Marcin Kosedowski 2010-11-03

Nie potrzebujemy polityki bezpieczeństwa!

Nie potrzebujemy polityki bezpieczeństwa!

Zwykły użytkownik nie przeczyta dobrej polityki bezpieczeństwa. Jej twórcy będą mylnie przekonani o bezpieczeństwie. Może lepiej uczyć podstaw?

Ty to przeczytałeś?! - z niedowierzaniem w oczach i wyczuwalnym strachem zapytał jeden z współpracowników, kiedy stwierdziłem, że firmowa polityka bezpieczeństwa jest całkiem sensownie napisana. Wydawało się, że ten świeżo upieczony absolwent informatyki na gdańskiej Politechnice powinien wiedzieć, że bezpieczeństwo jest ważne. Niestety po dodaniu przez niego "ja swojej kopii nawet nie wziąłem ze szkolenia" nie miałem już wątpliwości skąd biorą się tysiące wirusów i szkodliwego oprogramowania. Ludzie sami się o nie proszą.

To zbyt trudne

W coraz większej liczbie firm, zwłaszcza stawiających na nowe technologie, każdy nowy pracownik dostaje kilkudziesięciostronicowy dokument z dokładnymi wytycznymi dotyczącymi dozwolonego użytkowania komputerów i telefonów. Zwykle prowadzone jest jeszcze szkolenie, a w niektórych przypadkach wyrywkowa kontrola pracowników.

Zwykły użytkownik nie przeczyta dobrej polityki bezpieczeństwa. Jej twórcy będą mylnie przekonani o bezpieczeństwie. Może lepiej uczyć podstaw?

Ty to przeczytałeś?! - z niedowierzaniem w oczach i wyczuwalnym strachem zapytał jeden z współpracowników, kiedy stwierdziłem, że firmowa polityka bezpieczeństwa jest całkiem sensownie napisana. Wydawało się, że ten świeżo upieczony absolwent informatyki na gdańskiej Politechnice powinien wiedzieć, że bezpieczeństwo jest ważne. Niestety po dodaniu przez niego "ja swojej kopii nawet nie wziąłem ze szkolenia" nie miałem już wątpliwości skąd biorą się tysiące wirusów i szkodliwego oprogramowania. Ludzie sami się o nie proszą.

To zbyt trudne

W coraz większej liczbie firm, zwłaszcza stawiających na nowe technologie, każdy nowy pracownik dostaje kilkudziesięciostronicowy dokument z dokładnymi wytycznymi dotyczącymi dozwolonego użytkowania komputerów i telefonów. Zwykle prowadzone jest jeszcze szkolenie, a w niektórych przypadkach wyrywkowa kontrola pracowników.

haslo

Długie hasła są zmorą użytkowników, ale to podstawowa ochrona.

Polityka bezpieczeństwa określa, które informacje mają być chronione i w jaki sposób użytkownicy zasobów powinni dbać o powierzone im dane. Wydaje się to logiczne, ale dla większości osób nie ma żadnego znaczenia, czy w haśle znajdzie się imię żony czy 10 znaków specjalnych.

To zbyt drogie

Zwykły użytkownik w zbyt restrykcyjnej polityce bezpieczeństwa widzi tylko utrudnienia w codziennej pracy. O ile wygodniej byłoby korzystać ze wspólnego konta na komputerze, ustawiać łatwe do zapamiętania hasła albo w razie potrzeby wziąć dane klientów do domu i tam skończyć zaległą pracę. W tym momencie pojawia się jednak spec od bezpieczeństwa lub firmowy informatyk, który staje na straży danych.

Dbanie o bezpieczeństwo własnych informacji to dla wielu osób i firm nie tylko niewygoda, ale i zbędne koszta. Samo opracowanie polityki bezpieczeństwa wymaga solidnej wiedzy lub wynajęcia specjalistycznej firmy, ale to dopiero początek kosztów. Wszelkie technologie mające zabezpieczyć dane przed ich utratą kosztują dziesiątki lub setki tysięcy złotych.

