Gdy powstaje nowy budynek, jego konstrukcja musi z reguły zgodnie z lokalnymi przepisami zostać sprawdzona przez inspektora przeciwpożarowego przed dopuszczeniem budynku do zamieszkania. Zauważmy, że inspektor przeciwpożarowy musi posiadać praktyczne doświadczenie z zakresu pożarnictwa, a wzywa się go, chociaż nic się nie pali (dlatego, że taki obowiązek ciąży na właścicielu budynku).
Z kolei firmy, tworzące nowe sieci lub przebudowujące te już istniejące, z reguły niechętnie wzywają do siebie specjalistów od działania w sytuacjach kryzysowych w celu przeprowadzenia ekspertyzy. Tak samo, jak strażacy potrzebują planu budynku, by wiedzieć, z czym mają do czynienia, tak i osoby odpowiedzialne za sytuacje kryzysowe w branży IT muszą wiedzieć, jak zbudowana jest sieć. Bez tej wiedzy jest im bardzo ciężko ustalić od czego i w jaki sposób rozpocząć działania oraz jak zabezpieczyć otoczenie przed rozprzestrzenianiem się zagrożenia na dotąd niezainfekowane rejony sieci.
Z tego powodu należy prowadzić szczegółową dokumentację dotyczącą budowy sieci, wzajemnych połączeń, współzależności, kluczowych komponentów i usług. Trzeba umożliwić odcięcie określonych sektorów sieci w sytuacji zagrożenia, tak by utrzymać dostęp do kluczowych funkcjonalności sieci. W budynkach możemy to osiągnąć dzięki drzwiom przeciwpożarowym i specjalnym konstrukcjom ścian; sieci VLAN oraz zapory sieciowe, to jeden ze sposobów na uzyskania takiego samego efektu w przypadku sieci.
Tak jak odpowiednia konstrukcja budynku umożliwia ograniczenie strat w razie pożaru, tak i opracowanie strategii działania w sytuacjach kryzysowych oraz dbanie o odzyskiwalność danych od samego początku mogą w ogromnym stopniu przyczynić się do ograniczenia przestoju i kosztów związanych z przypadkiem naruszenia zabezpieczeń sieci IT.
Oczywistym jest, że zewnętrzne wsparcie kosztuje. Jesteśmy więc w stanie zrozumieć, że korzystanie z drogich usług specjalistycznych może nie spotkać się z aprobatą kadry kierowniczej. Z drugiej strony, mądrzej jest zainwestować pieniądze na tym etapie, niż ponosić koszty, gdy dojdzie do incydentu. Powód jest bardzo prosty i sprowadza się do kwestii finansowych, jak i praktycznych. O to, jakich informacji potrzebuje specjalista od sytuacji kryzysowych w branży IT, jeśli spełni się najgorszy scenariusz, najlepiej pytać jego samego. Poza tym, to on jest w stanie wykryć potencjalne problemy i doradzić, jak postępować, gdyby doszło do incydentu, który do tej pory nie został zidentyfikowany przy danych ustawieniach sieciowych. W całym tym procesie niezbędna jest współpraca wszystkich zaangażowanych osób i wspólne podejmowanie decyzji.
Mimo że zatrudnienie zewnętrznego specjalisty może wydawać się poważnym wydatkiem, którego korzyści ciężko namacalnie określić, na dłuższą metę takie postępowanie zapewni firmie duże oszczędności. Dużo taniej jest zatrudnić konsultanta zawczasu, by mógł na spokojnie zebrać informacje i opracować plan działania, niż gdy musimy znaleźć kogoś natychmiast, jeśli do incydentu już doszło i osoba ta może dopiero rozpocząć opracowywanie planu działania. Dostępne są dane liczbowe pokazujące średnie straty finansowe, jakie firma ponosi w przypadku incydentu związanego z bezpieczeństwem z zakresu IT w zależności od miejsca swojej siedziby. Na przykład w Niemczech średnia strata dla jednej firmy z sektora MŚP to 41.000 euro (ok. 44.000 dolarów). Mając to na uwadze, szanse na zaakceptowanie wydatku na projekt opracowania strategii działania w sytuacji kryzysowej wyraźnie się zwiększają.
Ogólnie rzecz biorąc osoby decyzyjne w firmach powinny w kwestii inwestowania w zabezpieczenia odejść od podejścia opartego na analizowaniu współczynnika zwrotu kosztów inwestycji. Dla wielu wszelkie zagadnienia związane z sektorem IT, a w szczególności z zabezpieczeniami, to nadal głównie źródło kosztów, w żaden sposób niezwiązane z generowaniem przez firmę zysków.
Wiele firm musi spełnić pewne wymagania prawne oraz jakościowe, w których również zawarto element związany z bezpieczeństwem danych. Niestety, firmy zazwyczaj ograniczają się do minimum niezbędnego do spełnienia norm. Takie podejście jednak pozostawia atakującym pełne pole do popisu, co w efekcie może skutkować ogromnymi stratami, a nawet upadłością firmy. Możliwe, że tego typu postępowanie stało się przyczyną niedawnych szeroko dyskutowanych naruszeń. Normy zostały spełnione, a mimo to doszło do incydentów. Spełnienie szeregu różnych wymogów i bycie ofiarą ataku nie wykluczają się wzajemnie. Nie należy pytać „jaki zysk osiągniemy z tej inwestycji”, ale raczej „ile zysku utracimy, jeśli nie zainwestujemy, a dojdzie do incydentu”. W tym miejscu ostrzegamy, przygotujcie się na zaciekłą walkę o współczynnik zwrotu kosztów inwestycji. Spór w tej kwestii jest szczególnie trudny i czasochłonny. Jednak coraz większa liczba firm przeszła na własnym przykładzie bolesną lekcję i przekonała się, że bez odpowiedniego zabezpieczenia danych, może dojść do całkowitego przestoju w działalności.
Więcej o firmie G Data – www.gdata.pl
Akademia Internetu EXTEL BIZNES+ jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do kadry IT oraz zajmującej się zamówieniami usług dla biur. O nowych artykułach informujemy poprzez newsletter. Napisz do nas