Raport. Bezpieczeństwo infrastruktury IT w polskich organizacjach

BEZPIECZEŃSTWO INFRASTRUKTURY IT W POLSKICH ORGANIZACJACHPRIORYTETY • INWESTYCJE • WYZWANIA • ZAGROŻENIA

CZER

WIEC 2011

RA

PORT M

AGAZYN

U M

ENEDŻERÓ

W I IN

FORM

ATYKÓW

WW

W.COM

PUTERWORLD.PL

LUTY 2015

PA R T N E R B A DA N I A

SPIS TREŚCI

Strona 3 ZAWARTOŚĆ RAPORTU BEZPIECZEŃSTWO INFRASTRUKTURY IT

Strona 4UCZESTNICY BADANIA

Badane przedsiębiorstwa w ujęciu terytorialnymPerspektywa branżowa

Strona 6 MODELE UTRZYMANIA

I WYKORZYSTANIA INFRASTRUKTURY ITZastosowania infrastruktury IT

Strona 10 PRIORYTETY BIZNESOWE I INWESTYCYJNE

Plany inwestycyjneSposoby modernizacji IT Powody inwestycji w IT

Priorytety biznesoweKnow-how

Strona 16 ZAPLECZE INFRASTRUKTURY BEZPIECZEŃSTWA

W FIRMACH: STAN POSIADANIA I PLANY ROZWOJUAudyty bezpieczeństwa

Poszukiwanie podatnościPolityki bezpieczeństwa w polskich organizacjach

Perspektywa branżowaArchiwizacja i kopie bezpieczeństwa

Testy odtworzenioweBezpieczny ruch sieciowy

Strona 24 ZAGROŻENIA I WYZWANIA

Hierarchia istotności zagrożeńKopie zapasowe

Zarządzanie kopiamiAtaki sieciowe

2 luty 2015

PARTNER BADANIA

ZAWARTOŚĆ RAPORTU

Wielkie i małe firmy, poszczególne branże i cała gospodarka, a także kolejne instytucje państwowe i samorządowe poprawiają swoją efek-tywność i konkurencyjność przy wsparciu nowoczesnych technologii informacyjnych. Ceną postępującego wzrostu znaczenia infrastruktu-ry teleinformatycznej w tych wszystkich organizacjach jest koniecz-ność zapewnienia jej wydajnego, nieprzerwanego działania, a także bezpieczeństwa danych.

Przygotowany przez Computerworld we współpracy z BCC Data Centers raport „Bezpieczeństwo infrastruktury IT w polskich orga-nizacjach” to kompleksowy opis rzeczywistego stanu i perspektyw rozwoju infrastruktury krytycznej wśród kluczowych, największych przedsiębiorstw działających w Polsce.

W raporcie znajdą Państwo informacje na temat priorytetów biznesowych i zaplecza, jakie stoją za krytyczną infrastrukturą IT w polskich firmach, różnych modeli jej utrzymywania i wykorzy-stywania, a także zagrożeń i wyzwań, z którymi muszą zmierzyć się osoby odpowiedzialne za funkcjonowanie informatyki w firmach i instytucjach.

Zapoznając się z raportem, będą Państwo mieli okazję dowiedzieć się między innymi:

• jakie elementy bezpieczeństwa infrastruktury teleinformatycznej działają najczęściej w polskich organizacjach, a które będą dopiero wdrażane;

• jak kształtują się plany inwestycyjne polskich firm w zakresie rozwoju infrastruktury IT;

• jakie priorytety biznesowe wiązane są z prawidłowym działaniem zaplecza infrastruktury krytycznej;

• jak kształtują się powyższe czynniki w zależności od sektorów gospodarki oraz wielkości organizacji.

BEZPIECZEŃSTWO INFRASTRUKTURY IT: FUNDAMENT FUNKCJONOWANIA FIRM I INSTYTUCJI

PARTNER BADANIA

REDAKCJA02—092 Warszawa, Żwirki i Wigury 18a, tel. 22 3217800, faks 22 3217888e-mail: [email protected], www.computerworld.pl

REDAKTOR NACZELNYTomasz Bitner – 22 3217807

ZESPÓŁ Dorota Bogucka – 22 3217820Konrad Karczewski – 22 3217997Jerzy Krupiński – 22 3217731Marcin Marciniak – 22 3217827Piotr Pietruszyński – 22 3217725Danuta Sass – 22 3217805

WSPÓŁPRACOWNICYAndrzej Gontarz, Sławomir Kosieliński, Piotr Kowalski, Artur Pęczak, Bogdan Pilawski, Piotr Rutkowski

KONFERENCJE COMPUTERWORLDSebastian Watras – 22 3217798Magdalena Szczodrońska – 22 3217935Katarzyna Kania – 22 3217912Łukasz Grabczyński – 22 3217988Renata Grabowiec – 22 3217744Aleksandra Zygarska – 22 3217872

CUSTOM PUBLISHINGPaweł Choiński – 22 3217711

OPRACOWANIE GRAFICZNESławomir KrajewskiPiotr Rodzeń

BIURO REKLAMY I MARKETINGURecepcja 22 3217772e-mail [email protected]

Marcin Renduda – 22 3217915 Włodzimierz Duszyk – 22 3217870Agata Goździk – 22 3217830Magdalena Mieczkowska – 22 3217890Beata Michalak – 22 3217906Grażyna Skibniewska – 22 3217895Marcin Tyborowski – 22 3217854 Daniel Rosiczka – 22 3217899

PRODUKCJAMarzena Samsel – kierownik – 22 3217860Małgorzata Majer – 22 3217861

DZIAŁ PRENUMERATYTel. +48 22 3217777e-mail: [email protected] lub [email protected]://www.pcworld.pl/kiosk

Prenumerata realizowana przez: Garmond Press SATel./faks – 22 [email protected]

Prenumerata realizowana przez RUCH SAZamówienia na prenumeratę w wersji papieroweji na e-wydania można składać bezpośrednio,na stronie: www.prenumerata.ruch.com.ple-mail: [email protected] lubkontaktując się z Telefonicznym Biurem ObsługiKlienta pod numerem: 801 800 803 lub 22 717 59 59– czynne w godzinach 7.00 – 18.00.

Tekstów niezamówionych redakcja nie zwraca, zastrzegając sobie prawo ich skracania i opracowywania. Redakcja nie ponosi odpowiedzialności za treść reklam.Adresy poczty elektronicznej pracowników redakcji i wydawnictwa IDG Poland SA tworzone są według wzoru:Imię[email protected]

WYDAWNICTWOInternational Data Group Poland SA

PREZES ZARZĄDUPiotr Wtulich

WYDAWCAJerzy Michalski

COMPUTERWORLD

W badaniu Computerworld i BCC Data Centers udział wzięło 128 dyrektorów IT i szefów firm z sektora dużych przedsiębiorstw i korporacji. Respondenci reprezentowali największe firmy z kilkunastu różnych branż.

Uczestnicy badania

pojęcie „infrastruktury krytycznej”, wskazu-jącej m.in. podmioty o kluczowym znaczeniu z punktu widzenia funkcjonowania organów państwa czy działania gospodarki.

Bezpieczeństwo infrastruktury IT jest szczególnie kluczowe dla organizacji, których działalność biznesowe oparta jest na dobrach niematerialnych, takich jak polisy ubezpiecze-niowe, kredyty, bazy kontaktów, czy też usług związanych z gromadzeniem danych. Dla tego rodzaju usług prawidłowe działanie zaple-cza bazodanowego oraz aplikacyjnego jest krytyczne. Niedostępność systemów IT może sprawić, że klienci utracą zaufanie do przed-siębiorstwa, a tym samym pozycja biznesowa danej firmy osłabnie.

Zestawiając branże respondentów z wiel-kością reprezentowanych przez nich firm, można zauważyć, że największą reprezen-tację firm powyżej 1 tys. pracowników mają branże usług komunalnych oraz transportu i spedycji. Ich zespoły są szczególnie duże, biorąc pod uwagę skalę działalności oraz zasięg, na jakim oferują usługi. W przypadku sektora przemysłu, przetwórstwa oraz wydo-bycia istotną niekiedy część pracy wykonują maszyny, stąd wśród respondentów tej bran-

4 luty 2015

BEZPIECZEŃSTWO INFRASTRUKTURY IT

Branża>1000

pracowników

<1000

pracownikówbrak danych

Razem

odpowiedzi

Finanse/Bankowość/Ubezpieczenia 15 63% 9 38% 0 0% 24

Energia/Gaz/Woda/Ciepło/Oczyszczanie 15 71% 6 29% 0 0% 21

Przemysł/Produkcja/Wydobycie 8 50% 8 50% 0 0% 16

FMCG/Dystrybucja/Handel 9 64% 5 36% 0 0% 14

Transport/Spedycja/Logistyka 8 73% 3 27% 0 0% 11

Pozostałe sektory 27 64% 10 24% 5 12% 42

Razem odpowiedzi 82 64% 41 32% 5 4% 128

Badani wg wielkości firmy – ujęcie sektorowe

dominuje Gdańsk, zaś na Śląsku Wrocław, choć z uwagą, że rozmieszczenie terytorialne przed-siębiorstw jest tam bardziej równomierne niż na Mazowszu. Łącznie respondentów wywodzą-cych się z różnych rejonów Śląska było 12%.

