Każda organizacja i firma, pracuje na określonych zasobach. Jednym z najcenniejszych zasobów są dane, na których pracuje. Jedne organizacje mają ich mniej, inne więcej, ale każda ma swoje własne dane, na które pracowała latami i na podstawie których działa teraz. Firma ma swoje dane (np. dane sprzedaży, produkcji czy HR), ale też często przetwarza dane klientów (np. banki) lub udostępnia narzędzia użytkownikom, którzy gromadzą ich dane (np. serwisy społecznościowe).
Narzędzia do przetwarzania danych, np. serwer, silnik bazy danych czy aplikacje, można w krótszym lub dłuższym czasie zmienić, przemigrować na inny model. Jednak dane nie są już tak łatwo odnawialnym zasobem. Uszkodzony serwer czy dysk możemy łatwo odkupić, ale jeżeli nasza ostatnia deska ratunku - kopia zapasowa padnie, to jesteśmy w kropce. Danych nie ma i koniec.
Myśląc o systemie informatycznym, musimy postrzegać same dane jako strategiczny zasób, do którego trzeba zapewnić dostęp, bezpieczeństwo i zabezpieczenie. Więcej na temat wyboru rozwiązań IT przeczytasz w artykule Co wybrać on premises, chmurę czy rozwiązanie pośrednie?
Budując system informatyczny dla organizacji, należy przyjąć jakie SLA (Service Level Agreement) dostępu do danych jest dla niej ważne. Można to sobie przetłumaczyć w następujący sposób – jakie jesteśmy w stanie ponieść koszty przestoju w dostępie do danych. Czy musimy mieć dostęp online 24h/7/365, czy dopuszczamy nieplanowaną przerwę 4h lub 24h?
Przykład
Call Center 30 osób, pracuje na systemie CRM. Brak dostępu do danych przez 1 dzień oznacza:
Dla zapewnienia ciągłości działania możemy zapewnić:
Każdy z powyższych punktów generuje dodatkowe, często niemałe, koszty, więc musimy rozważyć wszystkie za i przeciw, jaki jest koszt potencjalnej przerwy w działaniu vs. poniesione koszty na zabezpieczenie.
Dodatkowo teraz pojawiają się nowe możliwości. Może całe przetwarzanie przenieść do chmury? A może ośrodek zapasowy umieścić w chmurze? Czy nasza aplikacja pozwoli pracować w systemie ‘klastrowym’? Czy da się umieścić w chmurze? Czy dane w chmurze są bezpieczne? To wiele ważnych pytań, na które trzeba umieć sobie odpowiedzieć.
Dane firmy jako jeden z naszych najcenniejszych zasobów, powinien być też zabezpieczony w postaci kopii bezpieczeństwa (backup). Awaria zawsze może się przytrafić, a użytkownicy dzielą się na tych, którzy stracili dane oraz tych, którzy je stracą.
Mimo zdublowanych zabezpieczeń, kopia bezpieczeństwa jest firmowym ‘must have’. Dane mogą zniknąć z powodu awarii sprzętu (nie)przypadkowego skasowania, lub zdarzeń losowych np. pożar w serwerowni. Sięgamy wtedy po ostatnią deskę ratunku - backup, modląc się, aby udało się ‘odwinąć’ dane. Aby na 100% czuć się bezpiecznym, warto raz na jakiś czas sprawdzać, czy umiemy odzyskać dane z backupu, czy częstotliwość wykonywania kopii nas satysfakcjonuje, a może wykonywać na wszelki wypadek dwie kopie bezpieczeństwa? Trzeba pamiętać, że każdy dodatkowy składnik kosztuje.
Kolejnym dużym tematem jest zabezpieczenie danych przed:
-niepowołanym dostępem – np. wrażliwych danych finansowych i strategicznych dla firmy
-wyciekiem danych do konkurencji przez niezadowolonego pracownika
-atakiem typu ‘ransomware’, czyli zaszyfrowaniem danych przez złośliwe oprogramowanie (i wymuszenie okupu za odszyfrowanie).
W tej kwestii ważna jest świadomość bezpieczeństwa organizacji, szkolenia oraz stosowanie polityk bezpieczeństwa. Do najbardziej podstawowych należą polityki zmiany haseł, stosowanie odpowiednio trudnych haseł, wprowadzenie filtrowania poczty z podejrzanych załączników, niepodłączanie wszystkich pamięci USB jak leci, a może nawet wyłączenie takiej możliwości dla użytkowników.
Podsumowując
Dane pozwalają naszej organizacji funkcjonować i zabezpieczenie ich jest zadaniem na wielu poziomach. Wyzwaniom tym powinniśmy przeciwdziałać na różne sposoby - od prostego zabezpieczenia RAID na macierzy dyskowej, przez odpowiednią politykę haseł użytkowników, a na kopiach zapasowych kończąc. Każde działanie chroniące nasze dane ma określony koszt, ważne, aby dostosować je do pożądanego poziomu dostępu i bezpieczeństwa.
Jeśli, chcemy sprawdzić na jakim poziomie jest zabezpieczona nasza infrastruktura informatyczna, warto przeprowadzić jej audyt.