Upload
bccgroup
View
662
Download
0
Embed Size (px)
Citation preview
BEZPIECZEŃSTWO INFRASTRUKTURY IT W POLSKICH ORGANIZACJACHPRIORYTETY • INWESTYCJE • WYZWANIA • ZAGROŻENIA
CZER
WIEC 2011
RA
PORT M
AGAZYN
U M
ENEDŻERÓ
W I IN
FORM
ATYKÓW
WW
W.COM
PUTERWORLD.PL
LUTY 2015
PA R T N E R B A DA N I A
SPIS TREŚCI
Strona 3 ZAWARTOŚĆ RAPORTU BEZPIECZEŃSTWO INFRASTRUKTURY IT
Strona 4UCZESTNICY BADANIA
Badane przedsiębiorstwa w ujęciu terytorialnymPerspektywa branżowa
Strona 6 MODELE UTRZYMANIA
I WYKORZYSTANIA INFRASTRUKTURY ITZastosowania infrastruktury IT
Strona 10 PRIORYTETY BIZNESOWE I INWESTYCYJNE
Plany inwestycyjneSposoby modernizacji IT Powody inwestycji w IT
Priorytety biznesoweKnow-how
Strona 16 ZAPLECZE INFRASTRUKTURY BEZPIECZEŃSTWA
W FIRMACH: STAN POSIADANIA I PLANY ROZWOJUAudyty bezpieczeństwa
Poszukiwanie podatnościPolityki bezpieczeństwa w polskich organizacjach
Perspektywa branżowaArchiwizacja i kopie bezpieczeństwa
Testy odtworzenioweBezpieczny ruch sieciowy
Strona 24 ZAGROŻENIA I WYZWANIA
Hierarchia istotności zagrożeńKopie zapasowe
Zarządzanie kopiamiAtaki sieciowe
2 luty 2015
PARTNER BADANIA
ZAWARTOŚĆ RAPORTU
Wielkie i małe firmy, poszczególne branże i cała gospodarka, a także kolejne instytucje państwowe i samorządowe poprawiają swoją efek-tywność i konkurencyjność przy wsparciu nowoczesnych technologii informacyjnych. Ceną postępującego wzrostu znaczenia infrastruktu-ry teleinformatycznej w tych wszystkich organizacjach jest koniecz-ność zapewnienia jej wydajnego, nieprzerwanego działania, a także bezpieczeństwa danych.
Przygotowany przez Computerworld we współpracy z BCC Data Centers raport „Bezpieczeństwo infrastruktury IT w polskich orga-nizacjach” to kompleksowy opis rzeczywistego stanu i perspektyw rozwoju infrastruktury krytycznej wśród kluczowych, największych przedsiębiorstw działających w Polsce.
W raporcie znajdą Państwo informacje na temat priorytetów biznesowych i zaplecza, jakie stoją za krytyczną infrastrukturą IT w polskich firmach, różnych modeli jej utrzymywania i wykorzy-stywania, a także zagrożeń i wyzwań, z którymi muszą zmierzyć się osoby odpowiedzialne za funkcjonowanie informatyki w firmach i instytucjach.
Zapoznając się z raportem, będą Państwo mieli okazję dowiedzieć się między innymi:
• jakie elementy bezpieczeństwa infrastruktury teleinformatycznej działają najczęściej w polskich organizacjach, a które będą dopiero wdrażane;
• jak kształtują się plany inwestycyjne polskich firm w zakresie rozwoju infrastruktury IT;
• jakie priorytety biznesowe wiązane są z prawidłowym działaniem zaplecza infrastruktury krytycznej;
• jak kształtują się powyższe czynniki w zależności od sektorów gospodarki oraz wielkości organizacji.
BEZPIECZEŃSTWO INFRASTRUKTURY IT: FUNDAMENT FUNKCJONOWANIA FIRM I INSTYTUCJI
PARTNER BADANIA
REDAKCJA02—092 Warszawa, Żwirki i Wigury 18a, tel. 22 3217800, faks 22 3217888e-mail: [email protected], www.computerworld.pl
REDAKTOR NACZELNYTomasz Bitner – 22 3217807
ZESPÓŁ Dorota Bogucka – 22 3217820Konrad Karczewski – 22 3217997Jerzy Krupiński – 22 3217731Marcin Marciniak – 22 3217827Piotr Pietruszyński – 22 3217725Danuta Sass – 22 3217805
WSPÓŁPRACOWNICYAndrzej Gontarz, Sławomir Kosieliński, Piotr Kowalski, Artur Pęczak, Bogdan Pilawski, Piotr Rutkowski
KONFERENCJE COMPUTERWORLDSebastian Watras – 22 3217798Magdalena Szczodrońska – 22 3217935Katarzyna Kania – 22 3217912Łukasz Grabczyński – 22 3217988Renata Grabowiec – 22 3217744Aleksandra Zygarska – 22 3217872
CUSTOM PUBLISHINGPaweł Choiński – 22 3217711
OPRACOWANIE GRAFICZNESławomir KrajewskiPiotr Rodzeń
BIURO REKLAMY I MARKETINGURecepcja 22 3217772e-mail [email protected]
Marcin Renduda – 22 3217915 Włodzimierz Duszyk – 22 3217870Agata Goździk – 22 3217830Magdalena Mieczkowska – 22 3217890Beata Michalak – 22 3217906Grażyna Skibniewska – 22 3217895Marcin Tyborowski – 22 3217854 Daniel Rosiczka – 22 3217899
PRODUKCJAMarzena Samsel – kierownik – 22 3217860Małgorzata Majer – 22 3217861
DZIAŁ PRENUMERATYTel. +48 22 3217777e-mail: [email protected] lub [email protected]://www.pcworld.pl/kiosk
Prenumerata realizowana przez: Garmond Press SATel./faks – 22 [email protected]
Prenumerata realizowana przez RUCH SAZamówienia na prenumeratę w wersji papieroweji na e-wydania można składać bezpośrednio,na stronie: www.prenumerata.ruch.com.ple-mail: [email protected] lubkontaktując się z Telefonicznym Biurem ObsługiKlienta pod numerem: 801 800 803 lub 22 717 59 59– czynne w godzinach 7.00 – 18.00.
Tekstów niezamówionych redakcja nie zwraca, zastrzegając sobie prawo ich skracania i opracowywania. Redakcja nie ponosi odpowiedzialności za treść reklam.Adresy poczty elektronicznej pracowników redakcji i wydawnictwa IDG Poland SA tworzone są według wzoru:Imię[email protected]
WYDAWNICTWOInternational Data Group Poland SA
PREZES ZARZĄDUPiotr Wtulich
WYDAWCAJerzy Michalski
COMPUTERWORLD
W badaniu Computerworld i BCC Data Centers udział wzięło 128 dyrektorów IT i szefów firm z sektora dużych przedsiębiorstw i korporacji. Respondenci reprezentowali największe firmy z kilkunastu różnych branż.
Uczestnicy badania
pojęcie „infrastruktury krytycznej”, wskazu-jącej m.in. podmioty o kluczowym znaczeniu z punktu widzenia funkcjonowania organów państwa czy działania gospodarki.
Bezpieczeństwo infrastruktury IT jest szczególnie kluczowe dla organizacji, których działalność biznesowe oparta jest na dobrach niematerialnych, takich jak polisy ubezpiecze-niowe, kredyty, bazy kontaktów, czy też usług związanych z gromadzeniem danych. Dla tego rodzaju usług prawidłowe działanie zaple-cza bazodanowego oraz aplikacyjnego jest krytyczne. Niedostępność systemów IT może sprawić, że klienci utracą zaufanie do przed-siębiorstwa, a tym samym pozycja biznesowa danej firmy osłabnie.
Zestawiając branże respondentów z wiel-kością reprezentowanych przez nich firm, można zauważyć, że największą reprezen-tację firm powyżej 1 tys. pracowników mają branże usług komunalnych oraz transportu i spedycji. Ich zespoły są szczególnie duże, biorąc pod uwagę skalę działalności oraz zasięg, na jakim oferują usługi. W przypadku sektora przemysłu, przetwórstwa oraz wydo-bycia istotną niekiedy część pracy wykonują maszyny, stąd wśród respondentów tej bran-
4 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Branża>1000
pracowników
<1000
pracownikówbrak danych
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 15 63% 9 38% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 15 71% 6 29% 0 0% 21
Przemysł/Produkcja/Wydobycie 8 50% 8 50% 0 0% 16
FMCG/Dystrybucja/Handel 9 64% 5 36% 0 0% 14
Transport/Spedycja/Logistyka 8 73% 3 27% 0 0% 11
Pozostałe sektory 27 64% 10 24% 5 12% 42
Razem odpowiedzi 82 64% 41 32% 5 4% 128
Badani wg wielkości firmy – ujęcie sektorowe
dominuje Gdańsk, zaś na Śląsku Wrocław, choć z uwagą, że rozmieszczenie terytorialne przed-siębiorstw jest tam bardziej równomierne niż na Mazowszu. Łącznie respondentów wywodzą-cych się z różnych rejonów Śląska było 12%.
Perspektywa branżowaRespondenci zaliczani byli w poczet jednego z trzynastu sektorów gospodarki. Największy udział wśród ankietowanych mieli przedstawicie-le sektorów, w których dominują duże przedsię-biorstwa, a więc: energetyka i utilities, finanse, bankowość i ubezpieczenia, a także przemysł i produkcja oraz FMCG i handel. Stosunkowo dużo uczestników badania wywodziło się także z sektora transportu, spedycji i logistyki.
Zaplecze IT w poszczególnych branżach peł-ni szereg funkcji, niekiedy różniących się dia-metralnie, w zależności od charakteru i cech oferowanych przez daną firmę produktów i usług. Ogólna obserwacja wskazuje, że bez-pieczeństwo infrastruktury teleinformatycznej jest proporcjonalnie tym bardziej istotne, im większe jest znaczenie danej organizacji dla całości krwiobiegu gospodarczego. Materię tę szerzej opisuje Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, definiująca
Ponad połowa badanych wywodziła się z firm zatrudniających ponad 2 tys. pracowników. Kolejnych 45% badanych to przedstawiciele przedsiębiorstw o zespołach pracowników li-czących od 250 do 2 tys. osób. Pozostała grupa, którą stanowiły firmy zatrudniające poniżej 250 pracowników, reprezentowała wynikającą z rozporządzenia Komisji Europejskiej (WE) 800/2008 granicę (główną, choć nie jedyną), oddzielającą przedsiębiorstwa określane jesz-cze jako średnie od dużych.