Perspektywa branżowaRespondenci zaliczani byli w poczet jednego z trzynastu sektorów gospodarki. Największy udział wśród ankietowanych mieli przedstawicie-le sektorów, w których dominują duże przedsię-biorstwa, a więc: energetyka i utilities, finanse, bankowość i ubezpieczenia, a także przemysł i produkcja oraz FMCG i handel. Stosunkowo dużo uczestników badania wywodziło się także z sektora transportu, spedycji i logistyki.

Zaplecze IT w poszczególnych branżach peł-ni szereg funkcji, niekiedy różniących się dia-metralnie, w zależności od charakteru i cech oferowanych przez daną firmę produktów i usług. Ogólna obserwacja wskazuje, że bez-pieczeństwo infrastruktury teleinformatycznej jest proporcjonalnie tym bardziej istotne, im większe jest znaczenie danej organizacji dla całości krwiobiegu gospodarczego. Materię tę szerzej opisuje Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, definiująca

Ponad połowa badanych wywodziła się z firm zatrudniających ponad 2 tys. pracowników. Kolejnych 45% badanych to przedstawiciele przedsiębiorstw o zespołach pracowników li-czących od 250 do 2 tys. osób. Pozostała grupa, którą stanowiły firmy zatrudniające poniżej 250 pracowników, reprezentowała wynikającą z rozporządzenia Komisji Europejskiej (WE) 800/2008 granicę (główną, choć nie jedyną), oddzielającą przedsiębiorstwa określane jesz-cze jako średnie od dużych.

Badane przedsiębiorstwa w ujęciu terytorialnymUkazanie ankietowanych w perspektywie tery-torialnej, w podziale na województwa i miasta, oddaje charakterystyczne cechy geograficznego rozmieszczenia podmiotów polskiej gospodarki, potwierdzając właściwy dobór próby. Łatwo do-strzec koncentrację badanych przedsiębiorstw na Mazowszu, Śląsku (zwłaszcza Dolnym Śląsku) oraz Pomorzu.

Najsilniejszym ośrodkiem na Mazowszu pozostaje oczywiście Warszawa, skupiająca aż 37% wszystkich respondentów. Na Pomorzu

5luty 2015

Badani wg wielkości firmy

Ankietowani w ujęciu sektorów gospodarki

Ankietowani w ujęciu terytorialnym wg miast

Warszawa 47 37%

Kraków 8 6%

Gdańsk 7 5%

Wrocław 6 5%

Łódź 5 4%

Katowice 3 2%

Pozostałe miasta 44 34%

Brak danych 8 6%

Suma końcowa 128 1

Finanse/Bankowość/Ubezpieczenia

24 19%

Energia/Gaz/Woda/Ciepło/Oczyszczanie

21 16%

Przemysł/Produkcja/Wydobycie

16 13%

FMCG/Dystrybucja/Handel 14 11%

Transport/Spedycja/Logistyka 11 9%

Farmacja/Służba zdrowia/Opieka społeczna

7 5%

Administracja publiczna/Służby mundurowe

6 5%

Media/Reklama/Wydawnictwa/Drukarnie

6 5%

Telekomunikacja/Internet/TV kablowa

5 4%

Edukacja/Szkolenia/Nauka 4 3%

Budownictwo/Nieruchomości 4 3%

Konsulting/Doradztwo/Prawo/Audyt

4 3%

IT – firmy informatyczne 2 2%

Brak danych 4 3%

Suma końcowa 128 100%

ży udział zespołów powyżej 1 tys. pracowni-ków był niższy. Wskazania deklarujące powy-żej 2 tys. pracowników w ramach tej branży pochodziły od respondentów bardzo dużych firm, szeroko eksportujących swoje wyroby poza granice Polski.

Dobrana próba pozwoliła sprawdzić, jak do kwestii bezpieczeństwa infrastruktury telein-formatycznej i koniecznych do jej zapewniania nakładów podchodzą największe polskie organizacje. Mają one największe możliwości inwestycyjne, dzięki czemu są w stanie spraw-dzić, jakie technologie znajdują autentyczne zastosowania i zrozumienie na rynku.

Ankietowani w ujęciu terytorialnym wg województw

Modele utrzymania firmowej infrastruktury IT

96% dużych przedsiębiorstw utrzymuje własną infrastrukturę centrum danych do uruchamiania aplikacji biznesowych oraz przechowywania danych i kopii zapasowych. 33% wspomaga się outsourcingiem, wynajmując część zasobów IT od zewnętrznych dostawców.

Modele utrzymania i wykorzystania infrastruktury IT

dostawców, natomiast całościowe przej-ście do modelu outsourcingu deklaruje 6% ankietowanych. Pokazuje to, że spośród ankietowanych stosunkowo niewielka grupa przedsiębiorstw w całości powierza swo-je systemy i infrastrukturę zewnętrznym, specjalizowanym dostawcom. Można z tego wnioskować, że rynek dla świadczenia usług outsourcingowych w naszym kraju nie jest jeszcze nasycony.

Wyniki badania pokazują, że wynajem in-frastruktury IT w modelu outsourcingu cieszy się większą popularnością wśród firm za-trudniających do 1000 osób niż największych przedsiębiorstw i korporacji działających na polskim rynku. W pierwszej grupie firm 55% utrzymuje infrastrukturę IT w całości po stronie organizacji, a pozostałe 45% korzysta w części lub całości z zasobów wynajmo-wanych u zewnętrznych dostawców. Z kolei w drugiej grupie przedsiębiorstw proporcje te kształtują się w stosunku 66% do 34% na rzecz własnej infrastruktury IT.

Wystarczająca liczba uzyskanych odpo-wiedzi pozwoliła nam na przygotowanie mia-rodajnych statystyk, dotyczących sposobów utrzymania infrastruktury IT w przedsiębior-stwach w ujęciu według sektorów gospodarki. Z zebranych informacji wynika, że wśród bada-

6 luty 2015


Większość przedsiębiorstw, które wzię-ły udział w badaniu, dysponuje własnym centrum danych, w którym składuje dane i uruchamia swoje aplikacje. Spośród 128 ankietowanych przedsiębiorstw 80 utrzymuje własną firmową infrastrukturę IT. Dalsza 1/3 organizacji wspomaga się outsourcingiem, wynajmując część zasobów od zewnętrznych

7luty 2015

nych z własnego centrum danych najczęściej korzystają firmy z branży transportowo-logi-stycznej (73%) oraz energetycznej i mediów komunalnych (71%), podczas gdy wynajmem

Tomasz Wawrzonek,

wicedyrektor IT, BCC Data Centers

Warto zwrócić uwagę, że badanie pokazuje, iż z outsourcingu infra-struktury IT najczęściej korzystają przedsiębiorstwa z sektorów, które mają najwyższe wymagania dotyczące bezpieczeństwa i dostępności systemów centralnych. W takim modelu łatwiej jest określić odpowie-dzialność kontraktową i jasne warunki SLA niż w przypadku współpracy z własnym zespołem IT.

Modele utrzymania firmowej infrastruktury IT — ujęcie według wielkości przedsiębiorstw

W całości po stronie

organizacji — we własnym data center

Częściowo po stronie organizacji, częściowo w modelu outsourcingu

Outsourcing — hosting lub kolokacja

Outsourcing w modelu chmury obliczeniowej

poniżej 1000 55% 38% 7% 0%

powyżej 1000 66% 29% 4% 1%

Modele utrzymania firmowej infrastruktury IT — ujęcie według sektorów gospodarki

W całości po stronie organizacji — we własnym

data center

Częściowo po stronie organizacji, częściowo w modelu outsourcingu

Outsourcing — hosting lub kolokacja

Outsourcing w modelu chmury obliczeniowej

Energia/Gaz/Woda/Ciepło/Oczyszczanie 71% 14% 14% 0%

Finanse/Bankowość/Ubezpieczenia 42% 54% 4% 0%

FMCG/Dystrybucja/Handel 43% 50% 7% 0%

Przemysł/Produkcja/Wydobycie 56% 38% 6% 0%

Transport/Spedycja/Logistyka 73% 27% 0% 0%

Pozostałe firmy 73% 23% 2% 2%

dodatkowych zasobów IT w modelu outsourcin-gu najczęściej wspomagają się przedsiębior-stwa z sektora finansowo-ubezpieczeniowego (54%) oraz handlu i dystrybucji (50%).

8 luty 2015


Zastosowania infrastruktury ITSpośród 122 firm, które utrzymują infrastruktu-rę IT w całości lub w części po stronie organiza-cji, aż 91% robi to w celu utrzymywania na niej krytycznych aplikacji biznesowych, a kolejne 74% (ankietowani mogli tutaj wskazać kilka odpowiedzi) wykorzystuje własne centra danych również do dostarczania pozostałych aplikacji, o mniejszym znaczeniu z perspektywy zachowa-nia ciągłości działania przedsiębiorstwa.

Firmowe zasoby IT wykorzystywane są także do składowania danych (68 odpowiedzi) i prze-

chowywania kopii zapasowych (84 odpowiedzi). Co warte odnotowania, mniej więcej połowa przedsiębiorstw dysponuje własnym zapaso-wym centrum danych oraz stosuje redundantne zabezpieczenia systemów IT po stronie organi-zacji.

