzi, nie mają ustalonej sukcesji zadań i nie wiedzą, jak się zachować w czasie, gdy np. nie działają komputery lub telefony albo nie mogą uzyskać dostępu do e-dokumentów. Innym wyzwaniem jest dublowanie się kompetencji pracowników. W przypadku zagrożenia kilka osób wykonuje te same czynności, co jest nieefektywne i nie prowadzi do naprawienia sytuacji.

Zachować biznesową ciągłość

Aby przygotować się na ewentualny kryzys, małe i średnie przedsiębiorstwa powinny przygotować tzw. disaster recovery plan, który pozwoli im zminimalizować skutki negatywnych zdarzeń. Przede wszystkim tego typu scenariusz powinien być traktowany jako integralna część ogólnej strategii biznesowej. Kryzys technologiczny, taki jak brak dostępu do folderów sieciowych, może spowodować paraliż całej organizacji. Plan powinien mieć formę księgi procedur, która jest aktualizowana raz na kilka miesięcy przez wyznaczoną osobę. Powinna być ona dostępna dla wszystkich pracowników i zawierać nie tylko opisy konkretnych działań, ale także kontakty do osób, które mogą pomóc w danej sytuacji, takich jak serwisanci czy administratorzy. Jej stworzenie powinien poprzedzić dokładny audyt, który pokaże, jakie obszary i procesy są najbardziej zagrożone. Osoby zatrudnione w firmie powinny też przechodzić regularne ćwiczenia, by utrwalić procedury.

– Od strony technologicznej można poczynić wiele działań, które pomogą przewidzieć najgorsze scenariusze. Do podstawowych zadań przeciwdziałających kryzysowi należy tworzenie kopii danych. Regularny, automatyczny back-up, wirtualizacja zasobów czy zapasowe centrum danych pozwalają na skuteczną ochronę w tym zakresie. Dotyczy to nie tylko danych znajdujących się na komputerach, czy urządzeniach biurowych w siedzibie firmy, ale także tych przechowywanych na tabletach, smartfonach czy laptopach. Jest to szczególnie ważne w przypadku, gdy pracownicy korzystają z własnych urządzeń w celach zawodowych w ramach trendu BYOD (Bring Your Own Device). Należy także zapewnić pracownikom dostęp do danych z różnych urządzeń, co da im większą elastyczność pracy. Co ważne, każdy pracownik powinien mieć indywidualne uprawnienia dostępu, dzięki czemu wrażliwe informacje będą przetwarzać tylko osoby upoważnione – mówi Arkadiusz Chłopik, A&P & Strategic Marketing Manager, Xerox Polska.

Przedsiębiorstwa nie muszą posiadać w swoich strukturach informatyka, by stosować rozwiązania pozwalające na utrzymanie ciągłości biznesowej w czasie kryzysu. Mogą skorzystać z usług zewnętrznych dostawców, którzy posiadają w swoich ofertach rozwiązania zarówno standardowe, jak i dedykowane konkretnym firmom i sektorom. Należy przy tym zachować odpowiednie procedury bezpieczeństwa i dobierać sprawdzonych partnerów. Na przykład w momencie oddawania sprzętu do serwisu trzeba utworzyć kopię znajdujących się na nim danych. W przeciwnym razie należy liczyć się z ich utratą, ponieważ tego typu firmy standardowo nie zabezpieczają danych.

Firmy mogą również skorzystać z darmowych lub atrakcyjnych kosztowo rozwiązań dostępnych na rynku. Istnieje wiele programów antywirusowych typu open source. Przedsiębiorstwa mogą też zabezpieczać dane, lokując je w darmowych repozytoriach w chmurze. Można mieć do nich dostęp także zdalnie, z telefonów i tabletów. Co więcej, na darmowych pocztach i serwerach znajdują się nieodpłatne zabezpieczenia, które gwarantują bezpieczeństwo korespondencji. Małe i średnie przedsiębiorstwa mogą także korzystać z odpłatnych narzędzi, by zredukować zagrożenia nawet dla mienia, które nie znajduje się w siedzibie przedsiębiorstwa.

– Firmy powinny nie tylko identyfikować potencjalne zagrożenia, ale także stale monitorować obszary krytyczne. Dla przykładu, zaawansowane narzędzia GPS w samochodach pozwalają pracodawcy na rozpoznanie osób niewłaściwie użytkujących pojazdy służbowe. Jest to działanie prewencyjne, pozwalające na uniknięcie nagłych problemów z logistyką i transportem firmy – mówi Kamil Jakacki, dyrektor ds. sprzedaży Cartrack Polska.

W razie wypadku zaawansowane narzędzia GPS pozwalają na odtworzenie tego, co działo się z pojazdem nawet do pięciu lat wstecz. Jest to przydatne, by zdobyć dane dotyczące sprzedaży i lokalizacji klientów, które gromadzą tego typu systemy.

Istotne dla firm jest także przygotowanie pomieszczeń biurowych do eksploatacji. Chodzi o to, by minimalizować skutki ewentualnych awarii energetycznych spowodowanych dużym obciążeniem sieci, które zdarzają się w wielu sektorach.

– Deweloperzy dostosowują przestrzeń do najemców o nietypowych wymaganiach, np. firm z branży IT. Podczas spotkań koordynacyjnych i technicznych omawiają, w co powinni doposażyć budynek, by odpowiedzieć na potrzeby klienta. Dla przykładu Skanska dla jednego z najemców przearanżowała kondygnację budynku na użytek laboratoriów. Znacząco podniosła podłogę, która posłużyła m.in. wentylacji szaf IT, wykonała specjalną, bardziej wydajną klimatyzację i w dużym stopniu zwiększyła zasilanie tej powierzchni – mówi Cezary Grzebalski, lider projektu ds. elektrycznych, Skanska Property Poland.

Dla firm zabezpieczanie się przed krytycznymi sytuacjami ma wiele oczywistych korzyści, takich jak sprawne funkcjonowanie nawet w razie pożaru czy awarii systemów. Istotne są także oszczędności płynące z instalowania tylko tych rozwiązań, które mogą przydać się firmie w praktyce. Nie ponosi też ona kosztów związanych z odzyskiwaniem utraconych danych. Co więcej, może dać gwarancję klientom, że ich dane są zabezpieczane na wiele sposobów, co może stać się jej wyróżnikiem na rynku.