Badane przedsiębiorstwa w ujęciu terytorialnymUkazanie ankietowanych w perspektywie tery-torialnej, w podziale na województwa i miasta, oddaje charakterystyczne cechy geograficznego rozmieszczenia podmiotów polskiej gospodarki, potwierdzając właściwy dobór próby. Łatwo do-strzec koncentrację badanych przedsiębiorstw na Mazowszu, Śląsku (zwłaszcza Dolnym Śląsku) oraz Pomorzu.
Najsilniejszym ośrodkiem na Mazowszu pozostaje oczywiście Warszawa, skupiająca aż 37% wszystkich respondentów. Na Pomorzu
5luty 2015
Badani wg wielkości firmy
Ankietowani w ujęciu sektorów gospodarki
Ankietowani w ujęciu terytorialnym wg miast
Warszawa 47 37%
Kraków 8 6%
Gdańsk 7 5%
Wrocław 6 5%
Łódź 5 4%
Katowice 3 2%
Pozostałe miasta 44 34%
Brak danych 8 6%
Suma końcowa 128 1
Finanse/Bankowość/Ubezpieczenia
24 19%
Energia/Gaz/Woda/Ciepło/Oczyszczanie
21 16%
Przemysł/Produkcja/Wydobycie
16 13%
FMCG/Dystrybucja/Handel 14 11%
Transport/Spedycja/Logistyka 11 9%
Farmacja/Służba zdrowia/Opieka społeczna
7 5%
Administracja publiczna/Służby mundurowe
6 5%
Media/Reklama/Wydawnictwa/Drukarnie
6 5%
Telekomunikacja/Internet/TV kablowa
5 4%
Edukacja/Szkolenia/Nauka 4 3%
Budownictwo/Nieruchomości 4 3%
Konsulting/Doradztwo/Prawo/Audyt
4 3%
IT – firmy informatyczne 2 2%
Brak danych 4 3%
Suma końcowa 128 100%
ży udział zespołów powyżej 1 tys. pracowni-ków był niższy. Wskazania deklarujące powy-żej 2 tys. pracowników w ramach tej branży pochodziły od respondentów bardzo dużych firm, szeroko eksportujących swoje wyroby poza granice Polski.
Dobrana próba pozwoliła sprawdzić, jak do kwestii bezpieczeństwa infrastruktury telein-formatycznej i koniecznych do jej zapewniania nakładów podchodzą największe polskie organizacje. Mają one największe możliwości inwestycyjne, dzięki czemu są w stanie spraw-dzić, jakie technologie znajdują autentyczne zastosowania i zrozumienie na rynku.
Ankietowani w ujęciu terytorialnym wg województw
Modele utrzymania firmowej infrastruktury IT
96% dużych przedsiębiorstw utrzymuje własną infrastrukturę centrum danych do uruchamiania aplikacji biznesowych oraz przechowywania danych i kopii zapasowych. 33% wspomaga się outsourcingiem, wynajmując część zasobów IT od zewnętrznych dostawców.
Modele utrzymania i wykorzystania infrastruktury IT
dostawców, natomiast całościowe przej-ście do modelu outsourcingu deklaruje 6% ankietowanych. Pokazuje to, że spośród ankietowanych stosunkowo niewielka grupa przedsiębiorstw w całości powierza swo-je systemy i infrastrukturę zewnętrznym, specjalizowanym dostawcom. Można z tego wnioskować, że rynek dla świadczenia usług outsourcingowych w naszym kraju nie jest jeszcze nasycony.
Wyniki badania pokazują, że wynajem in-frastruktury IT w modelu outsourcingu cieszy się większą popularnością wśród firm za-trudniających do 1000 osób niż największych przedsiębiorstw i korporacji działających na polskim rynku. W pierwszej grupie firm 55% utrzymuje infrastrukturę IT w całości po stronie organizacji, a pozostałe 45% korzysta w części lub całości z zasobów wynajmo-wanych u zewnętrznych dostawców. Z kolei w drugiej grupie przedsiębiorstw proporcje te kształtują się w stosunku 66% do 34% na rzecz własnej infrastruktury IT.
Wystarczająca liczba uzyskanych odpo-wiedzi pozwoliła nam na przygotowanie mia-rodajnych statystyk, dotyczących sposobów utrzymania infrastruktury IT w przedsiębior-stwach w ujęciu według sektorów gospodarki. Z zebranych informacji wynika, że wśród bada-
6 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Większość przedsiębiorstw, które wzię-ły udział w badaniu, dysponuje własnym centrum danych, w którym składuje dane i uruchamia swoje aplikacje. Spośród 128 ankietowanych przedsiębiorstw 80 utrzymuje własną firmową infrastrukturę IT. Dalsza 1/3 organizacji wspomaga się outsourcingiem, wynajmując część zasobów od zewnętrznych
7luty 2015
nych z własnego centrum danych najczęściej korzystają firmy z branży transportowo-logi-stycznej (73%) oraz energetycznej i mediów komunalnych (71%), podczas gdy wynajmem
Tomasz Wawrzonek,
wicedyrektor IT, BCC Data Centers
Warto zwrócić uwagę, że badanie pokazuje, iż z outsourcingu infra-struktury IT najczęściej korzystają przedsiębiorstwa z sektorów, które mają najwyższe wymagania dotyczące bezpieczeństwa i dostępności systemów centralnych. W takim modelu łatwiej jest określić odpowie-dzialność kontraktową i jasne warunki SLA niż w przypadku współpracy z własnym zespołem IT.
Modele utrzymania firmowej infrastruktury IT — ujęcie według wielkości przedsiębiorstw
W całości po stronie
organizacji — we własnym data center
Częściowo po stronie organizacji, częściowo w modelu outsourcingu
Outsourcing — hosting lub kolokacja
Outsourcing w modelu chmury obliczeniowej
poniżej 1000 55% 38% 7% 0%
powyżej 1000 66% 29% 4% 1%
Modele utrzymania firmowej infrastruktury IT — ujęcie według sektorów gospodarki
W całości po stronie organizacji — we własnym
data center
Częściowo po stronie organizacji, częściowo w modelu outsourcingu
Outsourcing — hosting lub kolokacja
Outsourcing w modelu chmury obliczeniowej
Energia/Gaz/Woda/Ciepło/Oczyszczanie 71% 14% 14% 0%
Finanse/Bankowość/Ubezpieczenia 42% 54% 4% 0%
FMCG/Dystrybucja/Handel 43% 50% 7% 0%
Przemysł/Produkcja/Wydobycie 56% 38% 6% 0%
Transport/Spedycja/Logistyka 73% 27% 0% 0%
Pozostałe firmy 73% 23% 2% 2%
dodatkowych zasobów IT w modelu outsourcin-gu najczęściej wspomagają się przedsiębior-stwa z sektora finansowo-ubezpieczeniowego (54%) oraz handlu i dystrybucji (50%).
8 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Zastosowania infrastruktury ITSpośród 122 firm, które utrzymują infrastruktu-rę IT w całości lub w części po stronie organiza-cji, aż 91% robi to w celu utrzymywania na niej krytycznych aplikacji biznesowych, a kolejne 74% (ankietowani mogli tutaj wskazać kilka odpowiedzi) wykorzystuje własne centra danych również do dostarczania pozostałych aplikacji, o mniejszym znaczeniu z perspektywy zachowa-nia ciągłości działania przedsiębiorstwa.
Firmowe zasoby IT wykorzystywane są także do składowania danych (68 odpowiedzi) i prze-
chowywania kopii zapasowych (84 odpowiedzi). Co warte odnotowania, mniej więcej połowa przedsiębiorstw dysponuje własnym zapaso-wym centrum danych oraz stosuje redundantne zabezpieczenia systemów IT po stronie organi-zacji.
52% respondentów, którzy korzystają z out-sourcingu infrastruktury IT, robi to, aby utrzy-mywać w niej krytyczne aplikacje biznesowe, podczas gdy 63% z nich wykorzystuje zewnętrz-ne zasoby informatyczne do uruchamiania po-zostałych aplikacji biznesowych. To pokazuje, że firmy wciąż utrzymują kluczowe aplikacje we własnej serwerowni, jednocześnie przenosząc
Jakub Żurek, menedżer ds. sprzedaży, BCC
Nasze doświadczenia pokazują, że najczęściej „przygodę” z outsourcingiem IT firmy rozpoczynają od korzystania z usług zewnętrznego dostawcy serwisu www. Klienci oceniają jakość i niezawodność usług, z czasem nabierając do nich zaufania. W naszym przypadku większość należących do klientów systemów, utrzymywanych w BCC Data Centers to systemy centralne, krytyczne dla działania przedsiębiorstw. Zapewnienie podobnego poziomu bezpieczeństwa na własnej infrastrukturze często okazuje się kosztowo nieuzasadnione.
Sposoby wykorzystania infrastruktury IT posiadanej po stronie organizacji
Liczba wskazańProcent respondentów,
którzy wskazali taką odpowiedź
Utrzymywanie krytycznych aplikacji biznesowych 111 91%
Utrzymywanie aplikacji innych niż krytyczne 90 74%
Przechowywanie kopii zapasowych 84 69%
Storage 68 56%
Redundantne zabezpieczenia 63 52%
Zapasowe data center 56 46%
Świadczenie usług w modelu chmurowym (IaaS, PaaS, SaaS) 19 16%
Inne 4 3%
9luty 2015
do zewnętrznego centrum danych (hosting, ko-lokacja) systemy i dane o mniejszym znaczeniu biznesowym. 1/5 firm z tej grupy wykorzystuje outsourcing w zakresie zapasowego centrum danych.
Z badania wyłania się umiarkowane zain-teresowanie przedsiębiorstw dostarczaniem biznesowi usług i zasobów w modelu chmury obliczeniowej. Usługi chmurowe (IaaS, PaaS, SaaS) świadczy jedynie 16% firm mających własne centrum danych i 17% przedsiębiorstw korzystających z outsourcingu zasobów IT.
Własne centra danych wykorzystywane są przez przedsiębiorstwa w szerszym zakresie niż zasoby wynajmowane w modelu outsourcingu.