52% respondentów, którzy korzystają z out-sourcingu infrastruktury IT, robi to, aby utrzy-mywać w niej krytyczne aplikacje biznesowe, podczas gdy 63% z nich wykorzystuje zewnętrz-ne zasoby informatyczne do uruchamiania po-zostałych aplikacji biznesowych. To pokazuje, że firmy wciąż utrzymują kluczowe aplikacje we własnej serwerowni, jednocześnie przenosząc

Jakub Żurek, menedżer ds. sprzedaży, BCC

Nasze doświadczenia pokazują, że najczęściej „przygodę” z outsourcingiem IT firmy rozpoczynają od korzystania z usług zewnętrznego dostawcy serwisu www. Klienci oceniają jakość i niezawodność usług, z czasem nabierając do nich zaufania. W naszym przypadku większość należących do klientów systemów, utrzymywanych w BCC Data Centers to systemy centralne, krytyczne dla działania przedsiębiorstw. Zapewnienie podobnego poziomu bezpieczeństwa na własnej infrastrukturze często okazuje się kosztowo nieuzasadnione.

Sposoby wykorzystania infrastruktury IT posiadanej po stronie organizacji

Liczba wskazańProcent respondentów,

którzy wskazali taką odpowiedź

Utrzymywanie krytycznych aplikacji biznesowych 111 91%

Utrzymywanie aplikacji innych niż krytyczne 90 74%

Przechowywanie kopii zapasowych 84 69%

Storage 68 56%

Redundantne zabezpieczenia 63 52%

Zapasowe data center 56 46%

Świadczenie usług w modelu chmurowym (IaaS, PaaS, SaaS) 19 16%

Inne 4 3%

9luty 2015

do zewnętrznego centrum danych (hosting, ko-lokacja) systemy i dane o mniejszym znaczeniu biznesowym. 1/5 firm z tej grupy wykorzystuje outsourcing w zakresie zapasowego centrum danych.

Z badania wyłania się umiarkowane zain-teresowanie przedsiębiorstw dostarczaniem biznesowi usług i zasobów w modelu chmury obliczeniowej. Usługi chmurowe (IaaS, PaaS, SaaS) świadczy jedynie 16% firm mających własne centrum danych i 17% przedsiębiorstw korzystających z outsourcingu zasobów IT.

Własne centra danych wykorzystywane są przez przedsiębiorstwa w szerszym zakresie niż zasoby wynajmowane w modelu outsourcingu.

Dariusz Drożdż,

menedżer Obszaru Technologii SAP, BCC

Niezależnie od sposobu utrzy-mania infrastruktury IT, z punktu widzenia biznesu najważniejszy jest nieprzerwany dostęp do in-formacji, które w systemach są przetwarzane i przechowywane, czyli dostępny i wydajny system. Narzędzia, jakie nas w tym wspo-magają, to rozwiązania zapew-niające zarówno wysoką dostęp-ność bieżących danych (klastry, konfiguracje na poziomie sieci, urządzeń i całych środowisk wirtualnych), odpowiednią wy-dajność (wydajna infrastruktura, przetwarzanie w pamięci), sys-temy kopii zapasowych, które szybko i bez nadmiernego ob-ciążenia (np. dzięki deduplikacji) pozwalają wykonać kopie danych nawet do fizycznie odległych CPD, jak i zapasowe centra da-nych wraz z mechanizmami i pro-cedurami DR (Disaster Recovery). W BCC Data Centers zapewniamy redundancję na różnych pozio-mach, korzystając z infrastruk-tury dwóch fizycznie odległych serwerowni.

Na pytanie, do czego używana jest infrastruktu-ra posiadana po stronie organizacji, responden-ci podawali przeciętnie cztery odpowiedzi, pod-czas gdy średnia liczba odpowiedzi na pytanie dotyczące sposobów wykorzystania zasobów wynajmowanych na zewnątrz wyniosła 2,4.

Wyniki badania nasuwają wniosek, że większość procesów biznesowych przedsiębiorstw realizowana jest z wykorzystaniem własnych centrów danych, podczas gdy systemy i dane wynoszone są na zewnątrz w przypadku, gdy ma to uzasadnienie ekonomiczne lub gdy firma nie dysponuje da-nym zasobem, np. zabezpieczeniami nadmiaro-wymi.

Sposoby wykorzystania infrastruktury IT wynajmowanej w modelu outsourcingu

Liczba wskazańProcent respondentów,

którzy wskazali taką odpowiedź

Utrzymywanie aplikacji innych niż krytyczne 30 63%

Utrzymywanie krytycznych aplikacji biznesowych 25 52%

Przechowywanie kopii zapasowych 17 35%

Redundantne zabezpieczenia 13 27%

Storage 12 25%

Zapasowe data center 10 21%

Świadczenie usług w modelu chmurowym (IaaS, PaaS, SaaS) 8 17%

Inne, jakie? 1 2%

Kluczem do sukcesu przedsiębiorstw jest zrozumienie strategicznej roli działów IT w kreowaniu trwałej przewagi konkurencyjnej. To może być główny powód, dla którego 89,1% ankietowanych firm zamierza unowocześnić swoje centra danych w najbliższej przyszłości, przy czym ponad połowa z nich planuje to zrobić w ciągu nadchodzących 12 miesięcy.

Priorytety biznesowe i inwestycyjne

Z roku na rok rosną wymagania biznesu formułowane wobec IT. Odpowiedzią na te wyzwania w dużej mierze są najnow-sze technologie i trendy w informatyce, takie jak: wirtualizacja, infrastruktura definiowana programowo, chmury ob-liczeniowe oraz systemy analityczne i Big Data. W tym kontekście szczegól-nego znaczenia nabiera hasło „stała jest tylko zmienność”. Pewne jest, że f irmy i instytucje publiczne, które nie znajdą środków na inwestycje w IT, zo-staną daleko w tyle za konkurencją.

Ta część raportu poświęcona jest priorytetom przedsiębiorstw w za-kresie inwestycji w obszarze IT. Na kolejnych stronach spróbujemy odpo-wiedzieć na pytania: czy i kiedy f irmy planują prowadzenie zmian w infra-strukturze centrów danych, jakie są powody, dla których zamierzają podjąć się tych wyzwań oraz z jakimi wyzwa-niami, kierowanymi ze strony biznesu muszą zmagać się szefowie działów IT ankietowanych organizacji?

Plany inwestycyjneSpośród 128 przedsiębiorstw, które wzięły udział w badaniu, 89,1% planuje inwestycje w infrastrukturę teleinfor-matyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT. Ponad połowa z nich deklaruje chęć podjęcia inwestycji w ciągu najbliż-szych 12 miesięcy, podczas gdy kolejne

10 luty 2015


11luty 2015

46,5% firm wyraźnie wskazuje na ko-nieczność modernizacji swoich centrów danych nie później niż za dwa lata.

Uwagę zwraca aż 14 firm, których przedstawiciele jawnie zadeklarowa-li brak inwestycji w infrastrukturę IT w najbliższej przyszłości. Zaprzestanie rozwoju środowisk IT w dłuższym hory-zoncie czasowym prowadzi do sytuacji, w której mamy do czynienia z przesta-rzałymi systemami i technologiami, któ-re wydatnie ograniczają lub uniemożli-wiają szybkie i efektywne reagowanie na zmieniające się otoczenie i wyma-gania biznesu. Z jednej strony może to oznaczać pewną krótkowzroczność oraz brak świadomości osób zarządzających tymi firmami co do roli IT w funkcjono-waniu współczesnych przedsiębiorstw. Z drugiej strony możliwe jest, że dekla-racje wskazujące na brak planowanych inwestycji w infrastrukturę IT są wyni-kiem niedawno zakończonych projek-tów modernizacyjnych w tym zakresie.

Brak inwestycji w infrastrukturę IT zadeklarowały zarówno duże f irmy, za-trudniające do 1000 osób (17% z nich nie będzie inwestować), jak i najwięk-sze przedsiębiorstwa oraz korporacje, w których pracuje ponad 1000 osób (9% odpowiedzi na nie).

Najwięcej organizacji planujących inwestycje w IT możemy zauważyć w sektorze usług transportowych i logi-stycznych (100% odpowiedzi: tak), do-stawców energii i mediów komunalnych (95%) oraz w przemyśle (94%). To zde-cydowanie więcej niż średnia dla pozo-stałych sektorów gospodarki łącznie, innych niż wymienione w tabeli, która wyniosła zaledwie 83%. W przypadku branży transportowo-logistycznej po-wodem tak wysokiego zaangażowania w inwestycje w obszarze IT może być ogromna konkurencja. Na rynku utrzy-mają się tylko te f irmy, które będą w stanie jak najlepiej wykorzystać posiadane zasoby, np. f lotę pojazdów, oraz usprawnią wymianę informacji z kontrahentami, wdrażając i rozwijając swoje systemy EDI.

Sposoby modernizacji ITInwestycje w IT to konieczność, a nie alternatywa. Pytanie brzmi więc nie tylko czy, ale i jak przedsiębiorstwa

zamierzają modernizować posiadaną infrastrukturę IT?

