Praca informatyka w wielu firmach zapewne nie jest znana pracownikom. Poniższy wpis ma przybliżyć zadania z którymi na co dzień mierzy się dział informatyki w typowej firmie. Każda firma koncentruje się na podstawowej działalności z której czerpie zyski. Wszelkie prace nie związane ze sprzedażą, oferowanymi usługami czy produkcją są traktowane jako pomocnicze. Jednak w praktyce, okazuje się, że działalność operacyjna ma duży wpływ na całokształt wyników firmy.

Jednym z takich działów pomocniczych jest dział informatyki, który na co dzień dba o ciągłość działania biznesu, który nie zawsze ma tego świadomość. Na ogół katastrofy przypominają firmie o tym, czym się zajmuje dział IT.

Czy katastrofy przychodzą znienacka?

Wbrew powszechnemu mniemaniu – niekoniecznie, często czają się za drzwiami, oczekując sposobnego momentu aby się pojawić. Takie sytuacje mają miejsce w każdej firmie niemal codziennie, to od właściwego postępowania odpowiedzialnych pracowników zależy czy do nich dochodzi. Odpowiedzialność spoczywająca na informatykach w firmach ma związek z obowiązkami i zadaniami, które zostały im powierzone. Warto o tym pamiętać w sytuacji gdy organizacja określa zakresy obowiązków poszczególnych pracowników. Katastrofy mogą mieć wiele przyczyn zależnych od różnych czynników pozornie nie mających związku z momentem katastrofy. Warto o tym pamiętać przed katastrofą i uwzględniać te różne czynniki podczas planowania rozwoju biznesu przez kierownictwo organizacji.

Czym zajmują się pracownicy działu IT?

Dobra organizacja w wielu firmach często jest wspierana przez dział IT, które poprzez swoje działania może przyczyniać się do porządku lub bałaganu. W firmach, gdzie brak informatyka rolę porządkowego może przejąć dedykowana osoba, która powinna mieć dryg do organizacji i znajomość zagadnień których się podejmuje. Typowe zadania mają charakter administracyjny, który jednakże w dużym stopniu wpływa na działalność firmy.

Do typowych zadań działu IT należy inwentaryzacja sprzętu ICT (komputery, drukarki, routery, inne). To zadanie w wielu firmach jest wykonywane okresowo, najczęściej raz do roku podczas inwentaryzacji. W XXI wieku to zdecydowanie za rzadko, ponieważ przestępcy na co dzień nie próżnują i mogą podłączać do infrastruktury swoje urządzenia (np. komputery). To powód dla którego inwentaryzacja sprzętu powinna być procesem ciągłym, realizowanym w czasie rzeczywistym. Podobna sytuacja ma miejsce w przypadku oprogramowania, które podlega nie tylko amortyzacji (punkt widzenia działu księgowości) lecz również jest narażone na ciągłe ataki przestępców.

Pod pojęciem „przestępcy” należy rozumieć każdą osobę która ingeruje w infrastrukturę teleinformatyczną organizacji w nie autoryzowany sposób. Każda taka próba (incydent) powinna być wyłapana przez dział IT, który do tego celu może wykorzystywać różne narzędzia do monitoringu infrastruktury. Warto wspomnieć, że przestępcy nie zawsze atakują z zewnątrz firmy, oni mogą atakować firmę od wewnątrz (inside intruder). Ta okoliczność wymaga dodatkowego nakładu pracy od działu IT związanego z bezpieczną konfiguracją sprzętu (hardware) jak i oprogramowania. Mało tego, tego typu zagrożenia pokazują, że pracownicy nie powinni mieć uprawnień administracyjnych w używanych programach, ponieważ mogą je wykorzystywać do instalacji nie autoryzowanego oprogramowania. Dlatego pracownicy IT powinni ciągle monitorować wszelkie zmiany w zainstalowanych na stacjach roboczych programach, co wymaga czasu i dedykowanych narzędzi. To jednak nie koniec, to początek ciągłej pracy z systemami IT.

Podatności oprogramowania

Każdy program komputerowy został stworzony przez ludzi, którzy mają to do siebie, że mają różne umiejętności jak i różnią się wrażliwością na kwestie związane z bezpiecznym programowaniem. Jeśli dodać do tego obserwacje, że gotowe oprogramowanie od wielu lat jest zazwyczaj testowane na jego użytkownikach – to dopełnia obrazu możliwych zagrożeń. Każdy system, każdy program ma podatności na włamania, to tylko kwestia czasu, kiedy i przez kogo zostaną ujawnione. Dlatego niezmiernie istotna jest profilaktyka: testy penetracyjne, audyty, stosowanie się przez programistów  do zaleceń OWASP. Każdy szanujący się producent oprogramowania po wykryciu w nim luk, podatności – dostarcza aktualizacje, łatki (patch’e) do oprogramowania lub zupełnie nową wersję programu. Działy IT w organizacjach powinny być przygotowane na szybkie wdrożenie aktualizacji oprogramowania na masową skalę (od kilkunastu do kilku tysięcy urządzeń, komputerów).