Dariusz Drożdż,
menedżer Obszaru Technologii SAP, BCC
Niezależnie od sposobu utrzy-mania infrastruktury IT, z punktu widzenia biznesu najważniejszy jest nieprzerwany dostęp do in-formacji, które w systemach są przetwarzane i przechowywane, czyli dostępny i wydajny system. Narzędzia, jakie nas w tym wspo-magają, to rozwiązania zapew-niające zarówno wysoką dostęp-ność bieżących danych (klastry, konfiguracje na poziomie sieci, urządzeń i całych środowisk wirtualnych), odpowiednią wy-dajność (wydajna infrastruktura, przetwarzanie w pamięci), sys-temy kopii zapasowych, które szybko i bez nadmiernego ob-ciążenia (np. dzięki deduplikacji) pozwalają wykonać kopie danych nawet do fizycznie odległych CPD, jak i zapasowe centra da-nych wraz z mechanizmami i pro-cedurami DR (Disaster Recovery). W BCC Data Centers zapewniamy redundancję na różnych pozio-mach, korzystając z infrastruk-tury dwóch fizycznie odległych serwerowni.
Na pytanie, do czego używana jest infrastruktu-ra posiadana po stronie organizacji, responden-ci podawali przeciętnie cztery odpowiedzi, pod-czas gdy średnia liczba odpowiedzi na pytanie dotyczące sposobów wykorzystania zasobów wynajmowanych na zewnątrz wyniosła 2,4.
Wyniki badania nasuwają wniosek, że większość procesów biznesowych przedsiębiorstw realizowana jest z wykorzystaniem własnych centrów danych, podczas gdy systemy i dane wynoszone są na zewnątrz w przypadku, gdy ma to uzasadnienie ekonomiczne lub gdy firma nie dysponuje da-nym zasobem, np. zabezpieczeniami nadmiaro-wymi.
Sposoby wykorzystania infrastruktury IT wynajmowanej w modelu outsourcingu
Liczba wskazańProcent respondentów,
którzy wskazali taką odpowiedź
Utrzymywanie aplikacji innych niż krytyczne 30 63%
Utrzymywanie krytycznych aplikacji biznesowych 25 52%
Przechowywanie kopii zapasowych 17 35%
Redundantne zabezpieczenia 13 27%
Storage 12 25%
Zapasowe data center 10 21%
Świadczenie usług w modelu chmurowym (IaaS, PaaS, SaaS) 8 17%
Inne, jakie? 1 2%
Kluczem do sukcesu przedsiębiorstw jest zrozumienie strategicznej roli działów IT w kreowaniu trwałej przewagi konkurencyjnej. To może być główny powód, dla którego 89,1% ankietowanych firm zamierza unowocześnić swoje centra danych w najbliższej przyszłości, przy czym ponad połowa z nich planuje to zrobić w ciągu nadchodzących 12 miesięcy.
Priorytety biznesowe i inwestycyjne
Z roku na rok rosną wymagania biznesu formułowane wobec IT. Odpowiedzią na te wyzwania w dużej mierze są najnow-sze technologie i trendy w informatyce, takie jak: wirtualizacja, infrastruktura definiowana programowo, chmury ob-liczeniowe oraz systemy analityczne i Big Data. W tym kontekście szczegól-nego znaczenia nabiera hasło „stała jest tylko zmienność”. Pewne jest, że f irmy i instytucje publiczne, które nie znajdą środków na inwestycje w IT, zo-staną daleko w tyle za konkurencją.
Ta część raportu poświęcona jest priorytetom przedsiębiorstw w za-kresie inwestycji w obszarze IT. Na kolejnych stronach spróbujemy odpo-wiedzieć na pytania: czy i kiedy f irmy planują prowadzenie zmian w infra-strukturze centrów danych, jakie są powody, dla których zamierzają podjąć się tych wyzwań oraz z jakimi wyzwa-niami, kierowanymi ze strony biznesu muszą zmagać się szefowie działów IT ankietowanych organizacji?
Plany inwestycyjneSpośród 128 przedsiębiorstw, które wzięły udział w badaniu, 89,1% planuje inwestycje w infrastrukturę teleinfor-matyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT. Ponad połowa z nich deklaruje chęć podjęcia inwestycji w ciągu najbliż-szych 12 miesięcy, podczas gdy kolejne
10 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
11luty 2015
46,5% firm wyraźnie wskazuje na ko-nieczność modernizacji swoich centrów danych nie później niż za dwa lata.
Uwagę zwraca aż 14 firm, których przedstawiciele jawnie zadeklarowa-li brak inwestycji w infrastrukturę IT w najbliższej przyszłości. Zaprzestanie rozwoju środowisk IT w dłuższym hory-zoncie czasowym prowadzi do sytuacji, w której mamy do czynienia z przesta-rzałymi systemami i technologiami, któ-re wydatnie ograniczają lub uniemożli-wiają szybkie i efektywne reagowanie na zmieniające się otoczenie i wyma-gania biznesu. Z jednej strony może to oznaczać pewną krótkowzroczność oraz brak świadomości osób zarządzających tymi firmami co do roli IT w funkcjono-waniu współczesnych przedsiębiorstw. Z drugiej strony możliwe jest, że dekla-racje wskazujące na brak planowanych inwestycji w infrastrukturę IT są wyni-kiem niedawno zakończonych projek-tów modernizacyjnych w tym zakresie.
Brak inwestycji w infrastrukturę IT zadeklarowały zarówno duże f irmy, za-trudniające do 1000 osób (17% z nich nie będzie inwestować), jak i najwięk-sze przedsiębiorstwa oraz korporacje, w których pracuje ponad 1000 osób (9% odpowiedzi na nie).
Najwięcej organizacji planujących inwestycje w IT możemy zauważyć w sektorze usług transportowych i logi-stycznych (100% odpowiedzi: tak), do-stawców energii i mediów komunalnych (95%) oraz w przemyśle (94%). To zde-cydowanie więcej niż średnia dla pozo-stałych sektorów gospodarki łącznie, innych niż wymienione w tabeli, która wyniosła zaledwie 83%. W przypadku branży transportowo-logistycznej po-wodem tak wysokiego zaangażowania w inwestycje w obszarze IT może być ogromna konkurencja. Na rynku utrzy-mają się tylko te f irmy, które będą w stanie jak najlepiej wykorzystać posiadane zasoby, np. f lotę pojazdów, oraz usprawnią wymianę informacji z kontrahentami, wdrażając i rozwijając swoje systemy EDI.
Sposoby modernizacji ITInwestycje w IT to konieczność, a nie alternatywa. Pytanie brzmi więc nie tylko czy, ale i jak przedsiębiorstwa
zamierzają modernizować posiadaną infrastrukturę IT?
Na tak zadane pytanie 69,3% de-cydentów, którzy planują inwestycję w infrastrukturę IT, odpowiedziało, że zamierza rozbudowywać istniejącą serwerownię. Z kolei prawie co ósma z ankietowanych firm zamierza zbudo-wać nowe centrum danych – niekiedy łatwiej i efektywniej kosztowo jest zaprojektować i wdrożyć infrastrukturę
Czy planują państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT?
W jakim czasie prowadzona będzie inwestycja?
Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT? — ujęcie według rozmiaru przedsiębiorstwa
Liczba zatrudnionych w przedsiębiorstwie Tak Nie
poniżej 1000 83% 17%
powyżej 1000 91% 9%
centrum danych (klasa Tier). Dotyczy to samej konstrukcji budynku (zewnętrz-nej i wewnętrznej), możliwości stwo-rzenia dróg transportowych i doprowa-dzenia systemów telekomunikacyjnych, ale także wdrożenia wymaganych sys-temów chłodzenia i wentylacji, energe-tycznych i ppoż.
Jeszcze kilka lat temu outsourcing, czyli wydzielenie wybranych funkcji ze struktury organizacyjnej w celu przekazania ich do wykonania innym, zewnętrznym podmiotom, traktowany był jako jeden ze szczególnie wartych uwagi sposobów na obniżenie kosztów i umożliwienie skupienia na f irmowym core business. Współczesne IT daje większe możliwości, np. przeniesienia nawet całej infrastruktury przedsię-biorstwa na zewnątrz, w tym do do-stępnej z dowolnego miejsca na świe-cie chmury obliczeniowej (model IaaS).
O ile gotowość na całkowite skorzy-stanie z usług zewnętrznych wyraża je-dynie 3 spośród 114 firm, o tyle możli-wość wsparcia własnych rozwiązań po-przez outsourcing aplikacji krytycznych rozważa już blisko 9% przedsiębiorstw planujących inwestycje w infrastruk-turę IT. Mówimy tutaj o firmach, które nie zdecydowały się modernizować lub budować nowej infrastruktury dla swo-jego centrum danych (w pytaniu badani mogli wybrać tylko jedną odpowiedź). Wynik ten pokazuje, że outsourcing usług i aplikacji nadal cieszy się spo-rym zainteresowaniem, a firmy gotowe są oddać swoje krytyczne dane i aplika-cje w ręce zewnętrznych podmiotów.
Powody inwestycji w ITKonieczność podniesienia wydajności f irmowych aplikacji oraz wyczerpywa-nie się posiadanych zasobów IT (np. dyskowych) to dwa najczęściej wy-mieniane powody planowanych inwe-stycji w infrastrukturę IT. Problem ten dotyczy odpowiednio 41,2% i 26,3% respondentów.
Można wskazać kilka powodów ta-kiej sytuacji. Wyraźnie zwiększa się liczba transakcji wykonywanych w sys-temach informatycznych. Przykładem tego jest wzrost liczby użytkowni-ków bankowości elektronicznej, jaki można zaobserwować na przestrzeni
12 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
IT od podstaw, niż modernizować jej przestarzałe elementy.