Na tak zadane pytanie 69,3% de-cydentów, którzy planują inwestycję w infrastrukturę IT, odpowiedziało, że zamierza rozbudowywać istniejącą serwerownię. Z kolei prawie co ósma z ankietowanych firm zamierza zbudo-wać nowe centrum danych – niekiedy łatwiej i efektywniej kosztowo jest zaprojektować i wdrożyć infrastrukturę

Czy planują państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT?

W jakim czasie prowadzona będzie inwestycja?

Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT? — ujęcie według rozmiaru przedsiębiorstwa

Liczba zatrudnionych w przedsiębiorstwie Tak Nie

poniżej 1000 83% 17%

powyżej 1000 91% 9%

centrum danych (klasa Tier). Dotyczy to samej konstrukcji budynku (zewnętrz-nej i wewnętrznej), możliwości stwo-rzenia dróg transportowych i doprowa-dzenia systemów telekomunikacyjnych, ale także wdrożenia wymaganych sys-temów chłodzenia i wentylacji, energe-tycznych i ppoż.

Jeszcze kilka lat temu outsourcing, czyli wydzielenie wybranych funkcji ze struktury organizacyjnej w celu przekazania ich do wykonania innym, zewnętrznym podmiotom, traktowany był jako jeden ze szczególnie wartych uwagi sposobów na obniżenie kosztów i umożliwienie skupienia na f irmowym core business. Współczesne IT daje większe możliwości, np. przeniesienia nawet całej infrastruktury przedsię-biorstwa na zewnątrz, w tym do do-stępnej z dowolnego miejsca na świe-cie chmury obliczeniowej (model IaaS).

O ile gotowość na całkowite skorzy-stanie z usług zewnętrznych wyraża je-dynie 3 spośród 114 firm, o tyle możli-wość wsparcia własnych rozwiązań po-przez outsourcing aplikacji krytycznych rozważa już blisko 9% przedsiębiorstw planujących inwestycje w infrastruk-turę IT. Mówimy tutaj o firmach, które nie zdecydowały się modernizować lub budować nowej infrastruktury dla swo-jego centrum danych (w pytaniu badani mogli wybrać tylko jedną odpowiedź). Wynik ten pokazuje, że outsourcing usług i aplikacji nadal cieszy się spo-rym zainteresowaniem, a firmy gotowe są oddać swoje krytyczne dane i aplika-cje w ręce zewnętrznych podmiotów.

Powody inwestycji w ITKonieczność podniesienia wydajności f irmowych aplikacji oraz wyczerpywa-nie się posiadanych zasobów IT (np. dyskowych) to dwa najczęściej wy-mieniane powody planowanych inwe-stycji w infrastrukturę IT. Problem ten dotyczy odpowiednio 41,2% i 26,3% respondentów.

Można wskazać kilka powodów ta-kiej sytuacji. Wyraźnie zwiększa się liczba transakcji wykonywanych w sys-temach informatycznych. Przykładem tego jest wzrost liczby użytkowni-ków bankowości elektronicznej, jaki można zaobserwować na przestrzeni

12 luty 2015


IT od podstaw, niż modernizować jej przestarzałe elementy.

W szerszej perspektywie moderniza-cja istniejącej infrastruktury może być trudna lub niemożliwa do przeprowa-dzenia, jeśli chcemy zapewnić wymaga-ny poziom dostępności i niezawodności

Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem i dostępnością danych oraz systemów IT? — ujęcie według sektorów gospodarki

Branża Tak Nie

Energia/Gaz/Woda/Ciepło/Oczyszczanie 95% 5%

Finanse/Bankowość/Ubezpieczenia 92% 8%

FMCG/Dystrybucja/Handel 79% 21%

Przemysł/Produkcja/Wydobycie 94% 6%

Transport/Spedycja/Logistyka 100% 0%

Pozostałe firmy 83% 17%

Planowane sposoby modernizacji infrastruktury IT w przedsiębiorstwach

Rozbudowa już istniejącej serwerowni/data center 69,3%

Budowa nowej infrastruktury data center 12,3%

Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji krytycznych 8,8%

Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji innych niż krytyczne 3,5%

Całkowite przejście na usługi outsourcingowe 2,6%

Inne 3,5%

Powody planowania inwestycji w infrastrukturę IT

Konieczne jest podniesienie wydajności firmowych aplikacji 41,2%

Obecnie posiadane zasoby (np. storage) są na wyczerpaniu 26,3%

Obecnie posiadane systemy nie zapewniają dostatecznego poziomu dostępności 23,7%

Obecnie posiadane systemy nie zapewniają dostatecznego poziomu bezpieczeństwa 19,3%

Poprzez inwestycję chcemy ograniczyć koszty po stronie TCO 18,4%

Posiadamy przestarzałe systemy, które utraciły wsparcie producenta 14,9%

Inne 4,4%

13luty 2015

ostatnich kilku lat. Dodatkowo, przed-siębiorstwa coraz częściej mają do czynienia z nowym typem (nieustruktu-ryzowanych) danych, których przetwa-rzanie wymaga sporej mocy obliczenio-wej serwerów.

Zapotrzebowanie na przestrzeń dys-kową rośnie w dwucyfrowym tempie, a to oznacza konieczność zapewnienia nie tylko coraz większych pojemności dysków, ale także wydajniejszych, bardziej inteligentnych i niezawodnych systemów pamięci masowych, zdolnych obsłużyć coraz większe obciążenia ge-nerowane w centrach danych.

Wielu decydentów zwraca uwagę na kwestie dostępności i bezpieczeństwa posiadanej infrastruktury IT. 23,7% ankietowanych osób stwierdziło, że obecnie wykorzystywane systemy nie spełniają wymagania dotyczącego poziomu dostępności. Niewielu mniej, bo 19,3% respondentów uważa, że to samo dotyczy kwestii związanych ze stosowanymi zabezpieczeniami. Wśród innych powodów inwestycji w infrastrukturę IT respondenci wymieniali konieczność budowy zapasowego centrum danych (Disaster Recovery) oraz dywersyfikacji dostępu do usług i zasobów.

Z kolei co 7 ankietowany zauważa konieczność modernizacji infrastruktu-ry IT z uwagi na fakt posiadania prze-starzałych systemów, które utraciły wsparcie producenta. Dla przykładu,

14 lipca 2015 r. Microsoft zakończy wsparcie platformy Windows Server 2003, a to oznacza, że od tego mo-mentu nie będą wydawane nowe ak-tualizacje zabezpieczeń; zaprzestane zostanie również świadczenie wsparcia technicznego dla produktów z tej ro-dziny. Dla działów IT oznacza to także konieczność porzucenia przestarzałej 32-bitowej architektury, co wiąże się z zakupem nowych serwerów i oprogra-mowania.

W ujęciu według sektorów gospodar-ki da się zauważyć, że oprócz koniecz-ności podniesienia wydajności apli-kacji drugim największym problemem

Jakie są powody, dla których zamierzają Państwo podjąć inwestycje w infrastrukturę IT? — ujęcie według sektorów gospodarki

Etykiety wierszy

Posiadamy

przestarzałe

systemy, które

utraciły wsparcie

producenta

Obecnie po-

siadane systemy

nie zapewniają

dostatecz-

nego poziomu

dostępności

Obecnie po-

siadane systemy

nie zapewniają

dostatecz-

nego poziomu

bezpieczeństwa

Konieczne jest

podniesienie

wydajności fir-

mowych aplikacji

Poprzez

inwestycję chce-

my ograniczyć

koszty po stronie

TCO

Obecnie

posiadane

zasoby

(np. storage) są

na wyczerpaniu

Inne

Administracja publiczna/Służby mundurowe 0% 20% 20% 30% 20% 10% 0%

Energia/Gaz/Woda/Ciepło/Oczyszczanie 3% 10% 16% 29% 23% 16% 3%

Finanse/Bankowość/Ubezpieczenia 16% 19% 13% 29% 6% 13% 3%

FMCG/Dystrybucja/Handel 21% 7% 7% 29% 21% 14% 0%

Przemysł/Produkcja/Wydobycie 19% 24% 5% 43% 0% 10% 0%

Transport/Spedycja/Logistyka 6% 6% 11% 28% 11% 28% 11%

Pozostałe firmy 7% 20% 16% 18% 11% 25% 2%

Priorytety biznesowe formułowane przez biznes wobec IT

z samej infrastruktury IT, jak i czyn-ników zewnętrznych (np. ataki sie-ciowe) bezpośrednio przekładają się na straty f inansowe i niefinansowe, rozumiane np. jako spadek zaufania klientów do f irmy. Sam fakt, że pyta-liśmy o priorytety biznesowe formuło-wane oficjalnie bądź w praktyce, może być powodem przewagi argumentu najwyższej dostępności systemów nad optymalizacją kosztową nakładów na bezpieczeństwo.

Na drugim miejscu najczęściej wska-zywanych odpowiedzi znalazła się opty-malizacja kosztowa między nakładami na bezpieczeństwo, a jego faktycznym poziomem (28,1% odpowiedzi). Biznes liczy koszty i trudno spodziewać się, że kwestie ograniczania kosztów i kontroli wydatków ominą działy IT. W praktyce nie da się wprost określić, ile pieniędzy powinniśmy wydać na zapewnienie bez-pieczeństwa danych. Z tego względu ważne jest, aby każda złotówka została wydana właściwie, a poziom ochrony systemów i aplikacji został dostoso-wany do skali i wymagań konkretnego przedsiębiorstwa.

