Autor: Vladimír Brož, Business Development Manager, PCS/DataGuard

Ve své nejnovější zprávě evropský úřad pro zabezpečení infrastruktury IT ENISA zdůrazňuje obtíže, kterým čelí SMB firmy. Zatímco důvěrných informací je mnoho, tyto firmy mají většinou nízký počet zaměstnanců oddělení IT a ještě méně znalostí o zabezpečení informačních technologií.

Pro ředitele menší společnosti je důležité mít základní znalosti ohledně problémů zabezpečení infrastruktury IT, které je třeba vzít v potaz. To, že jsou v ohrožení SMB firmy uvedla studie „Security Paradox“ společnosti McAfee, která na toto téma provedla celosvětový průzkum. Z průzkumu vyplynulo, že středně velké organizace zaregistrovaly rostoucí počet útoků proti svým sítím a systémům. Kolem 30% malých a středních firem bylo nuceno řešit více incidentů souvisejících s bezpečností sítě. 40% bylo postiženo narušením dat. Přibližně 75% respondentů současně připustilo, že vážné narušení dat by mohlo znamenat konec jejich podnikání.

Co by majitelé malých a středních firem měli vědět o zabezpečení infrastruktury IT

Majitel takové firmy potřebuje samozřejmě znát svůj podnikatelský záměr a rovněž mít základní znalosti o mnoha dalších věcech, jako je účetnictví, ale také zabezpečení IT. Není však nutné, a nikdo ani neočekává, že se stane odborníkem v oblasti zabezpečení informačních technologií. Majitelé malých a středních firem by měli vystačit s několika základními pravidly.

Nejnovější zpráva úřadu ENISA (European Network and Information Security Agency) o porušování směrnic ohledně zabezpečení dat v evropských společnostech vše stručně shrnuje.: Co se týče zabezpečení infrastruktury IT, malé a SMB společnosti jsou v obzvláště těžké situaci. I když disponují velkým objemem dat, která vyžadují ochranu, většina z nich nemá ani zaměstnance, ani znalosti pro jejich účinnou ochranu. Pohled na tyto firmy však ukazuje, že stejně jako právní kancelář nemusí zaměstnávat tři odborníky na zabezpečení, nepotřebuje PR agentura zdvojnásobit počet svých zaměstnanců přijetím personálu oddělení IT a nemusejí investovat velké sumy do poradenství v oblasti zabezpečení IT. Zabezpečení informační infrastruktury může být z hlediska finanční investice velmi snadné a zvládnutelné. Majitelé by však měli vědět, které oblasti IT vyžadují ochranu.

Základní ochrana pro všechny systémy IT

Žádná právní kancelář, lékařská ordinace či agentura nemůže dnes fungovat bez počítačů a pouze ve vzácných případech jsou jejich sítě čistě interní. Naopak, komunikace se zákazníky, pacienty a dodavateli – i pouhý výzkum – často vyžadují připojení k internetu, což znamená, že se bez něj obejde stále méně a méně společností. Proto je důležité, aby byly všechny počítačové systémy vybaveny základní ochranou, tj. aktuálním antivirovým softwarem a vlastní bránou firewall. Místo implementace různých řešení lze využít kompletní balíky pro ochranu, jako Kaspersky Small Office Security v2, moduly, které spolu hladce spolupracují, a které jsou spravovány z centralizovaného rozhraní. Tím se šetří čas i námaha. Vedle ochrany před útoky a malwarem je rovněž důležité, aby strategie ochrany infrastruktury IT zahrnovala i plán ochrany dat. V současné době jde útočníkům právě o citlivé údaje firem – jejich důležitá data, tzv. duševní vlastnictví. Dalším podobným řešením může být nasazení produktu McAfee SaaS Endpoint Protection, který využívá hostovaných služeb.

Zvláštní ochrana pro důvěrné informace

Mnoho malých společností pracuje s velmi citlivými údaji zákazníků. Patří sem informace o pacientech uchovávané v ordinaci lékaře nebo dokumenty o klientech v kanceláři právníka. Mohou to však být také marketingové plány agentur – konec konců, nebyli byste rádi, kdyby se dostaly do rukou vaší konkurenci. Všechny tyto informace, které nejsou určeny cizím očím, by měly být šifrovány. Zabezpečovací produkty, jako Kaspersky Small Office Security v2, obsahují pro tento účel samostatný šifrovací modul.

Používání správných hesel

Databáze zákazníků, přístup k e-mailu a samotným počítačům – pravidlem je, že tyto a další citlivé prostředky by měly být chráněny hesly. Takový postup je však bezpečný, pouze pokud použitá hesla mají délku alespoň 8 znaků a sestávají z malých i velkých písmen a rovněž speciálních znaků a číslic. Měla by být rovněž používána k jedinému účelu. Zapamatovat si bezpečné heslo, jako například 3zP_0S$v, a následně ho používat pro všechny přístupy, není vhodný postup. A zde přichází ke slovu správce hesel, například ten, který je integrován například do již výše uvedené sady. Tento nástroj vytváří a pamatuje si bezpečná hesla. Pro přístup k heslům si stačí pamatovat jedno, které je označováno jako hlavní. Toto heslo vám umožňuje ovládat správce hesel.

Kontrola webu

Firemní uživatelé každý den čelí dvěma hlavním pastem Internetu. Za prvé je to čas. Lidé i v práci nakupují online a tráví spoustu času na sociálních sítích, jako je Facebook. Druhou pastí jsou hrozby. Mnoho webových stránek obsahuje škodlivý obsah, který může infikovat počítač pouhou návštěvou příslušného webu. Zabezpečovací sady dokážou před takovými škodlivými prvky chránit. Můžete také používat filtry obsahu, které omezují přístup zaměstnanců k určitým webům. To současně automaticky vyřeší i problém číslo 1, jelikož s pomocí tohoto filtru můžete konkrétně zablokovat přístup ke stránkám, které okrádají vaše zaměstnance o čas na práci. Rovněž tím zabráníte infikování počítačů zaměstnanců – nebo i celé sítě – škodlivým kódem, který pochází ze sociálních sítí, jejichž popularita je v dnešní době stále větší. Dalším podobným nástrojem může být McAfee Site Advisor, který upozorňuje na (ne)bezpečnost navštíveného webu a umožňuje správci zablokovat přístup na takové stránky.

Centralizovaná správa

Dokážete stále zvládat množství serverů, počítačů a notebooků? Vyžaduje instalace a údržba antivirové ochrany, bran firewall a dalších součástí zabezpečení spoustu času a obtíží? Pokud je tomu tak, potřebujete řešení zabezpečení s centralizovaným rozhraním pro správu. Tato funkce vám umožní prohlížet všechny vaše počítače současně, včetně stavu jejich ochrany. Rovněž vám šetří čas díky tomu, že s její pomocí můžete provádět nastavení softwaru pro ochranu z centralizovaného místa.

Stanovení pravidel

Jako majitel malé či SMB firmy nyní víte, které oblasti vaší společnosti vyžadují ochranu. Ale co vaši zaměstnanci? Ve většině případů nebudou ani vaši zaměstnanci odborníky v oblasti IT. Doporučeny jsou zde dvě strategie. Za prvé, měli byste stanovit jasná pravidla pro používání informačních systémů. Ta by měla určovat zakázané činnosti, jako je sdílení hesel nebo používání USB flash disků apod. Za druhé, měli byste tato pravidla podporovat odpovídajícím nastavením zabezpečení.