Jakie informacje mogą chronić firmy MSP?

Poczytaj o tym jak mogą chronić swoje zasoby organizacje i firmy z sektora MSP. Zarezerwuj sporo czasu na przygotowanie planu ochrony zasobów firmowych uwzględniającego wszelkie ryzyka. Przygotowany plan powinien być zapisany, idealnie jeśli będzie zwizualizowany za pomocą rozrysowanych procesów biznesowych złożonych do księgi procesów. Do tego celu możesz wykorzystać darmowy program Bizagi Modeler.  Aby nie odkrywać Ameryki na nowo, możesz wykorzystać standard ISO/EIC 27001.

Wartość informacji w firmie

We współczesnym świecie nawet małe firmy posiadają informacje przydatne dla wszelkiego rodzaju przestępców. Prawdopodobnie większość małych firm wykorzystuje w codziennej pracy komputery i oprogramowanie. Ankiety przeprowadzane przez firmy oferujące usługi i produkty z zakresu bezpieczeństwa jednoznacznie wskazują, że małe firmy nie mają najlepszego przygotowania na potencjalne ataki. Właściciele małych firm często nie doceniają pomysłowości przestępców i uważają, że nie posiadają zasobów godnych uwagi przestępczego świata. Lekceważenie realnych zagrożeń dla informacji zarówno ze świata zewnętrznego jak i z wewnątrz firmy często prowadzi do dużych strat. Jeśli prowadzisz małą firmę, możesz uniknąć zmaterializowania się wielu zagrożeń, tym samym ograniczać ryzyko strat podczas wykonywania swojej działalności.

Od czego zacząć?

Ty, jako właściciel firmy możesz przygotować listę zawierającą wszystkie zasoby w posiadaniu firmy. Inwentaryzacja zasobów powinna obejmować wartości materialne (urządzenia) jak i niematerialne (np. programy). W dalszej kolejności musisz ocenić wartość każdego zasobu z punktu widzenia jego utraty. Dla przykładu: Korzystasz z komputera do redagowania pism, tworzysz raporty w arkuszu kalkulacyjnym, sprawdzasz Internet i odbierasz pocztę elektroniczną za pomocą programu pocztowego. Regularnie wystawiasz faktury dla kontrahentów, robisz przelewy korzystając z usług bankowości elektronicznej, czasami coś kupujesz korzystając z usług jednego z pośredników finansowych (Przelewy24, Dotpay, Paypal, itp.). Twój komputer pracuje w oparciu o system operacyjny Windows, na którym zainstalowałeś kilka programów użytkowych, m.in. darmowy program antywirusowy.

Inwentaryzacja oprogramowania

Lista inwentaryzacyjna zasobów w /w przypadku powinna obejmować nie tylko komputer lecz również wszystkie programy, które użytkujesz. Do listy inwentaryzacyjnej przygotuj, jako załączniki dodatkowe dokumenty: faktury zakupu, nośniki z oprogramowaniem względnie kody licencyjne które dostałeś przy zakupie oprogramowania. Zastanów się, skąd weźmiesz użytkowane programy gdy zmienisz komputer na nowszy model. Weź pod uwagę, że programy powinny być instalowane w systemie operacyjnym a nie kopiowane, ponieważ z reguły takie rozwiązanie nie zadziała.

Zastanów się, czy masz wykupione wsparcie na programy użytkowe ponieważ nowy komputer może mieć zainstalowaną nowszą wersję Windows na której stara wersja programu będzie pracować niestabilnie. Podobna sytuacja występuje w przypadku programów antywirusowych, których producenci oferują subskrypcje 1-3 letnie. Jeśli zatrudniasz pracowników, to Oni zapewne korzystają z firmowych komputerów. Uwzględnij oprogramowanie zainstalowane na wszystkich komputerach firmowych na liście inwentaryzacyjnej. Zanotuj wersje oprogramowania zainstalowanego na każdym komputerze, w tym wersje systemów operacyjnych zainstalowanych na komputerach firmowych.

Inwentaryzacja danych

W trakcie użytkowania komputera niemal każdy jego użytkownik zapisuje jakieś dane. Ty też pewnie zapisałeś znaczny obszar dysku danymi, a o niektórych już pewnie zapomniałeś 🙂 Domyślnie dane w Windows są zapisywane w katalogu użytkownika. Po instalacji dodatkowych programów w Windows mogą się pojawić inne katalogi w których są zapisywane dane z określonego programu. Weź to pod uwagę podczas konfiguracji programów które świeżo zainstalowałeś i zmień ścieżki zapisu aby wskazywały na jeden, określony katalog w którym masz wszystkie dane. Takie podejście do danych docenisz w chwili gdy zechcesz zrobić kopię danych na zewnętrzny nośnik (dysk USB, pamięć NAS, DVD, itp.).