Na uwagę zwraca fakt stosunkowo niewielkiej liczby respondentów, dla których najważniejszym prioryte-tem biznesowym jest zachowanie jak najdalej posuniętej koncentracji na podstawowej działalności przedsię-biorstwa. W ten sposób odpowiedziało tylko 10 ze 128 przepytanych osób. Dla przedsiębiorstw bardziej znaczące są kwestie związane z dostępnością sys-temów i bezpieczeństwem danych, co

14 luty 2015


z jakim borykają się przedsiębiorstwa przemysłowe i wydobywcze jest brak dostatecznego poziomu dostępności systemów IT (24% sumy odpowiedzi udzielonych przez reprezentantów firm z danego sektora). Z kolei potrzebę wymiany przestarzałych systemów, które utraciły wsparcie producenta, zauważają dodatkowo respondenci reprezentujący sektor dóbr szybko zby-walnych i handlu, przemysł oraz sektor f inansowy (odpowiednio 21, 19 i 16%), podczas gdy administracja publiczna, branża FMCG oraz dostawcy energii i mediów komunalnych przez inwesty-cje w infrastrukturę IT chcą ograniczyć całkowite koszty utrzymania centrum danych.

Priorytety biznesoweNa przestrzeni lat zmieniła się rola IT jako działu, który wyznacza kie-runki rozwoju i pozwala osiągać cele biznesowe przedsiębiorstwa. Osoby odpowiedzialne za informatykę coraz częściej wchodzą w skład zarządów, a rolą menedżerów IT jest przekładanie wymagań biznesowych na wdrożenia technologiczne oraz możliwości tech-nologii na potencjał biznesowy.

Dostępność danych i aplikacji biz-nesowych to najważniejszy priorytet formułowany przez biznes w stosunku do IT. Taką opinię wyraża ponad jedna trzecia menedżerów i dyrektorów IT uczestniczących w badaniu. Po pierw-sze, systemy IT muszą zagwarantować ciągłość działania przedsiębiorstw, a każde przestoje wynikające zarówno

Priorytety biznesowe formułowane przez biznes wobec IT — ujęcie według sektorów gospodarki

Branża

Bezpieczeństwo

przechowywanych

danych

Optymalizacja kosztowa

między nakładami na

bezpieczeństwo a jego

faktycznym poziomem

Jak najwyższa

dostępność

danych i aplikacji

biznesowych

Wydajność

i skalowalność

zasobów

Możliwość zachowania

jak najdalej posuniętej

koncentracji na core

businessie organizacji

Inny

Energia/Gaz/Woda/Ciepło/Oczyszczanie 10% 48% 19% 14% 10% 0%

Finanse/Bankowość/Ubezpieczenia 17% 21% 46% 8% 4% 4%

FMCG/Dystrybucja/Handel 0% 14% 36% 14% 36% 0%

Przemysł/Produkcja/Wydobycie 19% 38% 44% 0% 0% 0%

Transport/Spedycja/Logistyka 0% 27% 27% 18% 0% 27%

Pozostałe firmy 7% 24% 43% 14% 5% 7%

Inne (5)

Nie mamy takich informacji po stronie firmy – będziemy musieli ją pozyskać lub uzupełnić (11)

Przeznaczeni do tego zadaniapracownicy są wysyłani naodpowiednie kursy i/lubszkolenia (48)

Odpowiednie know-how mamypo stronie firmy (53)

Całościową ofertę budowy otrzymaliśmy od dostawcy IT (12)

Skąd czerpią Państwo wiedzę na temat projektowania centrum przetwarzania danych?

15luty 2015

wskazuje realne oczekiwania biznesu, pokazując zarazem dostawcom, na co ich klienci zwracają uwagę podczas wy-boru oferty rozwoju zaplecza IT.

Mimo że respondenci zostali popro-szeni o wskazanie pojedynczej odpo-wiedzi (w domyśle: najważniejszego priorytetu), wielu z nich zwracało uwa-gę, że presja na IT ze strony biznesu wynika ze wszystkich przedstawionych w odpowiedziach możliwości – częścio-wo lub w całości.

Gdyby na kwestie priorytetów spoj-rzeć przez pryzmat f irm działających w poszczególnych branżach, to okaże się, że poza kwestiami związanymi z dostępnością danych i aplikacji biz-nesowych najwięcej uwagi f irmy po-święcają zapewnieniu bezpieczeństwa przechowywanych danych (przemysł, f inanse) oraz optymalizacji kosztowej nakładów na bezpieczeństwo (ener-getyka i media komunalne, przemysł). Z kolei branża FMCG i dystrybucji, jako jedyna z całego zestawienia, duży na-cisk kładzie na możliwość skupienia się na prowadzonym biznesie zamiast na stosowanych rozwiązaniach i syste-mach informatycznych.

Know-how57% respondentów, którzy zdecydowali się odpowiedzieć na nasze pytanie, twierdzi, że wiedzę na temat projekto-wania centrum danych ma po stronie f irmy, a kolejne 51,6% ankietowanych

uważa natomiast, że gdy nadejdzie czas na modernizację infrastruktury f irmy, wyznaczeni do tego zadania pra-cownicy zostaną wysłani na szkolenia lub kursy, aby samodzielnie planować i wdrażać projekty rozwoju IT w przed-siębiorstwie.

Wśród innych odpowiedzi respon-denci jako sposób na pozyskiwanie wiedzy wskazywali internet, konsul-tacje z dostawcami, wyniki zapytań ofertowych (RFP) oraz dokumenty opisujące najlepsze praktyki rynkowe pochodzące od dostawców sprzętu i oprogramowania.

W ujęciu według sektorów gospodar-ki największą wiedzą swoich pracowni-ków szczyci się branża f inansowa (60% z sumy odpowiedzi udzielonych przez respondentów wywodzących się z tego sektora), podczas gdy gotowość prze-szkolenia pracowników w największym stopniu deklarują osoby reprezentują-ce sektory energetyczne i komunalne (54% odpowiedzi) oraz produkcji prze-mysłowej (50% odpowiedzi).

Mniej niż 10% firm deklaruje, że całościową ofertę budowy centrum da-nych otrzymali od dostawcy IT. Czyżby przedsiębiorstwa chciały – i co waż-niejsze – były gotowe tworzyć infra-strukturę samodzielnie? W odniesieniu do systemów konwergentnych, które w jednej szafie łączą moc obliczenio-wą, pamięć masową i sieć, wcale nie wydaje się to nierealne.

Skąd czerpią Państwo wiedzę na temat projektowania centrum przetwarzania danych? — ujęcie według sektorów gospodarki

Branża

Odpowiednie know-how

mamy po stronie firmy

Wyznaczeni do tego zadania pracownicy są wysyłani

na odpowiednie kursy i/lub szkolenia

Całościową ofertę budowy otrzymaliśmy od

dostawcy IT

Nie mamy takiej wiedzy po stronie firmy — będziemy musieli ją pozyskać lub

uzupełnić

Finanse/Bankowość/Ubezpieczenia 60% 24% 12% 0%

FMCG/Dystrybucja/Handel 38% 23% 23% 15%

Energia/Gaz/Woda/Ciepło/Oczyszczanie 33% 54% 8% 0%

Przemysł/Produkcja/Wydobycie 21% 50% 7% 14%

Transport/Spedycja/Logistyka 42% 33% 8% 17%

Pozostałe firmy 41% 37% 5% 12%

Priorytetem działów IT dużych polskich organizacji jest zapewnienie maksymalnego poziomu dostępności danych i aplikacji biznesowych. To wymaga posiadania bezpiecznego zaplecza infrastrukturalnego i jego stałego rozwijania.

Zaplecze infrastruktury bezpieczeństwa w firmach: stan posiadania i plany rozwoju

nakładów finansowych i organizacyjnych do uzyskiwanego w efekcie poziomu dostępności oraz bezpieczeństwa aplikacji i danych.

Audyty bezpieczeństwaPozytywnie należy ocenić fakt, że aż 86% dużych firm prowadzi audyty bezpieczeństwa w różnych odstępach czasu: regularnie, po wdrożeniu nowych elementów infrastruktury IT bądź bez sprecyzowanych terminów.

Patrząc na powyższe dane w ujęciu bran-żowym, wyraźnie widać, że prym w zakresie badania własnego zaplecza wiedzie sektor finansów, bankowości i ubezpieczeń – wszyscy jego przedstawiciele zadeklarowali prowa-dzenie audytów bezpieczeństwa IT, przy czym zdecydowana większość (92%) realizuje je regularnie. Drugą grupą respondentów szcze-gólnie często podejmujących regularne audyty bezpieczeństwa swej infrastruktury bezpie-czeństwa IT są przedsiębiorstwa sektora usług publicznych – utilities, zwłaszcza te spełniają-ce kryteria zdefiniowanej ustawowo infrastruk-tury krytycznej. Wysokie wymogi w kwestiach bezpieczeństwa biorą się z kluczowej roli, jaką pełnią te organizacje, zapewniając możliwość działania całej gospodarki. Trudno sobie np. wyobrazić przerwy w dostawach wody czy prądu – straty wywołane wyłączeniami linii produkcyjnych, chłodni czy pieców hutniczych byłyby ogromne.