W szerszej perspektywie moderniza-cja istniejącej infrastruktury może być trudna lub niemożliwa do przeprowa-dzenia, jeśli chcemy zapewnić wymaga-ny poziom dostępności i niezawodności
Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT? — ujęcie według sektorów gospodarki
Branża Tak Nie
Energia/Gaz/Woda/Ciepło/Oczyszczanie 95% 5%
Finanse/Bankowość/Ubezpieczenia 92% 8%
FMCG/Dystrybucja/Handel 79% 21%
Przemysł/Produkcja/Wydobycie 94% 6%
Transport/Spedycja/Logistyka 100% 0%
Pozostałe firmy 83% 17%
Planowane sposoby modernizacji infrastruktury IT w przedsiębiorstwach
Rozbudowa już istniejącej serwerowni/data center 69,3%
Budowa nowej infrastruktury data center 12,3%
Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji krytycznych 8,8%
Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji innych niż krytyczne 3,5%
Całkowite przejście na usługi outsourcingowe 2,6%
Inne 3,5%
Powody planowania inwestycji w infrastrukturę IT
Konieczne jest podniesienie wydajności firmowych aplikacji 41,2%
Obecnie posiadane zasoby (np. storage) są na wyczerpaniu 26,3%
Obecnie posiadane systemy nie zapewniają dostatecznego poziomu dostępności 23,7%
Obecnie posiadane systemy nie zapewniają dostatecznego poziomu bezpieczeństwa 19,3%
Poprzez inwestycję chcemy ograniczyć koszty po stronie TCO 18,4%
Posiadamy przestarzałe systemy, które utraciły wsparcie producenta 14,9%
Inne 4,4%
13luty 2015
ostatnich kilku lat. Dodatkowo, przed-siębiorstwa coraz częściej mają do czynienia z nowym typem (nieustruktu-ryzowanych) danych, których przetwa-rzanie wymaga sporej mocy obliczenio-wej serwerów.
Zapotrzebowanie na przestrzeń dys-kową rośnie w dwucyfrowym tempie, a to oznacza konieczność zapewnienia nie tylko coraz większych pojemności dysków, ale także wydajniejszych, bardziej inteligentnych i niezawodnych systemów pamięci masowych, zdolnych obsłużyć coraz większe obciążenia ge-nerowane w centrach danych.
Wielu decydentów zwraca uwagę na kwestie dostępności i bezpieczeństwa posiadanej infrastruktury IT. 23,7% ankietowanych osób stwierdziło, że obecnie wykorzystywane systemy nie spełniają wymagania dotyczącego poziomu dostępności. Niewielu mniej, bo 19,3% respondentów uważa, że to samo dotyczy kwestii związanych ze stosowanymi zabezpieczeniami. Wśród innych powodów inwestycji w infrastrukturę IT respondenci wymieniali konieczność budowy zapasowego centrum danych (Disaster Recovery) oraz dywersyfikacji dostępu do usług i zasobów.
Z kolei co 7 ankietowany zauważa konieczność modernizacji infrastruktu-ry IT z uwagi na fakt posiadania prze-starzałych systemów, które utraciły wsparcie producenta. Dla przykładu,
14 lipca 2015 r. Microsoft zakończy wsparcie platformy Windows Server 2003, a to oznacza, że od tego mo-mentu nie będą wydawane nowe ak-tualizacje zabezpieczeń; zaprzestane zostanie również świadczenie wsparcia technicznego dla produktów z tej ro-dziny. Dla działów IT oznacza to także konieczność porzucenia przestarzałej 32-bitowej architektury, co wiąże się z zakupem nowych serwerów i oprogra-mowania.
W ujęciu według sektorów gospodar-ki da się zauważyć, że oprócz koniecz-ności podniesienia wydajności apli-kacji drugim największym problemem
Jakie są powody, dla których zamierzają Państwo podjąć inwestycje w infrastrukturę IT? — ujęcie według sektorów gospodarki
Etykiety wierszy
Posiadamy
przestarzałe
systemy, które
utraciły wsparcie
producenta
Obecnie po-
siadane systemy
nie zapewniają
dostatecz-
nego poziomu
dostępności
Obecnie po-
siadane systemy
nie zapewniają
dostatecz-
nego poziomu
bezpieczeństwa
Konieczne jest
podniesienie
wydajności fir-
mowych aplikacji
Poprzez
inwestycję chce-
my ograniczyć
koszty po stronie
TCO
Obecnie
posiadane
zasoby
(np. storage) są
na wyczerpaniu
Inne
Administracja publiczna/Służby mundurowe 0% 20% 20% 30% 20% 10% 0%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 3% 10% 16% 29% 23% 16% 3%
Finanse/Bankowość/Ubezpieczenia 16% 19% 13% 29% 6% 13% 3%
FMCG/Dystrybucja/Handel 21% 7% 7% 29% 21% 14% 0%
Przemysł/Produkcja/Wydobycie 19% 24% 5% 43% 0% 10% 0%
Transport/Spedycja/Logistyka 6% 6% 11% 28% 11% 28% 11%
Pozostałe firmy 7% 20% 16% 18% 11% 25% 2%
Priorytety biznesowe formułowane przez biznes wobec IT
z samej infrastruktury IT, jak i czyn-ników zewnętrznych (np. ataki sie-ciowe) bezpośrednio przekładają się na straty f inansowe i niefinansowe, rozumiane np. jako spadek zaufania klientów do f irmy. Sam fakt, że pyta-liśmy o priorytety biznesowe formuło-wane oficjalnie bądź w praktyce, może być powodem przewagi argumentu najwyższej dostępności systemów nad optymalizacją kosztową nakładów na bezpieczeństwo.
Na drugim miejscu najczęściej wska-zywanych odpowiedzi znalazła się opty-malizacja kosztowa między nakładami na bezpieczeństwo, a jego faktycznym poziomem (28,1% odpowiedzi). Biznes liczy koszty i trudno spodziewać się, że kwestie ograniczania kosztów i kontroli wydatków ominą działy IT. W praktyce nie da się wprost określić, ile pieniędzy powinniśmy wydać na zapewnienie bez-pieczeństwa danych. Z tego względu ważne jest, aby każda złotówka została wydana właściwie, a poziom ochrony systemów i aplikacji został dostoso-wany do skali i wymagań konkretnego przedsiębiorstwa.
Na uwagę zwraca fakt stosunkowo niewielkiej liczby respondentów, dla których najważniejszym prioryte-tem biznesowym jest zachowanie jak najdalej posuniętej koncentracji na podstawowej działalności przedsię-biorstwa. W ten sposób odpowiedziało tylko 10 ze 128 przepytanych osób. Dla przedsiębiorstw bardziej znaczące są kwestie związane z dostępnością sys-temów i bezpieczeństwem danych, co
14 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
z jakim borykają się przedsiębiorstwa przemysłowe i wydobywcze jest brak dostatecznego poziomu dostępności systemów IT (24% sumy odpowiedzi udzielonych przez reprezentantów firm z danego sektora). Z kolei potrzebę wymiany przestarzałych systemów, które utraciły wsparcie producenta, zauważają dodatkowo respondenci reprezentujący sektor dóbr szybko zby-walnych i handlu, przemysł oraz sektor f inansowy (odpowiednio 21, 19 i 16%), podczas gdy administracja publiczna, branża FMCG oraz dostawcy energii i mediów komunalnych przez inwesty-cje w infrastrukturę IT chcą ograniczyć całkowite koszty utrzymania centrum danych.
Priorytety biznesoweNa przestrzeni lat zmieniła się rola IT jako działu, który wyznacza kie-runki rozwoju i pozwala osiągać cele biznesowe przedsiębiorstwa. Osoby odpowiedzialne za informatykę coraz częściej wchodzą w skład zarządów, a rolą menedżerów IT jest przekładanie wymagań biznesowych na wdrożenia technologiczne oraz możliwości tech-nologii na potencjał biznesowy.
Dostępność danych i aplikacji biz-nesowych to najważniejszy priorytet formułowany przez biznes w stosunku do IT. Taką opinię wyraża ponad jedna trzecia menedżerów i dyrektorów IT uczestniczących w badaniu. Po pierw-sze, systemy IT muszą zagwarantować ciągłość działania przedsiębiorstw, a każde przestoje wynikające zarówno
Priorytety biznesowe formułowane przez biznes wobec IT — ujęcie według sektorów gospodarki
Branża
Bezpieczeństwo
przechowywanych
danych
Optymalizacja kosztowa
między nakładami na
bezpieczeństwo a jego
faktycznym poziomem
Jak najwyższa
dostępność
danych i aplikacji
biznesowych
Wydajność
i skalowalność
zasobów
Możliwość zachowania
jak najdalej posuniętej
koncentracji na core
businessie organizacji
Inny
Energia/Gaz/Woda/Ciepło/Oczyszczanie 10% 48% 19% 14% 10% 0%
Finanse/Bankowość/Ubezpieczenia 17% 21% 46% 8% 4% 4%
FMCG/Dystrybucja/Handel 0% 14% 36% 14% 36% 0%
Przemysł/Produkcja/Wydobycie 19% 38% 44% 0% 0% 0%
Transport/Spedycja/Logistyka 0% 27% 27% 18% 0% 27%
Pozostałe firmy 7% 24% 43% 14% 5% 7%
Inne (5)
Nie mamy takich informacji po stronie firmy – będziemy musieli ją pozyskać lub uzupełnić (11)
Przeznaczeni do tego zadaniapracownicy są wysyłani naodpowiednie kursy i/lubszkolenia (48)
Odpowiednie know-how mamypo stronie firmy (53)
Całościową ofertę budowy otrzymaliśmy od dostawcy IT (12)
Skąd czerpią Państwo wiedzę na temat projektowania centrum przetwarzania danych?
15luty 2015
wskazuje realne oczekiwania biznesu, pokazując zarazem dostawcom, na co ich klienci zwracają uwagę podczas wy-boru oferty rozwoju zaplecza IT.
Mimo że respondenci zostali popro-szeni o wskazanie pojedynczej odpo-wiedzi (w domyśle: najważniejszego priorytetu), wielu z nich zwracało uwa-gę, że presja na IT ze strony biznesu wynika ze wszystkich przedstawionych w odpowiedziach możliwości – częścio-wo lub w całości.
Gdyby na kwestie priorytetów spoj-rzeć przez pryzmat f irm działających w poszczególnych branżach, to okaże się, że poza kwestiami związanymi z dostępnością danych i aplikacji biz-nesowych najwięcej uwagi f irmy po-święcają zapewnieniu bezpieczeństwa przechowywanych danych (przemysł, f inanse) oraz optymalizacji kosztowej nakładów na bezpieczeństwo (ener-getyka i media komunalne, przemysł). Z kolei branża FMCG i dystrybucji, jako jedyna z całego zestawienia, duży na-cisk kładzie na możliwość skupienia się na prowadzonym biznesie zamiast na stosowanych rozwiązaniach i syste-mach informatycznych.