Jeśli w firmie użytkujesz więcej komputerów to zapewne na każdym z nich pojawią się dane. Zastanów się jak zamierzasz wykonywać kopię danych – osobno z każdego komputera na jeden nośnik, czy też na wiele nośników? Planowanie wykonywania kopii zapasowych (backupy) powinno obejmować częstotliwość ich wykonywania jak i zakres danych (pełne, cząstkowe, przyrostowe). Miej na uwadze okoliczności w jakich będziesz chciał skorzystać z kopii zapasowej danych. Czy kopie danych są łatwo dostępne? Kto ma dostęp do danych? Czy kopie danych są zaszyfrowane? Czy kopie danych znajdują się w tym samym miejscu co komputery? I wkońcu – jak często kopie danych są testowane? ….. Ponieważ może się okazać, że są uszkodzone.

Inwentaryzacja sprzętu firmowego

Wiele firm posiada zarówno komputery jak i szereg urządzeń pomocniczych. Zasoby małych firm z reguły obejmują monitory, drukarki, routery WiFi, koncentratory sieciowe, karty modemowe, dyski sieciowe, pamięć NAS, pendrive’y, niekiedy serwery wewnątrz firmy. Większość urządzeń jest wyposażona w kary sieciowe przewodowe lub bezprzewodowe co warto odnotować w spisie inwentaryzacyjnym. Do sprzętu firmowego należy zaliczyć wszelkie urządzenia przenośne: laptopy, tablety, smartfony i telefony. Spis powinien uwzględniać centralkę telefoniczną, z podaniem parametrów: wersja analogowa, ISDN, VoIP (karta sieciowa). Jeśli stosujesz w firmie monitoring telewizyjny – uwzględnij na wykazie wszelkie urządzenia, które wchodzą w jego zakres. Nie zapomnij o zamieszczeniu informacji o ich wersji: analogowa lub cyfrowa (karty sieciowe). Jeśli wykorzystujesz w firmie systemy rejestracji czasu pracy (RCP), uwzględnij jego wszelkie składniki w spisie zarówno urządzeń jak i oprogramowania.

Inwentaryzacja użytkowników

W poprzednim paragrafie spisałeś wszystkie urządzenia firmowe. Współczesne urządzenia teleinformatyczne z reguły są zarządzalne, tj. możesz się dostać do ich zasobów podając odpowiednie dane dostępowe. Dane dostępowe często składają się z kilku parametrów: adresu urządzenia, nazwy użytkownika, hasła użytkownika, niekiedy potrzebują dodatkowego uwierzytelnienia użytkownika. Pewnie masz świadomość, że w systemie Windows możesz stworzyć wielu użytkowników. Czy masz przygotowany spis wszystkich użytkowników systemów Windows w firmie wraz z ich uprawnieniami?

Inwentaryzacja uprawnień

Zapewne masz świadomość, że dostęp do zasobów z reguły jest limitowany poprzez określone uprawnienia. Przygotuj wykaz uprawnień do poszczególnych zasobów firmowych: uprawnienia w systemach operacyjnych, uprawnienia w poszczególnych programach, uprawnienia użytkowników do poszczególnych urządzeń. Uprawnienia różnią się pomiędzy sobą możliwością realizacji pewnych czynności przez danego użytkownika. Jako przykład może posłużyć drukarka sieciowa, do której możesz ograniczyć dostęp dla użytkowników do poziomu operatora.

Jeśli korzystasz z oprogramowania w tzw. chmurze, czyli takiego do którego uzyskujesz zdalny dostęp (np. hosting strony internetowej) – uwzględnij na liście uprawnień wszystkich użytkowników z uprawnieniami administracyjnymi. Warto uwzględnić – jakie konsekwencje poniesie firma jeśli zniknie pracownik z uprawnieniami administracyjnymi? Czy dostęp do danych nie będzie możliwy? Czy masz przygotowany plan postępowania zmierzający do szybkiego odzyskania uprawnień? Czy w przypadku szczególnie wrażliwych danych dostępowych – osoba z uprawnieniami administracyjnymi może być szybko zastąpiona przez inną osobę posiadającą indywidualne dane dostępowe do systemów zawierających wrażliwe dla firmy informacje?

Strategiczne planowanie i dobre przygotowanie na działalność potencjalnych napastników (cyberprzestępcy, przestępcy, malwersanci) pomogą Ci uniknąć wielu problemów gdy nadejdzie czas próby. Oni już tu są, uwzględnij to w swoich kalkulacjach 🙂