Odnotować należy, że aż 12% organizacji w ogóle nie prowadzi działań audytorskich

16 luty 2015


Mając na względzie konieczność realizacji podstawowych celów, np. wspomnianego we wstępie maksymalnego poziomu dostępności do danych, szczelności czy optymalizacji kosz-towej funkcjonujących w firmie systemów tele-informatycznych, organizacje prowadzą audyty bezpieczeństwa IT. To procedury niezbędne, aby racjonalnie i rzeczowo ocenić adekwatność

17luty 2015

w stosunku do swojego zaplecza IT. Niechlubny prym w ramach tej grupy wiodą przedstawicie-le sektora przemysłu i produkcji – aż 8 na 15 wskazań deklarujących brak realizowania au-dytów bezpieczeństwa pochodziło od respon-dentów tej branży.

Przedstawiciele przedsiębiorstw, które wskazały odpowiedź przeczącą na pytanie o prowadzenie audytów bezpieczeństwa IT, zostali następnie zapytani o plany dotyczące ich wprowadzenia. Nieco ponad połowa (53%) wskazała, że będzie zmierzała do wdrożenia tego rodzaju działań w swoich organizacjach. Wart odnotowania jest fakt, że wśród powyż-szych znalazła się tylko jedna firma z branży przemysłowej.

Poszukiwanie podatnościOprócz audytów bezpieczeństwa, mających przynieść odpowiedzi na pytania o wydajność, oszczędność i stabilność firmowej infrastruk-tury, organizacje podchodzące kompleksowo do kwestii bezpieczeństwa IT podejmują dzia-łania na rzecz sprawdzania jej odporności na bezpośrednie ataki. Prowadzone testy penetra-cyjne mają na celu sprawdzenie, na ile skutecz-nie firmowe zabezpieczenia bronią dostępu do firmowych danych.

Jak się okazuje, testy penetracyjne firmo-wych sieci, serwisów i innych systemów IT są dość powszechnie stosowane przez polskie organizacje, choć w zdecydowanie mniej regu-larnych odstępach czasu niż w przypadku au-dytów bezpieczeństwa. W różnych odstępach czasu przeprowadza je w sumie 78% ankieto-wanych.

19% respondentów zadeklarowało, że nie przeprowadza żadnych testów penetracyj-nych firmowego zaplecza IT. W ramach tej grupy ok. 2/3 (67%) zadeklarowało jednak

Czy Państwa firma prowadzi audyty bezpieczeństwa?

Czy Państwa firma zamierza prowadzić audyty bezpieczeństwa?

Czy Państwa firma prowadzi audyty bezpieczeństwa? – ujęcie sektorów gospodarki

Branża Tak, regularnie

Tylko po wdrożeniu

nowych mechanizmów

bezpieczeństwa

Tak, ale

nieregularnieNie Nie wiem

Razem

odpowiedzi

Finanse/Bankowość/Ubezpieczenia 22 92% 0 0% 2 8% 0 0% 0 0% 24

Energia/Gaz/Woda/Ciepło/Oczyszczanie 13 62% 2 10% 5 24% 0 0% 1 5% 21

Przemysł/Produkcja/Wydobycie 3 19% 2 13% 3 19% 8 50% 0 0% 16

FMCG/Dystrybucja/Handel 5 36% 1 7% 5 36% 2 14% 1 7% 14

Transport/Spedycja/Logistyka 3 27% 0 0% 6 55% 1 9% 1 9% 11

Pozostałe sektory 20 48% 1 2% 16 38% 4 10% 1 2% 42

Razem odpowiedzi 66 52% 6 5% 37 29% 15 12% 4 3% 128

plany wprowadzenia tego elementu bezpie-czeństwa do katalogu stosowanych przez siebie metod.

Podobnie jak wcześniej zauważalny jest dy-stans między sektorami finansów, bankowości i ubezpieczeń oraz utilities a branżą przemy-słową. W pierwszym z sektorów aż 92% ba-danych wskazało stosowanie testów penetra-cyjnych. W drugim z nich było to odpowiednio 9 na 10 ankietowanych, przy większej liczbie wskazań nieregularnych testów. W przypadku przedstawicieli przemysłu wskaźnik ten spada o połowę – do 44%

Polityki bezpieczeństwa w polskich organizacjachStosowane w firmach rozwiązania i polityki bezpieczeństwa danych są bardzo różnorodne, a ich rodzaje zależą przeważnie od specyfi-ki występujących w danej branży zagrożeń. Polityki bezpieczeństwa informacji i danych opisują zarówno przeciwdziałanie ich utracie i wyciekowi poza organizację, jak i niespo-dziewane przerwy w dostępie do kluczowych aplikacji.

Jak wskazują wyniki omawianego badania, największą popularnością w macierzystych organizacjach respondentów cieszą się rozwią-zania backupowe (ma je 73% firm), monitoring systemów IT (69%) oraz wirtualizacja (71%). Stosunkowo popularne (59%) okazały się również redundantne (nadmiarowe) systemy wspierające pracę centrów przetwarzania da-nych: dodatkowe moduły zasilania, chłodzenia, połączenia sieciowe itp.

Uczestnicy badania odpowiedzieli także na pytanie o plany rozwijania firmowej infrastruk-tury bezpieczeństwa IT. Pytanie to odnosiło się do zamiarów uzupełniania bądź zastąpienia pewnych elementów istniejących

18 luty 2015


Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów i systemów IT?

Czy Państwa firma zamierza prowadzić testy penetracyjne sieci, serwisów i systemów IT?

Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów i systemów IT? — ujęcie sektorów gospodarki


Tylko po wdrożeniu

nowych mechanizmów

bezpieczeństwa

Tak, ale

nieregularnieNie Nie wiem

Razem

odpowiedzi








19luty 2015

Posiadane elementy polityki bezpieczeństwa informacji i danych — ujęcie sektorów gospodarki

Branża

Normy

bezpieczeństwa

danych i biznesu,

takie jak ISO

27001

Plany

ciągłości

działania/

BCP

Rozwiązania

typu Backup

& Recovery

Redundantne systemy

zasilania, chłodzenia,

połączeń sieciowych

i inne zabezpieczenia

firmowej infrastruk-

tury IT

Redundantne

centrum

przetwarzania

danych na

własnych

zasobach

Wykupione

zasoby

w centrum

danych out-

sourcera

Monitoring

systemów

IT

Wirtu-

alizacja

systemów

Rozwiązania

bezpieczeństwa

w obszarze sieci

komputerowych

i dostępu do

danych

Inne

Razem

respon-

dentów

Razem

odpowiedzi


42% 83% 71% 71% 67% 21% 79% 63% 54% 0% 24 132


33% 38% 86% 48% 29% 5% 71% 71% 33% 0% 21 87


13% 13% 56% 44% 31% 6% 50% 69% 38% 6% 16 52

FMCG/Dystrybucja/Handel

14% 43% 71% 43% 21% 21% 50% 79% 43% 7% 14 55

Transport/Spedycja/Logistyka

9% 36% 64% 64% 55% 0% 73% 45% 36% 0% 11 42

Pozostałe sektory

31% 40% 76% 67% 38% 5% 74% 81% 57% 2% 42 198

Razem odpowiedzi

27% 45% 73% 59% 41% 9% 69% 71% 47% 2% 128 566

Planowane do wdrażania elementy infrastruktury bezpieczeństwa IT

Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%

Plany ciągłości działania/BCP 42 33%

Nowe rozwiązania typu Backup & Recovery bądź ich wymiana 43 34%

Redundantne systemy zasilania, chłodzenia, połączeń siecio-wych i inne zabezpieczenia firmowej infrastruktury IT

15 12%

Redundantne centrum przetwarzania danych na własnych zasobach

11 9%

Wykupione zasoby w centrum danych outsourcera 13 10%

Monitoring systemów IT 22 17%

Wirtualizacja systemów 25 20%

Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych

28 22%

Inne 14 11%

Posiadane elementy polityki bezpieczeństwa informacji i danych

Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%

Plany ciągłości działania/BCP 57 45%

Rozwiązania typu Backup & Recovery 93 73%

Redundantne systemy zasilania, chłodzenia, połączeń siecio-wych i inne zabezpieczenia firmowej infrastruktury IT

75 59%

Redundantne centrum przetwarzania danych na własnych zasobach

52 41%

Wykupione zasoby w centrum danych outsourcera 12 9%

Monitoring systemów IT 88 69%

Wirtualizacja systemów 91 71%

Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych

60 47%

Inne 3 2%

Wśród deklaracji dotyczących rozwijania firmowej infrastruktury bezpieczeństwa IT naj-większa liczba wskazań przypadła odpowiedzi „Nowe rozwiązania typu Backup & Recovery bądź ich wymiana”. To sugeruje, że przedsię-biorstwa będą rozwijać zaplecze konieczne dla archiwizacji i przeprowadzania kopii bezpie-czeństwa przyrastających w istotnym tempie wolumenów danych.

Należy to wiązać także z coraz częściej za-znaczającą się koniecznością wymiany najstar-szych podstawowych elementów infrastruktury bezpieczeństwa. Systemy backupowe są naj-powszechniej występującymi elementami tej infrastruktury, a ich średni wiek jest stosunko-wo wysoki. Ubiegłoroczne badanie firmy BCC wskazywało, że ok. połowa będących w posia-daniu polskich firm macierzy dyskowych miała ponad trzy lata.