W przypadku firm dochodzi do tego jeszcze koszt kontrolowanych prób ataku na system komputerowy, tzw. test penetracyjny albo pentest. Polega on na wykonaniu próbnych ataków, które mogłyby zostać dokonane przez cyberprzestępców i znalezieniu luk w systemie. Kolejni specjaliści mogą zająć się łataniem znalezionych dziur. Również te usługi nie są tanie, bo wykonujący pentest  musi posiadać wiedzę dotyczącą ataków oraz sposobów ich zapobiegania. Ponadto często może okazać się, że system posiada tak wiele luk, że najlepszym sposobem zabezpieczenia jest jego wymiana. Dla wielu osób, zwłaszcza związanych z innymi branżami niż technologie informacyjne, takie wymagania są niezrozumiałe i po usłyszeniu ile będzie kosztował wyglądający tak samo, ale bezpieczniejszy, system ignorują kwestie bezpieczeństwa. Całkowita zmiana przychodzi dopiero po utracie danych.

To zbyt prawdopodobne

Ludzie dzielą się na tych, którzy wykonują kopie bezpieczeństwa i na tych, którzy będą je wykonywać – mówi popularne w kręgach informatycznych powiedzenie. W rzeczywistości okazuje się, że utrata danych może kosztować znacznie więcej niż system zapewniający kopie bezpieczeństwa lub solidny test pokazujący podatność na ataki. W przypadku osób prywatnych najczęściej zdarza się, że w wypadku awarii sprzętu lub ataku złośliwego oprogramowania utracone zostaną stosunkowo mało istotne dane. Nic jednak nie zastąpi czasu zmarnowanego na odzyskanie utraconych informacji.

Zdarzają się sytuacje, w których użytkownik traci znacznie więcej niż kilka plików. Stosunkowo często można usłyszeć o utracie pracy magisterskiej czy tysięcy gromadzonych przez lata zdjęć. W tym przypadku największą stratą są poświęcone na ich wykonanie miesiące.

W firmach każde zniszczenie lub kradzież danych to już straty finansowe. Z zachowaniem bezpieczeństwa i wykonywaniem kopii zapasowych jest tak jak z ubezpieczeniem lub kupnem samochodu z poduszkami powietrznymi i systemami poprawiającymi bezpieczeństwo na drodze. Nie uchronią one przed ryzykiem wypadku (w przypadku komputerów – awarii), ale uratują w krytycznym momencie. Najważniejszą sprawą jest więc ocenienie ryzyka i zastosowanie odpowiednich do sytuacji środków bezpieczeństwa.

Darmowe kopie bezpieczeństwa, jak wirtualny dysk w Ubuntu zmniejszą ryzyko utraty danych.

Przy ocenie ryzyka nie można zbyt mocno kierować się informacjami marketingowymi serwowanymi przez dostawców technologii. Najnowszy serwer kopii zapasowych nie jest potrzebny każdemu. Z drugiej strony sprzęt przeznaczony dla użytkowników domowych nie sprawdzi się w serwerowni i da tylko złudne wrażenie bezpieczeństwa. Mimo wszystko w informacjach handlowych znajduje się ziarno prawdy i ochrona danych zwykle się opłaci. Warto przy tym wziąć pod uwagę darmowe rozwiązania, zwłaszcza w domu. Automatyczne skopiowanie ostatnio zmodyfikowanych plików na drugi dysk nic nie kosztuje, a uratuje w razie awarii.

Bezpieczeństwo komputerowe polega w dużej mierze na ocenie ryzyka i dostosowaniu do niego ochrony. Podstawowe rozwiązania są całkowicie darmowe, więc dlaczego z nich nie skorzystać? A może osoby odpowiedzialne za ochronę firmowych danych powinny nauczyć użytkowników komputerów podstaw oceny ryzyka zamiast tworzyć niezrozumiałą dla pani Krysi z księgowości politykę bezpieczeństwa, która i tak wyląduje w niszczarce?



Marcin Kosedowski
Na podstawie: onet.pl

Zapraszamy do skomentowania artykułu

Treść opini 
Popis 

Pozostałe artykuły z tej kategorii