This website uses cookies.
We use so-called cookies to operate our website. Cookies are files used to customize the content of a website, to measure its functionality and generally to ensure your maximum satisfaction.
Enable selected Enable all

it-security

Dnešná každodenná téma

Nezmyselný nadpis? Možno.

Author: it.portal

Ak si však uvedomíme, že na to aby sme prežili dnešný a každý ďalší deň robíme nespočítateľne veľa podvedomých úvah, rozhodnutí a krokov k tomu aby sme eliminovali riziká, ktoré nás ohrozujú na zdraví, v oblasti vlastnej fyzickej bezpečnosti či idete pešo alebo autom do práce, domov. Čas ktorý žijeme ponorení v technológiách a obklopení nimi, nám dáva falošný pocit bezpečia. Bezpečia, že všetko funguje, lebo spoľahlivosť technológií je naozaj vysoká. Áno je.

Ale každodennou úvahou musí byť aj to či každý na svojom mieste vykonal všetko pre bezpečnosť ktorú vie ovplyvniť, alebo to má dokonca za povinnosť, aj keď nie vždy napísanú v náplni práce. Bezpečnosť technológií začína v ich riadení, riadenie je zabezpečené naprogramovanými krokmi, činnosťami, procesmi jednoducho softvérom a nikto sa nad tým ani nezamyslí. Ani nemusí pokiaľ všetko funguje.

Tí šikovnejší si však položia otázku čo keby sa niečo stalo, čo ak by bola chyba v softvéri, vieme, že to nie je až taký problém. Vzhľadom na to, že dnes, myslené v posledných rokoch, sa nahrádzajú zariadenia, ktoré fungujú dobre a spoľahlivo na základe iba fyzikálnych zákonov, sofistikovanými riešeniami, minimálne sa pridáva riadiaca jednotka, ktorá sa pokazí rýchlejšie ako samotné fyzické zariadenie. Ak odhliadneme od predošlého popisu, na ktorý sa možno najviac hodí pračka alebo výťah, je nám jasné, že softvéru bude len viac a viac, a to pre dobro väčšiny vecí, pre vyššiu efektivitu, pre ľahší možno aj šťastnejší život.

Dlhý úvod? Možno. Smeruje ale k tomu, že riziko výpadku čohokoľvek sa zvyšuje percentom softverizácie (možno nový slovný tvar), a ak do toho pridáme cielené aktivity s úmyslom uškodiť, alebo chyby spôsobené ľudským faktorom, tak bezpečnosť je dnešnou každodennou témou, hlavne v oblasti Informačných technológií, správy serverov, aplikácií a dát.

01 - Aktuálna situácia
Účelom nie je vystrašiť, aj keď aj to je lepšie ako by téma IT bezpečnosti mala ostať bez povšimnutia. Cieľom je zastaviť sa v rozbehnutom živote, biznise a zamyslieť sa či poznám a mám vyriešenú túto oblasť, alebo som o nej aspoň počul, alebo nebodaj netuším o čo ide.

Bezpochyby v tejto digitálnej dobe sú najcennejším aktívom každého podnikania dáta. Bez prístupu k nim žiadna spoločnosť jednoducho nemôže fungovať.

Hrozby pre dáta sa neustále zvyšujú a sú čoraz sofistikovanejšie, či už úmyselne prostredníctvom zákernej aktivity, ako je napr. malvér alebo útok ransomvéru (a je jedno ako sa to bude volať zajtra), alebo neúmyselne, ako je chyba používateľa alebo zlyhanie hardvéru. Potreba zálohovania, ochrany a zaistenia dostupnosti údajov a možnosť ich obnovy nebola nikdy dôležitejšia.

Dostávame sa vlastne k tomu čo by malo byť nadpisom popisovanej témy, a najlepšie to bude asi vo forme otázky/otázok:

Viem čo mám robiť, čo sa bude diať ak nastane výpadok kritickej IT infraštruktúry, hardvéru, softvéru alebo aplikácií v mojej spoločnosti?
Viem kedy budem mať obnovenú službu, dostupnú aplikáciu, kedy sa rozbehne výroba?

02 - Dôvody pre dobré riešenie
Ak si neviete predstaviť 1 deň alebo nebodaj jednu hodinu v práci bez funkčného počítača, tabletu, alebo výrobného zariadenia riadeného nejakým softvérom, a nie ste si istý za aký čas zodpovední ľudia dokážu obnoviť takéto služby, je nutné riešiť takúto situáciu čo najskôr.
Hneď na začiatku je však nutné povedať, že dostupnosť, prípadná obnova poskytovanej služby nie je otázkou IT oddelenia, IT manažéra, alebo firmy ktorá poskytuje takéto služby externe.