Uwagę zwraca stosunkowo wysoki udział odpowiedzi wskazujących na zamiar wdrażania planów ciągłości działania (Business Continuity Planning) oraz norm bezpieczeństwa, takich jak ISO 27001. Obecnie szerszym udziałem tych elementów w ramach swoich polityk bez-pieczeństwa mogą pochwalić się w zasadzie jedynie przedstawiciele sektora finansów,

20 luty 2015


już zasobów, stąd łączna liczba udzielonych na nie odpowiedzi była o ok. połowę mniejsza (248) niż w przypadku wcześniejszego pytania, dotyczącego już posiadanych przez organiza-cję, niejednokrotnie rozwijanych przez lata, rozwiązań (566). Łatwo zaobserwować, że in-westycje w rozwiązania infrastruktury IT mają charakter ciągły i odbywają się stopniowo.

Posiadane elementy polityki bezpieczeństwa informacji i danych w ujęciu branżowym – średnia liczba wskazań

Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji — ujęcie sektorów gospodarki liczba wskazań

Branża

Normy

bezpieczeń-

stwa danych

i biznesu,

takie jak ISO

27001

Plany ciągło-

ści działania/

BCP

Nowe

rozwiązania

typu Backup

& Recovery

bądź ich

wymiana

Redundantne systemy

zasilania, chłodzenia,

połączeń sieciowych

i inne zabezpieczenia

firmowej infrastruk-

tury IT

Redundantne

centrum

przetwarza-

nia danych

na własnych

zasobach

Wykupione

zasoby

w centrum

danych

outsourcera

Moni-

toring

systemów

IT

Wirtualizacja

systemów

Rozwiązania

bezpie-

czeństwa

w obszarze sie-

ci komputero-

wych i dostępu

do danych

Inne

Razem

responden-

tów

Razem

odpowie-

dzi


42% 29% 21% 4% 0% 4% 8% 13% 21% 21% 24 39


29% 38% 24% 0% 10% 5% 14% 14% 19% 5% 21 33


19% 19% 56% 25% 0% 0% 25% 38% 13% 6% 16 32


14% 29% 29% 21% 14% 7% 21% 14% 29% 21% 14 28


45% 55% 36% 9% 0% 9% 27% 36% 27% 0% 11 27

Pozostałe sektory 21% 33% 38% 14% 17% 21% 17% 17% 24% 10% 42 89

Razem odpowiedzi

27% 33% 34% 12% 9% 10% 17% 20% 22% 11% 128 248

21luty 2015

archiwizacji i kopii bezpieczeństwa było aż o 45% więcej niż odpowiedzi wskazujących posiadanie wdrożonych norm bezpieczeństwa oraz 28% więcej niż systemów BCP.

bankowości i ubezpieczeń. Widać, że także organizacje wywodzące się z pozostałych branż planują sukcesywnie poszerzać wachlarz firmowych polityk bezpieczeństwa o nowe ele-menty, będące uzupełnieniem i wypełnieniem już posiadanych rozwiązań.

Perspektywa branżowaAnaliza posiadanych przez polskie organizacje elementów infrastruktury bezpieczeństwa IT w ujęciu sektorów gospodarki pozwala do-strzec liderów wśród poszczególnych branż. Szczególnie szeroki wachlarz rozwiązań bez-pieczeństwa IT występuje wśród przedstawicie-li branży finansowej, ubezpieczeniowej i ban-kowej. Większość (aż 7 na 10) wymienionych rozwiązań uzyskało powyżej 60% wskazań ze strony tej grupy respondentów.

Uczestnicy badania wskazywali średnio 4,4 odpowiedzi na 10 możliwych. Uśredniony wskaźnik dla sektora finansów i bankowości wyniósł 5,5, zaś dla przemysłu – 3,3.

Jak wspomniano, uczestnicy badania odpo-wiadali także na pytanie o plany rozwijania fir-mowej infrastruktury bezpieczeństwa IT. Ujęcie branżowe na tak postawione pytanie wskazuje kilka ciekawych obserwacji.

Po pierwsze, sporą popularnością cieszyć się będą wdrożenia planów ciągłości działa-nia oraz norm bezpieczeństwa. Zestawienie sektorowych tabel dotyczących posiada-nych i planowanych do wdrażania systemów wskazuje generalny trend, że na tego rodzaju rozwiązania będą zwracać uwagę polskie przedsiębiorstwa – z zaznaczeniem jednak, że po uśrednieniu przewaga wskazań na rzecz systemów Backup & Recovery nad dwiema ww. pozycjami wynosi 7% (porównując do norm bezpieczeństwa) oraz 1% (systemy cią-głości działania). W przypadku rozwiązań już wdrożonych i działających różnica była znacz-nie większa: deklaracji posiadania rozwiązań

Czy wykonują Państwo testy odtworzeniowe firmowych systemów IT?

Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji i danych w ujęciu branżowym – średnia liczba wskazań

Rodzaje rozwiązań Backup & Recovery stosowane w firmach

Taśmy magnetyczneSpecjalizowane

rozwiązania dyskowe

Kopie w zapasowym centrum przetwarza-

nia danych

Outsourcing (np. usługi chmurowe)

Nie wiemRazem re-

spondentówRazem

odpowiedzi

58 59 44 4 5

93 17062% 63% 47% 4% 5%

W planowanych do realizacji elementach infrastruktury bezpieczeństwa w badaniu po-zytywnie odznacza się sektor przemysłowy. Widząc zapóźnienie względem innych branż,

przedstawiciele tego sektora wskazali średnio o 0,1 więcej odpowiedzi, niż wyniosła średnia deklaracji dla wszystkich ankietowanych. Przedstawiciele branży przemysłowej zamie-rzają podejmować inwestycje w rozwiązania Backup & Recovery – tę odpowiedź wskazała ponad połowa z nich: 57%.

Jeszcze większą uwagę zwracają szeroko zakrojone plany inwestycyjne firm wywodzących się z sektora transportu, spedycji i logistyki. Średnia wskazań wyniosła w ich przypadku 2,5, tj. o 0,6 punktu więcej niż średnia wynosząca 1,9.

Archiwizacja i kopie bezpieczeństwaSystemy Backup & Recovery to najpowszech-niej występujące rozwiązania bezpieczeństwa IT wśród polskich organizacji. Są to zarazem najczęściej wskazywane systemy wśród pla-nowanych do rozwijania elementów firmowej infrastruktury bezpieczeństwa.

Jakie rodzaje rozwiązań do archiwizacji i kopii bezpieczeństwa są najczęściej sto-sowane w polskich organizacjach? Na tak postawione pytanie odpowiadały firmy, które wcześniej wskazały posiadanie podobnych rozwiązań pośród wdrożonych u siebie ele-mentów polityk bezpieczeństwa informacji i danych.

22 luty 2015


Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych stosowane w firmach

Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez SSL, zdalny dostęp przez VPN) 39 65%

Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 23 38%

Jednorazowe klucze dostępowe (np. RSA) 14 23%

Jednokrotne logowanie (SSO) 25 42%

Systemy antyspamowe 33 55%

Inne 2 3%

Nie wiem 1 2%

Odmowa odpowiedzi 17 28%

Razem respondentów 60 100%

Razem odpowiedzi 154

Testy odtworzeniowe w ujęciu sektorowym


Tylko po wdrożeniu

nowego systemu typu

Backup & Recovery

Tak, ale nieregularnie Nie Nie wiemRazem re-

spondentów








Rodzaje rozwiązań Backup & Recovery, które zamierzają wdrażać firmy

Taśmy

magnetyczne

Specjalizowane rozwiązania

dyskowe

Kopie w zapasowym centrum

przetwarzania danych

Outsourcing (np.

usługi chmurowe)Nie wiem

Razem

respondentów

Razem

odpowiedzi

5 19 14 4 543 47

12% 44% 33% 9% 12%

23luty 2015

Wśród badanych ważną rolę odgrywają wciąż starsze, dziedziczone technologie – w przypadku rozwiązań Backup & Recovery są to stosowane od szeregu lat taśmy magne-tyczne. Rozwiązanie to będzie jednak ustępo-wać specjalizowanym rozwiązaniom dyskowym – coraz wydajniejszym macierzom, a także kopiom w zapasowych centrach danych, bądź wręcz usługom chmurowym zupełnie zdejmu-jącym z organizacji konieczność zajmowania się kwestiami archiwizowania i zabezpieczania kopii firmowych danych.

Testy odtworzenioweNiezależnie od stosowanej do prowadzenia backupów technologii, pozytywnie należy ocenić fakt, że aż 92% badanych przedsię-biorstw wykonuje regularnie lub nieregularne testy odtworzeniowe. Podobnie jak wcześniej występują tutaj różnice w zależności od branży, w której działają respondenci.

Prowadzenie testów odtworzeniowych zade-klarowali wszyscy (100% wskazań) przedstawi-ciele sektora finansów, bankowości i ubezpie-czeń, przy czym aż 88% z nich wykonuje takie testy regularnie.