Know-how57% respondentów, którzy zdecydowali się odpowiedzieć na nasze pytanie, twierdzi, że wiedzę na temat projekto-wania centrum danych ma po stronie f irmy, a kolejne 51,6% ankietowanych
uważa natomiast, że gdy nadejdzie czas na modernizację infrastruktury f irmy, wyznaczeni do tego zadania pra-cownicy zostaną wysłani na szkolenia lub kursy, aby samodzielnie planować i wdrażać projekty rozwoju IT w przed-siębiorstwie.
Wśród innych odpowiedzi respon-denci jako sposób na pozyskiwanie wiedzy wskazywali internet, konsul-tacje z dostawcami, wyniki zapytań ofertowych (RFP) oraz dokumenty opisujące najlepsze praktyki rynkowe pochodzące od dostawców sprzętu i oprogramowania.
W ujęciu według sektorów gospodar-ki największą wiedzą swoich pracowni-ków szczyci się branża f inansowa (60% z sumy odpowiedzi udzielonych przez respondentów wywodzących się z tego sektora), podczas gdy gotowość prze-szkolenia pracowników w największym stopniu deklarują osoby reprezentują-ce sektory energetyczne i komunalne (54% odpowiedzi) oraz produkcji prze-mysłowej (50% odpowiedzi).
Mniej niż 10% firm deklaruje, że całościową ofertę budowy centrum da-nych otrzymali od dostawcy IT. Czyżby przedsiębiorstwa chciały – i co waż-niejsze – były gotowe tworzyć infra-strukturę samodzielnie? W odniesieniu do systemów konwergentnych, które w jednej szafie łączą moc obliczenio-wą, pamięć masową i sieć, wcale nie wydaje się to nierealne.
Skąd czerpią Państwo wiedzę na temat projektowania centrum przetwarzania danych? — ujęcie według sektorów gospodarki
Branża
Odpowiednie know-how
mamy po stronie firmy
Wyznaczeni do tego zadania pracownicy są wysyłani
na odpowiednie kursy i/lub szkolenia
Całościową ofertę budowy otrzymaliśmy od
dostawcy IT
Nie mamy takiej wiedzy po stronie firmy — będziemy musieli ją pozyskać lub
uzupełnić
Finanse/Bankowość/Ubezpieczenia 60% 24% 12% 0%
FMCG/Dystrybucja/Handel 38% 23% 23% 15%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 33% 54% 8% 0%
Przemysł/Produkcja/Wydobycie 21% 50% 7% 14%
Transport/Spedycja/Logistyka 42% 33% 8% 17%
Pozostałe firmy 41% 37% 5% 12%
Priorytetem działów IT dużych polskich organizacji jest zapewnienie maksymalnego poziomu dostępności danych i aplikacji biznesowych. To wymaga posiadania bezpiecznego zaplecza infrastrukturalnego i jego stałego rozwijania.
Zaplecze infrastruktury bezpieczeństwa w firmach: stan posiadania i plany rozwoju
nakładów finansowych i organizacyjnych do uzyskiwanego w efekcie poziomu dostępności oraz bezpieczeństwa aplikacji i danych.
Audyty bezpieczeństwaPozytywnie należy ocenić fakt, że aż 86% dużych firm prowadzi audyty bezpieczeństwa w różnych odstępach czasu: regularnie, po wdrożeniu nowych elementów infrastruktury IT bądź bez sprecyzowanych terminów.
Patrząc na powyższe dane w ujęciu bran-żowym, wyraźnie widać, że prym w zakresie badania własnego zaplecza wiedzie sektor finansów, bankowości i ubezpieczeń – wszyscy jego przedstawiciele zadeklarowali prowa-dzenie audytów bezpieczeństwa IT, przy czym zdecydowana większość (92%) realizuje je regularnie. Drugą grupą respondentów szcze-gólnie często podejmujących regularne audyty bezpieczeństwa swej infrastruktury bezpie-czeństwa IT są przedsiębiorstwa sektora usług publicznych – utilities, zwłaszcza te spełniają-ce kryteria zdefiniowanej ustawowo infrastruk-tury krytycznej. Wysokie wymogi w kwestiach bezpieczeństwa biorą się z kluczowej roli, jaką pełnią te organizacje, zapewniając możliwość działania całej gospodarki. Trudno sobie np. wyobrazić przerwy w dostawach wody czy prądu – straty wywołane wyłączeniami linii produkcyjnych, chłodni czy pieców hutniczych byłyby ogromne.
Odnotować należy, że aż 12% organizacji w ogóle nie prowadzi działań audytorskich
16 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Mając na względzie konieczność realizacji podstawowych celów, np. wspomnianego we wstępie maksymalnego poziomu dostępności do danych, szczelności czy optymalizacji kosz-towej funkcjonujących w firmie systemów tele-informatycznych, organizacje prowadzą audyty bezpieczeństwa IT. To procedury niezbędne, aby racjonalnie i rzeczowo ocenić adekwatność
17luty 2015
w stosunku do swojego zaplecza IT. Niechlubny prym w ramach tej grupy wiodą przedstawicie-le sektora przemysłu i produkcji – aż 8 na 15 wskazań deklarujących brak realizowania au-dytów bezpieczeństwa pochodziło od respon-dentów tej branży.
Przedstawiciele przedsiębiorstw, które wskazały odpowiedź przeczącą na pytanie o prowadzenie audytów bezpieczeństwa IT, zostali następnie zapytani o plany dotyczące ich wprowadzenia. Nieco ponad połowa (53%) wskazała, że będzie zmierzała do wdrożenia tego rodzaju działań w swoich organizacjach. Wart odnotowania jest fakt, że wśród powyż-szych znalazła się tylko jedna firma z branży przemysłowej.
Poszukiwanie podatnościOprócz audytów bezpieczeństwa, mających przynieść odpowiedzi na pytania o wydajność, oszczędność i stabilność firmowej infrastruk-tury, organizacje podchodzące kompleksowo do kwestii bezpieczeństwa IT podejmują dzia-łania na rzecz sprawdzania jej odporności na bezpośrednie ataki. Prowadzone testy penetra-cyjne mają na celu sprawdzenie, na ile skutecz-nie firmowe zabezpieczenia bronią dostępu do firmowych danych.
Jak się okazuje, testy penetracyjne firmo-wych sieci, serwisów i innych systemów IT są dość powszechnie stosowane przez polskie organizacje, choć w zdecydowanie mniej regu-larnych odstępach czasu niż w przypadku au-dytów bezpieczeństwa. W różnych odstępach czasu przeprowadza je w sumie 78% ankieto-wanych.
19% respondentów zadeklarowało, że nie przeprowadza żadnych testów penetracyj-nych firmowego zaplecza IT. W ramach tej grupy ok. 2/3 (67%) zadeklarowało jednak
Czy Państwa firma prowadzi audyty bezpieczeństwa?
Czy Państwa firma zamierza prowadzić audyty bezpieczeństwa?
Czy Państwa firma prowadzi audyty bezpieczeństwa? – ujęcie sektorów gospodarki
Branża Tak, regularnie
Tylko po wdrożeniu
nowych mechanizmów
bezpieczeństwa
Tak, ale
nieregularnieNie Nie wiem
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 22 92% 0 0% 2 8% 0 0% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 13 62% 2 10% 5 24% 0 0% 1 5% 21
Przemysł/Produkcja/Wydobycie 3 19% 2 13% 3 19% 8 50% 0 0% 16
FMCG/Dystrybucja/Handel 5 36% 1 7% 5 36% 2 14% 1 7% 14
Transport/Spedycja/Logistyka 3 27% 0 0% 6 55% 1 9% 1 9% 11
Pozostałe sektory 20 48% 1 2% 16 38% 4 10% 1 2% 42
Razem odpowiedzi 66 52% 6 5% 37 29% 15 12% 4 3% 128
plany wprowadzenia tego elementu bezpie-czeństwa do katalogu stosowanych przez siebie metod.
Podobnie jak wcześniej zauważalny jest dy-stans między sektorami finansów, bankowości i ubezpieczeń oraz utilities a branżą przemy-słową. W pierwszym z sektorów aż 92% ba-danych wskazało stosowanie testów penetra-cyjnych. W drugim z nich było to odpowiednio 9 na 10 ankietowanych, przy większej liczbie wskazań nieregularnych testów. W przypadku przedstawicieli przemysłu wskaźnik ten spada o połowę – do 44%
Polityki bezpieczeństwa w polskich organizacjachStosowane w firmach rozwiązania i polityki bezpieczeństwa danych są bardzo różnorodne, a ich rodzaje zależą przeważnie od specyfi-ki występujących w danej branży zagrożeń. Polityki bezpieczeństwa informacji i danych opisują zarówno przeciwdziałanie ich utracie i wyciekowi poza organizację, jak i niespo-dziewane przerwy w dostępie do kluczowych aplikacji.
Jak wskazują wyniki omawianego badania, największą popularnością w macierzystych organizacjach respondentów cieszą się rozwią-zania backupowe (ma je 73% firm), monitoring systemów IT (69%) oraz wirtualizacja (71%). Stosunkowo popularne (59%) okazały się również redundantne (nadmiarowe) systemy wspierające pracę centrów przetwarzania da-nych: dodatkowe moduły zasilania, chłodzenia, połączenia sieciowe itp.
Uczestnicy badania odpowiedzieli także na pytanie o plany rozwijania firmowej infrastruk-tury bezpieczeństwa IT. Pytanie to odnosiło się do zamiarów uzupełniania bądź zastąpienia pewnych elementów istniejących
18 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów i systemów IT?
Czy Państwa firma zamierza prowadzić testy penetracyjne sieci, serwisów i systemów IT?
Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów i systemów IT? — ujęcie sektorów gospodarki
Branża Tak, regularnie
Tylko po wdrożeniu
nowych mechanizmów
bezpieczeństwa
Tak, ale
nieregularnieNie Nie wiem
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 18 75% 0 0% 4 17% 0 0% 2 8% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 6 29% 2 10% 11 52% 1 5% 1 5% 21
Przemysł/Produkcja/Wydobycie 2 13% 1 6% 4 25% 9 56% 0 0% 16
FMCG/Dystrybucja/Handel 6 43% 2 14% 3 21% 2 14% 1 7% 14
Transport/Spedycja/Logistyka 2 18% 0 0% 7 64% 1 9% 1 9% 11
Pozostałe sektory 14 33% 4 10% 13 31% 11 26% 0 0% 42
Razem odpowiedzi 48 38% 9 7% 42 33% 24 19% 5 4% 128
19luty 2015
Posiadane elementy polityki bezpieczeństwa informacji i danych — ujęcie sektorów gospodarki
Branża
Normy
bezpieczeństwa
danych i biznesu,
takie jak ISO
27001
Plany
ciągłości
działania/
BCP
Rozwiązania
typu Backup
& Recovery
Redundantne systemy
zasilania, chłodzenia,
połączeń sieciowych
i inne zabezpieczenia
firmowej infrastruk-
tury IT
Redundantne
centrum
przetwarzania
danych na
własnych
zasobach
Wykupione
zasoby
w centrum
danych out-
sourcera
Monitoring
systemów
IT
Wirtu-
alizacja
systemów
Rozwiązania
bezpieczeństwa
w obszarze sieci
komputerowych
i dostępu do
danych
Inne
Razem
respon-
dentów
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia
42% 83% 71% 71% 67% 21% 79% 63% 54% 0% 24 132
Energia/Gaz/Woda/Ciepło/Oczyszczanie
33% 38% 86% 48% 29% 5% 71% 71% 33% 0% 21 87
Przemysł/Produkcja/Wydobycie
13% 13% 56% 44% 31% 6% 50% 69% 38% 6% 16 52
FMCG/Dystrybucja/Handel
14% 43% 71% 43% 21% 21% 50% 79% 43% 7% 14 55
Transport/Spedycja/Logistyka
9% 36% 64% 64% 55% 0% 73% 45% 36% 0% 11 42
Pozostałe sektory
31% 40% 76% 67% 38% 5% 74% 81% 57% 2% 42 198
Razem odpowiedzi
27% 45% 73% 59% 41% 9% 69% 71% 47% 2% 128 566
Planowane do wdrażania elementy infrastruktury bezpieczeństwa IT
Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%
Plany ciągłości działania/BCP 42 33%
Nowe rozwiązania typu Backup & Recovery bądź ich wymiana 43 34%
Redundantne systemy zasilania, chłodzenia, połączeń siecio-wych i inne zabezpieczenia firmowej infrastruktury IT
15 12%
Redundantne centrum przetwarzania danych na własnych zasobach
11 9%
Wykupione zasoby w centrum danych outsourcera 13 10%
Monitoring systemów IT 22 17%
Wirtualizacja systemów 25 20%
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych
28 22%
Inne 14 11%
Posiadane elementy polityki bezpieczeństwa informacji i danych
Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%
Plany ciągłości działania/BCP 57 45%
Rozwiązania typu Backup & Recovery 93 73%
Redundantne systemy zasilania, chłodzenia, połączeń siecio-wych i inne zabezpieczenia firmowej infrastruktury IT
75 59%
Redundantne centrum przetwarzania danych na własnych zasobach
52 41%
Wykupione zasoby w centrum danych outsourcera 12 9%
Monitoring systemów IT 88 69%
Wirtualizacja systemów 91 71%
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych
60 47%
Inne 3 2%
Wśród deklaracji dotyczących rozwijania firmowej infrastruktury bezpieczeństwa IT naj-większa liczba wskazań przypadła odpowiedzi „Nowe rozwiązania typu Backup & Recovery bądź ich wymiana”. To sugeruje, że przedsię-biorstwa będą rozwijać zaplecze konieczne dla archiwizacji i przeprowadzania kopii bezpie-czeństwa przyrastających w istotnym tempie wolumenów danych.
Należy to wiązać także z coraz częściej za-znaczającą się koniecznością wymiany najstar-szych podstawowych elementów infrastruktury bezpieczeństwa. Systemy backupowe są naj-powszechniej występującymi elementami tej infrastruktury, a ich średni wiek jest stosunko-wo wysoki. Ubiegłoroczne badanie firmy BCC wskazywało, że ok. połowa będących w posia-daniu polskich firm macierzy dyskowych miała ponad trzy lata.
Uwagę zwraca stosunkowo wysoki udział odpowiedzi wskazujących na zamiar wdrażania planów ciągłości działania (Business Continuity Planning) oraz norm bezpieczeństwa, takich jak ISO 27001. Obecnie szerszym udziałem tych elementów w ramach swoich polityk bez-pieczeństwa mogą pochwalić się w zasadzie jedynie przedstawiciele sektora finansów,
20 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
już zasobów, stąd łączna liczba udzielonych na nie odpowiedzi była o ok. połowę mniejsza (248) niż w przypadku wcześniejszego pytania, dotyczącego już posiadanych przez organiza-cję, niejednokrotnie rozwijanych przez lata, rozwiązań (566). Łatwo zaobserwować, że in-westycje w rozwiązania infrastruktury IT mają charakter ciągły i odbywają się stopniowo.
Posiadane elementy polityki bezpieczeństwa informacji i danych w ujęciu branżowym – średnia liczba wskazań
Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji — ujęcie sektorów gospodarki liczba wskazań
Branża
Normy
bezpieczeń-
stwa danych
i biznesu,
takie jak ISO
27001
Plany ciągło-
ści działania/
BCP
Nowe
rozwiązania
typu Backup
& Recovery
bądź ich
wymiana
Redundantne systemy
zasilania, chłodzenia,
połączeń sieciowych
i inne zabezpieczenia
firmowej infrastruk-
tury IT
Redundantne
centrum
przetwarza-
nia danych
na własnych
zasobach
Wykupione
zasoby
w centrum
danych
outsourcera
Moni-
toring
systemów
IT
Wirtualizacja
systemów
Rozwiązania
bezpie-
czeństwa
w obszarze sie-
ci komputero-
wych i dostępu
do danych
Inne
Razem
responden-
tów
Razem
odpowie-
dzi
Finanse/Bankowość/Ubezpieczenia
42% 29% 21% 4% 0% 4% 8% 13% 21% 21% 24 39
Energia/Gaz/Woda/Ciepło/Oczyszczanie
29% 38% 24% 0% 10% 5% 14% 14% 19% 5% 21 33
Przemysł/Produkcja/Wydobycie
19% 19% 56% 25% 0% 0% 25% 38% 13% 6% 16 32
FMCG/Dystrybucja/Handel
14% 29% 29% 21% 14% 7% 21% 14% 29% 21% 14 28
Transport/Spedycja/Logistyka
45% 55% 36% 9% 0% 9% 27% 36% 27% 0% 11 27
Pozostałe sektory 21% 33% 38% 14% 17% 21% 17% 17% 24% 10% 42 89
Razem odpowiedzi
27% 33% 34% 12% 9% 10% 17% 20% 22% 11% 128 248
21luty 2015
archiwizacji i kopii bezpieczeństwa było aż o 45% więcej niż odpowiedzi wskazujących posiadanie wdrożonych norm bezpieczeństwa oraz 28% więcej niż systemów BCP.
bankowości i ubezpieczeń. Widać, że także organizacje wywodzące się z pozostałych branż planują sukcesywnie poszerzać wachlarz firmowych polityk bezpieczeństwa o nowe ele-menty, będące uzupełnieniem i wypełnieniem już posiadanych rozwiązań.
Perspektywa branżowaAnaliza posiadanych przez polskie organizacje elementów infrastruktury bezpieczeństwa IT w ujęciu sektorów gospodarki pozwala do-strzec liderów wśród poszczególnych branż. Szczególnie szeroki wachlarz rozwiązań bez-pieczeństwa IT występuje wśród przedstawicie-li branży finansowej, ubezpieczeniowej i ban-kowej. Większość (aż 7 na 10) wymienionych rozwiązań uzyskało powyżej 60% wskazań ze strony tej grupy respondentów.
Uczestnicy badania wskazywali średnio 4,4 odpowiedzi na 10 możliwych. Uśredniony wskaźnik dla sektora finansów i bankowości wyniósł 5,5, zaś dla przemysłu – 3,3.
Jak wspomniano, uczestnicy badania odpo-wiadali także na pytanie o plany rozwijania fir-mowej infrastruktury bezpieczeństwa IT. Ujęcie branżowe na tak postawione pytanie wskazuje kilka ciekawych obserwacji.
Po pierwsze, sporą popularnością cieszyć się będą wdrożenia planów ciągłości działa-nia oraz norm bezpieczeństwa. Zestawienie sektorowych tabel dotyczących posiada-nych i planowanych do wdrażania systemów wskazuje generalny trend, że na tego rodzaju rozwiązania będą zwracać uwagę polskie przedsiębiorstwa – z zaznaczeniem jednak, że po uśrednieniu przewaga wskazań na rzecz systemów Backup & Recovery nad dwiema ww. pozycjami wynosi 7% (porównując do norm bezpieczeństwa) oraz 1% (systemy cią-głości działania). W przypadku rozwiązań już wdrożonych i działających różnica była znacz-nie większa: deklaracji posiadania rozwiązań
Czy wykonują Państwo testy odtworzeniowe firmowych systemów IT?
Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji i danych w ujęciu branżowym – średnia liczba wskazań
Rodzaje rozwiązań Backup & Recovery stosowane w firmach
Taśmy magnetyczneSpecjalizowane
rozwiązania dyskowe
Kopie w zapasowym centrum przetwarza-
nia danych
Outsourcing (np. usługi chmurowe)
Nie wiemRazem re-
spondentówRazem
odpowiedzi
58 59 44 4 5
93 17062% 63% 47% 4% 5%
W planowanych do realizacji elementach infrastruktury bezpieczeństwa w badaniu po-zytywnie odznacza się sektor przemysłowy. Widząc zapóźnienie względem innych branż,
przedstawiciele tego sektora wskazali średnio o 0,1 więcej odpowiedzi, niż wyniosła średnia deklaracji dla wszystkich ankietowanych. Przedstawiciele branży przemysłowej zamie-rzają podejmować inwestycje w rozwiązania Backup & Recovery – tę odpowiedź wskazała ponad połowa z nich: 57%.