Správne definovať požiadavky musí „biznis“, to znamená ľudia, hlavne Top Manažment, ktorí vedia čo je hlavný predmet podnikania (Core Business), vedia koľko stojí spoločnosť prestoj konkrétneho zariadenia alebo človeka. Zároveň okrem ekonomických vplyvov je nutné definovať všetky rozhodujúce ohrozenia a riziká na úrovni spoločnosti ako celku.

Musia definovať stratégiu, ohrozenie, riziká, postupy, procesy, SLA alebo KPI parametre, dokumentáciu, zodpovedných ľudí, pravidelné testovanie, jedine potom môžu veriť tomu čo očakávajú, lepšie povedané čo musia požadovať po IT špecialistoch. A až po týchto krokoch pristúpiť k hľadaniu samotného riešenia.

Áno je toho veľa, vyžaduje to veľa času, hlavne na začiatku, a aj veľa finančných prostriedkov (nikdy však nie viac ako je cena rizika) napríklad v prípade výrobných prevádzok väčších spoločností, kde sú dôležité minúty. V iných prípadoch môže byť riešenie lacné ale tiež rýchle. Dôležitá je rovnováha medzi možnými stratami a rizikami voči vynaloženým nákladom.

03 - Dôležité úvahy na začiatok
Použijeme jeden príklad z prostredia bezpečnosti, ak máme zabezpečiť objekt voči požiaru musíme sa dobre rozhodnúť na začiatku a to výberom správnej monitorovacej kamery. Rozhodne pre monitorovanie priestoru je lepšou voľbou ako štandardná lacná optická kamera, „drahšia“ termovízna kamera. Na optickej kamere zaevidujeme už len existujúci požiar, rozhodujúce je však požiaru zabrániť a to môžeme termovíznou kamerou, ktorá detekuje prehriatie oveľa skôr ako požiar vznikne. Áno vstupná investícia je vyššia, ale ak to spoločnosti ochráni sklad s vozidlami, alebo batériami pred požiarom, predstavuje uvedená investícia mizivý zlomok možných strát.

Ako využiť spomenutý príklad? Musíte definovať maximálnu mieru rizika, ktoré predstavuje riziko alebo výpadok niektorého prvku infraštruktúry ICT. Pri tom netreba žiadneho IT pracovníka, tak ako v predošlom príklade netreba Požiarnika pre stanovenie hodnoty skladu. Začnite uvažovať na úrovni Top manažmentu, a mimochodom postup a proces je rovnaký pri veľkej i menšej spoločnosti.

Ak si veríte alebo aj nie dajte si spraviť audit „zálohy a obnovy“ alebo aj priamo test obnovy s reálnym „odpojením“ niektorého prvku infraštruktúry, alebo dokonca ani to netreba. Stačí ak definujete, že potrebujete reálnu obnovu produkčného servera povedzme do 4 hodín. A začnite! Rýchlo zistíte či vám vaše „snapshoty“ stačia, či obnovíte najnovšie dáta, alebo niečo z dát bude chýbať a možno či vôbec máte prostredie kde takúto obnovu môžete realizovať. Ak by ste skončili pri poslednom bode s odpoveďou nie, tak ste na tom dosť zle.

Ak ste so všetkým v pohode, ako sa dnes hovorí, tak nemusíte čítať ďalej ani sa zaoberať touto témou. Alebo áno? Ak poznáte vetu, že citujem “Najvyššou formou dôvery je previerka.“ tak máte odpoveď.

04 – Plán kontinuity podnikania
Toto je práca ktorej sa na začiatku nevyhneme ak chceme systematicky vybudovať bezpečnosť pre zvládnutie možných hrozieb a rizík, takýto plán je treba vytvoriť. Hlavné zložky plánu budú:

• Tím pre kontinuitu podnikania
• Zoznam základných služieb
• Faktor kritickosti základných služieb
• Akčný plán na udržanie základnej služby
• Kľúčoví zákazníci
• Kritickí dodávatelia
• Kritickí obchodní partneri alebo poskytovatelia podpory
• Kontrolný zoznam plánu kontinuity podnikania

Kľúčové výhody plánu kontinuity podnikania sú v proaktívnosti. Nikto nevie spoľahlivo predpovedať budúcnosť, ale môžeme byť pripravení so spoľahlivým plánom kontinuity podnikania. Zavedením plánu preukážeme zamestnancom, akcionárom a zákazníkom, že organizácia je proaktívna a vieme zabezpečiť chod počas vážneho narušenia.

Končíme smutne? Určite nie! Len sa dostávame k strohým faktom a práci ktorú možno treba vykonať.
V každom prípade vieme čo máme robiť aby sme sa mohli tešiť zo zvládnutých kritických situácií. 😊

none

What is what in IT

67
none

Interesting

22
none

Recomendations

23
none

Institutions

9
none

Legislative

14
none

Norms

25
none

Technologies

14
none

Events

1
Contact us by e-mail
Copyright © 2019 - 2024
Cookies | Privacy policy | Terms of use