3. Dobre praktyki
Utrzymanie w ruchu zasobów informatycznych firmy przy jednoczesnym zapewnieniu im wysokiego poziomu bezpieczeństwa jest kluczowe dla biznesu. Sprawność poszczególnych komponentów systemu informatycznego ma istotne znaczenie dla konfiguracji i wydajności oraz płynności i efektywności przebiegu procesów firmowych.
Podstawą do przygotowania planów BCP i DRP jest dostosowanie ich do potrzeb organizacji oraz szerokie podejście do tematu – plany powinny obejmować nie tylko popularne przyczyny utraty lub uszkodzenia danych, ale też sytuacje krytyczne.
Między innymi dlatego, poniżej wskażemy kilka dobrych praktyk:
- Wdrożenie polityk bezpieczeństwa oraz polityki backup
- Polityki bezpieczeństwa są niezbędnymi elementami dla zachowania prawidłowości i ciągłości działania struktury informatycznej organizacji, często stanowią wręcz podstawę dla działania procesów i połączeń między poszczególnymi elementami.
- Każda firma powinna być przygotowana na wypadek utraty lub uszkodzenia danych oraz na wypadek sytuacji, które mogą stwarzać zagrożenie dla bezpieczeństwa danych. Najlepszą metodą jest przygotowanie odpowiadającej potrzebom firmy i kompletnej polityki backupu i retencji danych.
- Niezwykle ważnymi elementami są również:
a) Ustalenie i wdrożenie zasad przechowywania danych – w jaki sposób dane powinny być zbierane, przetwarzane oraz magazynowane, a także ustalenie zasad określających czy i w jaki sposób dany pracownik może uzyskać dostęp do danych.
b) Opracowanie planu zabezpieczania danych – jakie działania należy podjąć w określonych sytuacjach, które mogą naruszać lub naruszają polityki bezpieczeństwa.
c) Ustalenie planu ochrony urządzeń mobilnych, szczególnie ważne jest zdefiniowanie urządzeń, które mogą łączyć się z wewnętrzną siecią firmy oraz wypracowanie zasad w kwestii pobierania aplikacji i przekazywania na urządzenia mobilne danych. Dodatkowo, użytkownicy powinni być informowani o obowiązku ustalania silnych haseł oraz aktualizowania urządzeń, kiedy tego wymagają.
Należy pamiętać, że polityki bezpieczeństwa powinny być aktualizowane i udostępniane użytkownikom, których dana polityka obejmuje.
- Przygotowanie, testowanie i aktualizacja planów BCP i DRP
- Dobrą praktyką jest zaangażowanie w tworzenie planów BCP i DRP wszystkich osób związanych z procesem.
Należy pamiętać o konieczności oceny ryzyka, zdefiniowania możliwych przyczyn awarii lub sytuacji, które spowodować mogą utratę/uszkodzenie danych oraz możliwych skutków utraty lub uszkodzenia danych.
- Technologia rozwija się bardzo szybko, dlatego należy na bieżąco weryfikować i aktualizować plany BCP I DRP. Plany powinny uwzględniać elementy takie jak: role użytkowników, sposoby reagowania na określoną sytuację, kilka wersji planu naprawczego, procedury, dokumentację techniczną oraz szczegóły całości infrastruktury informatycznej firmy.
Pamiętaj, testy są nieodłącznym elementem tworzenia planów BCP i DRP
– nie poddając planów testom, nie będziemy mieli pewności, czy działają prawidłowo!
- Bieżące monitorowanie systemu informatycznego
- Monitorowanie i analizowanie zdarzeń systemowych w czasie rzeczywistym pozwala na podejmowanie proaktywnych działań, które umożliwią zapobieżenie złośliwym
atakom lub natychmiastową reakcję na zagrażający incydent. Dzięki proaktywnemu działaniu możemy zminimalizować szkody niepożądanych zdarzeń.
- Dzięki bieżącemu monitorowaniu systemu informatycznego firmy oraz jego poszczególnych elementów, możliwe jest niemalże natychmiastowe wdrażanie poprawek i aktualizacji niezbędnych dla prawidłowego działania systemu i jego bezpieczeństwa.
- Szkolenia użytkowników i zarządzanie dostępami
- Szkolenie użytkowników nie powinno być zdarzeniem jednorazowym – należy na bieżąco informować ich o możliwych zagrożeniach bezpieczeństwa. Regularne szkolenia, które przypomną Twoim pracownikom o dobrych praktykach bezpieczeństwa, można zapewnić w formie platformy e-learningowej, webinarium lub firmowej bazy wiedzy, która aktualizowana będzie o nowe informacje w temacie zagrożeń i wdrażanych w firmie procedur bezpieczeństwa.
- Użytkownicy powinni mieć bezpośredni dostęp do informacji, do kogo zwrócić się w przypadku wystąpienia problemów związanych z pracą w środowisku informatycznym.
Pamiętaj, samodzielne próby naprawcze bez posiadania niezbędnej wiedzy rzadko kończą się powodzeniem!
- Pamiętaj, że użytkownicy często przez zwyczajną niewiedzę otwierają podejrzane maile czy załączniki, pochodzące z niepewnego źródła. Przypominanie o firmowych zasadach bezpieczeństwa nikomu nie zaszkodzi.
- Zarządzaj dostępami użytkowników w sposób przemyślany – zwykle do kont administracyjnych ma dostęp zaledwie kilku użytkowników. Możesz dowolnie definiować granice dostępów dla poszczególnych użytkowników, a nawet ograniczać dostęp do ważnych informacji tylko na określonych urządzeniach lub przy użyciu specjalnych mechanizmów uwierzytelniających użytkownika.
Pamiętaj o stworzeniu polityki zmiany haseł – powinny być silne i regularnie zmieniane.
Stworzenie polityk bezpieczeństwa, planów BCP i DRP oraz dobór odpowiednich narzędzi informatycznych pomoże zautomatyzować i usystematyzować działania mające na celu zapewnienie bezpieczeństwa systemowi informatycznemu Twojej firmy.
Bezpieczeństwo to suma codziennych dobrych praktyk i dostosowania narzędzi do potrzeb organizacji.
Jak jednak właściwie zabezpieczyć swój system?
Rynek informatyczny jest przecież przepełniony różnorodnymi rozwiązaniami do zabezpieczania systemu.
Jak wybrać takie, które będzie dopasowane do wymagań Twojej organizacji?
Skontaktuj się z nami, a pomożemy Ci:
- zaplanować dokładnie i długofalowo polityki bezpieczeństwa oraz scenariusze ochrony,
- stworzyć plany BCP i DRP zgodne z potrzebami firmy,
- wybrać i dostosować narzędzia ochronne, żeby zapewnić systemowi informatycznemu najwyższy standard bezpieczeństwa.