Jeszcze większą uwagę zwracają szeroko zakrojone plany inwestycyjne firm wywodzących się z sektora transportu, spedycji i logistyki. Średnia wskazań wyniosła w ich przypadku 2,5, tj. o 0,6 punktu więcej niż średnia wynosząca 1,9.
Archiwizacja i kopie bezpieczeństwaSystemy Backup & Recovery to najpowszech-niej występujące rozwiązania bezpieczeństwa IT wśród polskich organizacji. Są to zarazem najczęściej wskazywane systemy wśród pla-nowanych do rozwijania elementów firmowej infrastruktury bezpieczeństwa.
Jakie rodzaje rozwiązań do archiwizacji i kopii bezpieczeństwa są najczęściej sto-sowane w polskich organizacjach? Na tak postawione pytanie odpowiadały firmy, które wcześniej wskazały posiadanie podobnych rozwiązań pośród wdrożonych u siebie ele-mentów polityk bezpieczeństwa informacji i danych.
22 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych stosowane w firmach
Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez SSL, zdalny dostęp przez VPN) 39 65%
Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 23 38%
Jednorazowe klucze dostępowe (np. RSA) 14 23%
Jednokrotne logowanie (SSO) 25 42%
Systemy antyspamowe 33 55%
Inne 2 3%
Nie wiem 1 2%
Odmowa odpowiedzi 17 28%
Razem respondentów 60 100%
Razem odpowiedzi 154
Testy odtworzeniowe w ujęciu sektorowym
Branża Tak, regularnie
Tylko po wdrożeniu
nowego systemu typu
Backup & Recovery
Tak, ale nieregularnie Nie Nie wiemRazem re-
spondentów
Finanse/Bankowość/Ubezpieczenia 21 88% 1 4% 2 8% 0 0% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 6 29% 0 0% 12 57% 1 5% 2 10% 21
Przemysł/Produkcja/Wydobycie 5 31% 0 0% 10 63% 1 6% 0 0% 16
FMCG/Dystrybucja/Handel 8 57% 0 0% 5 36% 1 7% 0 0% 14
Transport/Spedycja/Logistyka 3 27% 0 0% 5 45% 2 18% 1 9% 11
Pozostałe sektory 16 38% 2 5% 22 52% 2 5% 0 0% 42
Razem odpowiedzi 59 46% 3 2% 56 44% 7 5% 3 2% 128
Rodzaje rozwiązań Backup & Recovery, które zamierzają wdrażać firmy
Taśmy
magnetyczne
Specjalizowane rozwiązania
dyskowe
Kopie w zapasowym centrum
przetwarzania danych
Outsourcing (np.
usługi chmurowe)Nie wiem
Razem
respondentów
Razem
odpowiedzi
5 19 14 4 543 47
12% 44% 33% 9% 12%
23luty 2015
Wśród badanych ważną rolę odgrywają wciąż starsze, dziedziczone technologie – w przypadku rozwiązań Backup & Recovery są to stosowane od szeregu lat taśmy magne-tyczne. Rozwiązanie to będzie jednak ustępo-wać specjalizowanym rozwiązaniom dyskowym – coraz wydajniejszym macierzom, a także kopiom w zapasowych centrach danych, bądź wręcz usługom chmurowym zupełnie zdejmu-jącym z organizacji konieczność zajmowania się kwestiami archiwizowania i zabezpieczania kopii firmowych danych.
Testy odtworzenioweNiezależnie od stosowanej do prowadzenia backupów technologii, pozytywnie należy ocenić fakt, że aż 92% badanych przedsię-biorstw wykonuje regularnie lub nieregularne testy odtworzeniowe. Podobnie jak wcześniej występują tutaj różnice w zależności od branży, w której działają respondenci.
Prowadzenie testów odtworzeniowych zade-klarowali wszyscy (100% wskazań) przedstawi-ciele sektora finansów, bankowości i ubezpie-czeń, przy czym aż 88% z nich wykonuje takie testy regularnie.
Testy odtworzeniowe prowadzi 94% organi-zacji wywodzących się z branży przemysłowej i wydobywczej, jednak tutaj aż 63% wskazań pada na testy prowadzone w nieregularnych odstępach czasu.
Co ciekawe, największą liczbę deklaracji wskazujących na zupełne pomijanie testów odtworzeniowych w firmowej architekturze bezpieczeństwa zanotowano w sektorze trans-portu, spedycji i logistyki – wyniosła ona 18%.
Bezpieczny ruch sieciowyNa pytanie dotyczące rodzajów posiadanych rozwiązań z dziedziny bezpieczeństwa sieci od-powiadali respondenci, którzy najpierw wskaza-li je pośród posiadanych przez siebie elementów polityk bezpieczeństwa informacji i danych.
Najczęściej wskazywana odpowiedź doty-czyła dostępu na poziomie aplikacji. Te stan-dardowe, najpowszechniejsze zabezpieczenia ma 65% respondentów. Stosunkowo dużą popularnością cieszą się ułatwiające dostęp do danych rozwiązania Single-Sign-On (42%), zaś mechanizmy optymalizacji wykorzystania zasobów sieciowych (np. OSPF, BGP) wskazało 38% ankietowanych.
Warto zaznaczyć, że zasadniczo po-nad połowa respondentów ma najwyżej jeden (35% przypadków) bądź dwa (18%) z omawianych tutaj systemów. Jedynie 32%
wskazań deklarowało posiadanie czterech lub więcej z nich.
Przekładając to na uśrednioną liczbę odpo-wiedzi w ujęciu branżowym, widać wyraźnie sektory, których przedstawiciele są szczególnie dobrze zabezpieczeni w obszarze sieci i dostępu
Planowane do wdrożenia rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych
Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez SSL, zdalny dostęp przez VPN) 10 36%
Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 3 11%
Jednorazowe klucze dostępowe (np. RSA) 4 14%
Jednokrotne logowanie (SSO) 4 14%
Systemy antyspamowe 3 11%
Inne 5 18%
Nie wiem 3 11%
Odmowa odpowiedzi 6 21%
Razem respondentów 28 100%
Razem odpowiedzi 38
Rozwiązania w obszarze sieci komputerowych i dostępu do danych w ujęciu sektorowym
24
4
6
6
7
13
57
9
20
14
12
42
2,4
2,3
3,3
2,3
1,7
3,2Finanse/BankowoϾ/
Ubezpieczenia
Energia/Gaz/Woda/Ciep³o/Oczyszczanie
Przemys³/Produkcja/Wydobycie
FMCG/Dystrybucja/Handel
Transport/Spedycja/Logistyka
Pozosta³e sektory
Œrednia liczbawskazañ
ROZWI¥ZANIA W OBSZARZE SIECI KOMPUTEROWYCH I DOSTÊPU
DO DANYCH W UJÊCIU SEKTOROWYM
Liczba respondentów Liczba odpowiedzi
do danych. Liderami są sektory finansów i ban-kowości oraz FMCG i handlu, uzyskując średnią liczbę odpowiedzi na poziomie odpowiednio 3,2 i 3,3, przy średniej na poziomie 2,6. Najsłabiej uplasowała się branża utilities, co z pewnością wymagać będzie szybkiej interwencji.
Wyniki badania Computerworld i BCC Data Centers pokazują, że przestoje w dostępie do firmowych aplikacji oraz danych, a także kradzieże tych ostatnich, to najistotniejsze z punktu widzenia dużych firm i korporacji zagrożenia bezpieczeństwa.
Zagrożenia i wyzwania
Katalog zagrożeń jest bardzo szeroki; obejmuje naruszenia bezpieczeństwa pochodzące z we-wnątrz firmy (np. niewłaściwe posługiwanie się kopiami zapasowymi, czynniki ludzkie) oraz z jej otoczenia, rozumiane głównie jako ataki sieciowe na systemy informatyczne przedsię-biorstw.
Hierarchia istotności zagrożeńTrzy na cztery ankietowane osoby jako szczegól-nie istotne zagrożenie bezpieczeństwa dla ich przedsiębiorstw wymieniły przestoje w dostępie do firmowych danych lub aplikacji. Z przeprowa-dzonego badania wynika, że dla firm nierzadko ważniejsze okazuje się zachowanie ciągłości działania niż dbałość o przechowywane i prze-twarzane dane. Mniej niż połowa respondentów wskazała bowiem kradzież wrażliwych danych (np. klientów) jako najważniejsze zagrożenie dla funkcjonowania ich firmy.
To właśnie zapewnienie ciągłości działania stanowi obecnie największe wyzwanie dla osób zarządzających pionami IT w przedsię-biorstwach. Brak dostępu do danych i aplikacji, spowodowany awarią, atakiem sieciowym lub celowym działaniem pracowników, prowa-dzi do przestojów firmy, co przekłada się na realne starty spowodowane utratą klientów lub niezrealizowanymi zamówieniami. Można więc wysnuć wniosek, że ankietowane osoby uznały, że łatwiej jest zapewnić właściwy po-ziom ochrony danych przed ujawnieniem, niż zapewnić nieprzerwany dostęp do wszystkich systemów, usług i aplikacji uruchamianych w przedsiębiorstwach.
Dopiero na kolejnych miejscach ankietowa-ni jako poważne zagrożenie bezpieczeństwa
24 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
25luty 2015
wymieniali nieuwagę lub brak świadomości zagrożeń ze strony pracowników (18%), utratę danych wskutek wypadku losowego (18%) oraz kradzież know-how (10%). Każde z tych zagro-żeń dość łatwo można zidentyfikować i wyeli-minować przez prowadzenie szkoleń pracow-ników, wdrażanie systemów kopii zapasowych (o tym szerzej za chwilę) oraz stosowanie do-datkowych zabezpieczeń technicznych i pro-ceduralnych, takich jak: szyfrowanie dysków, zabezpieczanie dokumentów przekazywanych w korespondencji mailowej, blokowanie nośni-ków przenośnych, czy też wdrażanie procedur postępowania ze zwalnianymi pracownikami.
Najwięcej uwagi na zagrożenia związane z przestojami w dostępie do danych i apli-kacji zwracają przedstawiciele firm z branży transportowo-logistycznej (59%), sektora przemysłowego i produkcji (50%) oraz handlu i dóbr szybko zbywalnych (50%). Dla tych firm ciągłość działania systemów IT oznacza przede wszystkim możliwość realizowania zleceń i za-mówień klientów w ustalonym terminie.