W celu szybkiej reakcji, działy IT powinny dysponować odpowiednimi narzędziami automatyzującymi aktualizacje oprogramowania – zwykle są to dedykowane do tego celu specjalistyczne programy. Niezależnie od narzędzi – pracownicy powinni mieć dedykowany czas aby na bieżąco zapoznawać się z aktualnymi zagrożeniami i informacjami o aktualizacjach oprogramowania. Warto wspomnieć, że nie każda aktualizacja załatwia problem określonej podatności, czasami aktualizacja generuje inną podatność lub inne problemy w działaniu oprogramowania. Z tego względu – warto aby dział IT miał możliwość przywrócenia stanu oprogramowania sprzed aktualizacji (Data recovery), aby utrzymać ciągłość działania biznesu.

Monitoring zagrożeń i podatności

Codzienny monitoring zagrożeń powinien być skierowany nie tylko na podatności oprogramowania lecz również na podatności sprzętu. Dodatkowe fale ataku na firmy mogą pochodzić od przestępców posługujących się malware czy innymi złośliwymi programami. Do walki z napastnikami pracownicy IT mogą wykorzystywać oprogramowanie antywirusowe, stosować blokady w postaci firewalli (+IPS, IDS) czy zastawiać pułapki w postaci honeypotów. Ta walka z przestępcami cały czas zajmuje pracowników IT, po których zwykle tego nie widać 🙂

Od wielu lat postępuje komputeryzacja urządzeń konsumenckich (Internet rzeczy – IoT,  smartfony, tablety) co ułatwia życie wielu ludziom, jednocześnie stwarza szereg nowych zagrożeń. W przypadku wykorzystywania wielu różnych urządzeń w firmie, kwestia ochrony informacji staje się skomplikowana, ponieważ trzeba nad nią zapanować w zorganizowany sposób a to wymaga dedykowanego oprogramowania. Urządzenia dające możliwość kontroli dostępu i uprawnień, możliwość szczegółowej, bezpiecznej konfiguracji umożliwiającej kontrolę na poziomie portów, protokołów i usług stanowią rzadkość na rynku. Wymogi bezpieczeństwa związane z urządzeniami  używanymi w firmie muszą uwzględniać te parametry aby można zarządzać urządzeniami w uporządkowany sposób. Proaktywne zarządzanie infrastrukturą ICT umożliwia wytyczenie granic obrony przed intruzami, ciągłe ich monitorowanie, analizowanie i audytowanie logów.

Kolejna kwestia ma związek z uprawnieniami dla poszczególnych użytkowników, nie powinny być wyższe niż to konieczne do wykonania pracy. Mało tego, kontrola i monitorowanie kont użytkowników w różnych systemach może dostarczać ciekawych informacji nt prób włamań, a to z kolei umożliwia podjęcie odpowiednich kroków obronnych (incident response). Dlatego wcześniej, na poziomie biznesu warto sobie odpowiedzieć – co firma chce chronić? Jakie zasoby informacji? Jakie dane mają podlegać ochronie?  Kto i jak ma reagować na incydenty?

Warto wspomnieć, że wcześniej sporządzona przez biznes analiza ryzyk wskaże w naturalny sposób zasoby informacji podlegające ochronie. Szacowanie ryzyka jest przydatne, choćby w odniesieniu do oszacowania kosztów ochrony informacji (zasoby, środki). Bez względu na wyniki analizy ryzyka, dział IT zawsze powinien mieć na uwadze przygotowanie bezpiecznej architektury  sieci, w czym może pomóc sporządzenie planu działania (roadmap) i zarządzania zmianami. Dział IT w celu zapewnienia bezpiecznej architektury infrastruktury sieciowej może wykorzystywać schematy sieci, białe i czarne listy do konfiguracji, segmentację sieci,  testy konfiguracji, testy penetracyjne, badanie podatności i wiele innych metod (szyfrowanie, PKI, IDS, IPS). W bieżącej działalności operacyjnej IT wszelkie procesy mogą być usprawniane na bazie doświadczeń, informacji pozyskiwanych w trakcie ochrony zasobów i informacji.

Nade wszystko nic nie zastąpi umiejętności człowieka i sposobu ich wykorzystywania. To powód aby każdy pracownik organizacji (nie tylko z działu IT) regularnie uczestniczył w szkoleniach mających na celu podniesienie świadomości bezpieczeństwa i ochrony informacji.