Z kolei kradzież wrażliwych danych jako naj-ważniejsze zagrożenie dla ich firm najczęściej wymieniali menedżerowie IT z branży finan-sowej i ubezpieczeniowej (44%) oraz ochrony zdrowia (42%). To zrozumiałe w kontekście danych, które zbierają, przechowują i przetwa-rzają tego typu organizacje.
Kopie zapasoweAż 58% przedsiębiorstw napotyka trudności związane z wykonywaniem kopii zapasowych,
choć jednocześnie trudno nie zauważyć, że 42% firm doskonale radzi sobie z zabezpie-czaniem firmowych danych. Występuje więc wyraźny podział na przedsiębiorstwa, w któ-rych stosowane rozwiązania backupu wyma-gają modernizacji, oraz te, które wdrożyły u siebie nowoczesne systemy tworzenia kopii zapasowych i archiwizacji danych.
Z badania wynika, że trudności związane z zabezpieczaniem danych dotyczą najczęściej kilku obszarów. 68% respondentów, którzy nie są w pełni zadowoleni ze stosowanych w ich organizacji rozwiązań backupu, zwraca uwagę na długi czas tworzenia kopii zapasowych, podczas gdy 58% z nich dostrzega problemy także z odtwarzaniem danych z kopii.
Obie te trudności można pokonać, stosując nowoczesne systemy backupu w warstwie sprzętowej i programowej. Każde z takich rozwiązań znacznie ogranicza czas tworzenia kopii zapasowych, np. przez kopiowanie tyl-ko tych części danych, które uległy zmianie, oraz sprawia, że proces ich odtwarzania jest bardziej efektywny. Obecnie wykorzystywane rozwiązania backupu umożliwiają przywraca-nie danych na dowolnym poziomie granulacji (maszyna wirtualna, wolumen dyskowy, fol-der, plik) oraz odtwarzanie plików do kilku wcześniejszych wersji, także samodzielnie przez pracowników.
Co czwarta ankietowana osoba za najwięk-szą trudność z zabezpieczaniem danych uzna-ła ograniczone zasoby dyskowe (storage). Problemy te wydają się uzasadnione
Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw
Michał Strzyżewski, menedżer Obszaru IT, BCC Data Centers
Zagrożenia z obszaru bezpieczeń-stwa informacji wskazane przez ankietowanych jako najważniejsze są zgodne z naszymi doświadcze-niami. Do tego zagadnienia warto podejść kompleksowo: zaczynając od audytów, w których wyniku zo-staną wdrożone odpowiednie roz-wiązania chroniące przed atakami i porządkujące obszary dostępu do danych, poprzez wykorzystanie procedur i najlepszych spraw-dzonych praktyk (np. zebranych w bibliotece ITIL), aż do zapew-nienie redundancji na różnych poziomach, włącznie z zapasowym CPD. Dlatego zapewniamy naszym klientom zarówno bezpieczną in-frastrukturę CPD, jak i usługi zwią-zane z wdrożeniem, utrzymaniem bądź audytem istniejących rozwią-zań bezpieczeństwa – dzielimy się naszymi eksperckimi kompetencja-mi i doświadczeniem.
presji, stosowanie mechanizmów deduplikacji oraz wynajem przestrzeni dyskowej w chmu-rze obliczeniowej.
Chmura umożliwia składowanie kopii w bezpiecznym centrum danych poza siedzibą przedsiębiorstwa, zapewniając praktycznie nieograniczoną przestrzeń dyskową na wła-sne archiwa, brak konieczności inwestycji w pamięć masową oraz unikalny model rozli-czeń oparty na płaceniu wyłącznie za faktycz-nie wykorzystane zasoby.
Zarządzanie kopiamiWyniki badania przeprowadzonego przez Computerworld we współpracy z BCC Data Centers pokazują wysoką świadomość osób odpowiedzialnych za systemy IT dużych przedsiębiorstw i korporacji w obszarze zarządzania kopiami zapasowymi. Aż 87% ankietowanych deklaruje, że kopie zapasowe wykonywane w firmie przechowywane są w innym miejscu niż powstały, choć 13% osób z tej grupy jasno wskazuje, że dotyczy to wy-łącznie danych o znaczeniu krytycznym.
Z drugiej strony, w co dziesiątej firmie ko-pie zapasowe przechowywane są w tym sa-mym miejscu, w którym powstają. Podejście to jest sprzeczne z ogólnymi zasadami zarzą-dzania backupem i archiwizacją danych, a za głównego winowajcę uznaje się standardowo „brak możliwości technicznych”.
Z uwagi na fakt, że przewożenie taśm do in-nej lokalizacji jest kłopotliwe, menedżerowie IT muszą poszukać takich rozwiązań technolo-gicznych, które zautomatyzują
26 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
w kontekście dynamicznego wzrostu ilości da-nych przetwarzanych w przedsiębiorstwach, ale także konieczności ich przechowywania przez długi czas (np. logi). Sposobem na wy-eliminowanie tych trudności może być wdra-żanie nowych, bardziej pojemnych macierzy dyskowych i nowoczesnych technologii kom-
Czy firma napotyka trudności w związku z zabezpieczaniem danych?
Trudności przedsiębiorstw związane z zabezpieczaniem danych
Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw — ujęcie według sektorów gospodarki
BranżaKradzież wrażliwych
danych (np. klientów)Kradzież know-how
Przestoje w dostępie
do firmowych danych
bądź aplikacji
Nieuwaga i/lub
brak świadomości
zagrożeń ze strony
pracowników
Utrata danych
wskutek wypadku
losowego
Administracja publiczna/Służby mundurowe 18% 0% 45% 18% 18%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 28% 6% 47% 6% 13%
Farmacja/Służba zdrowia/Opieka społeczna 42% 0% 33% 17% 8%
Finanse/Bankowość/Ubezpieczenia 44% 7% 42% 2% 5%
FMCG/Dystrybucja/Handel 20% 5% 50% 10% 15%
Media/Reklama/Wydawnictwa/Drukarnie 33% 8% 33% 25% 0%
Przemysł/Produkcja/Wydobycie 14% 7% 50% 14% 14%
Transport/Spedycja/Logistyka 12% 0% 59% 12% 18%
Pozostałe firmy 24% 11% 41% 14% 11%
27luty 2015
procesy zarządzania kopiami w organizacji. Do tych rozwiązań należą m.in. replikacja da-nych do zapasowego centrum lub składowa-nie kopii i archiwów w chmurze obliczeniowej. W każdym przypadku zarządzanie kopiami zapasowymi powinno być elementem szer-szej strategii zapewnienia ciągłości działania przedsiębiorstwa, która obejmuje również systemy wysokiej dostępności oraz zapasowe centra danych gotowe do przejęcia funkcji podstawowego centrum podczas awarii.
Ataki siecioweKwestie związane z atakami sieciowymi na przedsiębiorstwa i instytucje publiczne niezmiennie pozostają tematem tabu. 40% ankietowanych osób odmówiło odpowiedzi na pytanie, czy w ciągu ostatniego roku ich firma miała do czynienia z naruszeniem bezpie-czeństwa ze strony hakerów. Kolejnych 31% respondentów swoją wypowiedź zakończyło lakonicznym: „nie wiem”. Z pewnością w tej grupie menedżerów IT znajdują się osoby, które rzeczywiście nie mają wystarczającej wiedzy na temat występujących w firmie in-cydentów bezpieczeństwa, np. z racji na inny obszar czy charakter pracy, choć dla części z nich stwierdzenie: „nie wiem”, mogło być również sposobem na uniknięcie odpowiedzi na tak postawione pytanie.
Wśród osób, które zdecydowały się odpowiedzieć na pytania dotyczące naruszeń bezpieczeństwa w swych organizacjach, najczęstsze wskazania padały na ataki so-cjotechniczne (35% respondentów) oraz ataki mające zaburzyć pracę firmy (32%).
Wiadomo, że najsłabszym ogniwem każdego systemu zabezpieczeń pozostaje człowiek, a zależność ta jest powszechnie wykorzystywana przez atakujących – czasem bezpośrednio, ale także jako pomost do bar-dziej wyrafinowanych ataków na techniczne zabezpieczenia aplikacji i danych.
Drugą kategorię zagrożeń stanowią ataki mające na celu zaburzyć pracę firmy. Ataki typu DDoS są relatywnie łatwe do przeprowa-dzenia w porównaniu z łamaniem zabezpieczeń systemów IT stosowanych w dużych przedsię-biorstwach i korporacjach. Ataki skierowane na unieruchomienie usługi lub ograniczenie dostępu do zasobów IT wykorzystywane są do szantażowania firm w celu wyłudzenia okupu. Mogą być także stosowane do zdyskredytowa-nia firmy w oczach jej kontrahentów i klientów.
Wyniki ankiety wskazują na częste naru-szenia bezpieczeństwa za strony hakerów
próbujących dokonać kradzieży danych (30%) oraz kradzieży tożsamości (24%). W ostatnim roku najmniej ataków związa-nych było ze szpiegostwem przemysłowym (5%) oraz z naruszeniami bezpieczeństwa spowodowanymi chęcią sprawdzenia się atakujących (19%). Stanowi to potwierdze-nie tezy, że obecne ataki skierowane są przede wszystkim na uzyskanie korzyści finansowych, choć równie dobrze mogą być inspirowane działaniami agencji rządowych (wykradzenie danych Sony Pictures, ataki na instalacje przemysłowe Iranu), czy też oddolnymi inicjatywami prowadzonymi przez grupy pokroju Anonymous, sprzeciwiające się ograniczaniu wolności obywatelskich i korupcji.
Czy w ciągu ostatnich 12 miesięcy Państwa firma miała do czynienia z naruszeniami bezpieczeństwa ze strony hakerów?
Czy tworzone przez Państwa kopie zapasowe odseparowane są od miejsca, w którym powstały (np. replikacja, przewożenie taśm)?
Typy naruszeń bezpieczeństwa w firmach
Próby kradzieży
danych
Próby kradzieży
tożsamości
Szpiegostwo
przemysłowe
Ataki socjotech-
niczne
Ataki mające
zaburzyć pracę
firmy
Złamanie firmowych
zabezpieczeń dla
sprawdzenia się
Liczba wskazań 11 9 2 13 12 7
Procent respondentów, który wskazał taką odpowiedź 30% 24% 5% 35% 32% 19%