Testy odtworzeniowe prowadzi 94% organi-zacji wywodzących się z branży przemysłowej i wydobywczej, jednak tutaj aż 63% wskazań pada na testy prowadzone w nieregularnych odstępach czasu.

Co ciekawe, największą liczbę deklaracji wskazujących na zupełne pomijanie testów odtworzeniowych w firmowej architekturze bezpieczeństwa zanotowano w sektorze trans-portu, spedycji i logistyki – wyniosła ona 18%.

Bezpieczny ruch sieciowyNa pytanie dotyczące rodzajów posiadanych rozwiązań z dziedziny bezpieczeństwa sieci od-powiadali respondenci, którzy najpierw wskaza-li je pośród posiadanych przez siebie elementów polityk bezpieczeństwa informacji i danych.

Najczęściej wskazywana odpowiedź doty-czyła dostępu na poziomie aplikacji. Te stan-dardowe, najpowszechniejsze zabezpieczenia ma 65% respondentów. Stosunkowo dużą popularnością cieszą się ułatwiające dostęp do danych rozwiązania Single-Sign-On (42%), zaś mechanizmy optymalizacji wykorzystania zasobów sieciowych (np. OSPF, BGP) wskazało 38% ankietowanych.

Warto zaznaczyć, że zasadniczo po-nad połowa respondentów ma najwyżej jeden (35% przypadków) bądź dwa (18%) z omawianych tutaj systemów. Jedynie 32%

wskazań deklarowało posiadanie czterech lub więcej z nich.

Przekładając to na uśrednioną liczbę odpo-wiedzi w ujęciu branżowym, widać wyraźnie sektory, których przedstawiciele są szczególnie dobrze zabezpieczeni w obszarze sieci i dostępu

Planowane do wdrożenia rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu do danych

Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez SSL, zdalny dostęp przez VPN) 10 36%

Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 3 11%

Jednorazowe klucze dostępowe (np. RSA) 4 14%

Jednokrotne logowanie (SSO) 4 14%

Systemy antyspamowe 3 11%

Inne 5 18%

Nie wiem 3 11%

Odmowa odpowiedzi 6 21%

Razem respondentów 28 100%

Razem odpowiedzi 38

Rozwiązania w obszarze sieci komputerowych i dostępu do danych w ujęciu sektorowym

24

4

6

6

7

13

57

9

20

14

12

42

2,4

2,3

3,3

2,3

1,7

3,2Finanse/Bankowoœæ/

Ubezpieczenia

Energia/Gaz/Woda/Ciep³o/Oczyszczanie

Przemys³/Produkcja/Wydobycie



Pozosta³e sektory

Œrednia liczbawskazañ

ROZWI¥ZANIA W OBSZARZE SIECI KOMPUTEROWYCH I DOSTÊPU

DO DANYCH W UJÊCIU SEKTOROWYM

Liczba respondentów Liczba odpowiedzi

do danych. Liderami są sektory finansów i ban-kowości oraz FMCG i handlu, uzyskując średnią liczbę odpowiedzi na poziomie odpowiednio 3,2 i 3,3, przy średniej na poziomie 2,6. Najsłabiej uplasowała się branża utilities, co z pewnością wymagać będzie szybkiej interwencji.

Wyniki badania Computerworld i BCC Data Centers pokazują, że przestoje w dostępie do firmowych aplikacji oraz danych, a także kradzieże tych ostatnich, to najistotniejsze z punktu widzenia dużych firm i korporacji zagrożenia bezpieczeństwa.

Zagrożenia i wyzwania

Katalog zagrożeń jest bardzo szeroki; obejmuje naruszenia bezpieczeństwa pochodzące z we-wnątrz firmy (np. niewłaściwe posługiwanie się kopiami zapasowymi, czynniki ludzkie) oraz z jej otoczenia, rozumiane głównie jako ataki sieciowe na systemy informatyczne przedsię-biorstw.

Hierarchia istotności zagrożeńTrzy na cztery ankietowane osoby jako szczegól-nie istotne zagrożenie bezpieczeństwa dla ich przedsiębiorstw wymieniły przestoje w dostępie do firmowych danych lub aplikacji. Z przeprowa-dzonego badania wynika, że dla firm nierzadko ważniejsze okazuje się zachowanie ciągłości działania niż dbałość o przechowywane i prze-twarzane dane. Mniej niż połowa respondentów wskazała bowiem kradzież wrażliwych danych (np. klientów) jako najważniejsze zagrożenie dla funkcjonowania ich firmy.

To właśnie zapewnienie ciągłości działania stanowi obecnie największe wyzwanie dla osób zarządzających pionami IT w przedsię-biorstwach. Brak dostępu do danych i aplikacji, spowodowany awarią, atakiem sieciowym lub celowym działaniem pracowników, prowa-dzi do przestojów firmy, co przekłada się na realne starty spowodowane utratą klientów lub niezrealizowanymi zamówieniami. Można więc wysnuć wniosek, że ankietowane osoby uznały, że łatwiej jest zapewnić właściwy po-ziom ochrony danych przed ujawnieniem, niż zapewnić nieprzerwany dostęp do wszystkich systemów, usług i aplikacji uruchamianych w przedsiębiorstwach.

Dopiero na kolejnych miejscach ankietowa-ni jako poważne zagrożenie bezpieczeństwa

24 luty 2015


25luty 2015

wymieniali nieuwagę lub brak świadomości zagrożeń ze strony pracowników (18%), utratę danych wskutek wypadku losowego (18%) oraz kradzież know-how (10%). Każde z tych zagro-żeń dość łatwo można zidentyfikować i wyeli-minować przez prowadzenie szkoleń pracow-ników, wdrażanie systemów kopii zapasowych (o tym szerzej za chwilę) oraz stosowanie do-datkowych zabezpieczeń technicznych i pro-ceduralnych, takich jak: szyfrowanie dysków, zabezpieczanie dokumentów przekazywanych w korespondencji mailowej, blokowanie nośni-ków przenośnych, czy też wdrażanie procedur postępowania ze zwalnianymi pracownikami.

Najwięcej uwagi na zagrożenia związane z przestojami w dostępie do danych i apli-kacji zwracają przedstawiciele firm z branży transportowo-logistycznej (59%), sektora przemysłowego i produkcji (50%) oraz handlu i dóbr szybko zbywalnych (50%). Dla tych firm ciągłość działania systemów IT oznacza przede wszystkim możliwość realizowania zleceń i za-mówień klientów w ustalonym terminie.

Z kolei kradzież wrażliwych danych jako naj-ważniejsze zagrożenie dla ich firm najczęściej wymieniali menedżerowie IT z branży finan-sowej i ubezpieczeniowej (44%) oraz ochrony zdrowia (42%). To zrozumiałe w kontekście danych, które zbierają, przechowują i przetwa-rzają tego typu organizacje.

Kopie zapasoweAż 58% przedsiębiorstw napotyka trudności związane z wykonywaniem kopii zapasowych,

choć jednocześnie trudno nie zauważyć, że 42% firm doskonale radzi sobie z zabezpie-czaniem firmowych danych. Występuje więc wyraźny podział na przedsiębiorstwa, w któ-rych stosowane rozwiązania backupu wyma-gają modernizacji, oraz te, które wdrożyły u siebie nowoczesne systemy tworzenia kopii zapasowych i archiwizacji danych.

Z badania wynika, że trudności związane z zabezpieczaniem danych dotyczą najczęściej kilku obszarów. 68% respondentów, którzy nie są w pełni zadowoleni ze stosowanych w ich organizacji rozwiązań backupu, zwraca uwagę na długi czas tworzenia kopii zapasowych, podczas gdy 58% z nich dostrzega problemy także z odtwarzaniem danych z kopii.

Obie te trudności można pokonać, stosując nowoczesne systemy backupu w warstwie sprzętowej i programowej. Każde z takich rozwiązań znacznie ogranicza czas tworzenia kopii zapasowych, np. przez kopiowanie tyl-ko tych części danych, które uległy zmianie, oraz sprawia, że proces ich odtwarzania jest bardziej efektywny. Obecnie wykorzystywane rozwiązania backupu umożliwiają przywraca-nie danych na dowolnym poziomie granulacji (maszyna wirtualna, wolumen dyskowy, fol-der, plik) oraz odtwarzanie plików do kilku wcześniejszych wersji, także samodzielnie przez pracowników.

Co czwarta ankietowana osoba za najwięk-szą trudność z zabezpieczaniem danych uzna-ła ograniczone zasoby dyskowe (storage). Problemy te wydają się uzasadnione

Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw

Michał Strzyżewski, menedżer Obszaru IT, BCC Data Centers

Zagrożenia z obszaru bezpieczeń-stwa informacji wskazane przez ankietowanych jako najważniejsze są zgodne z naszymi doświadcze-niami. Do tego zagadnienia warto podejść kompleksowo: zaczynając od audytów, w których wyniku zo-staną wdrożone odpowiednie roz-wiązania chroniące przed atakami i porządkujące obszary dostępu do danych, poprzez wykorzystanie procedur i najlepszych spraw-dzonych praktyk (np. zebranych w bibliotece ITIL), aż do zapew-nienie redundancji na różnych poziomach, włącznie z zapasowym CPD. Dlatego zapewniamy naszym klientom zarówno bezpieczną in-frastrukturę CPD, jak i usługi zwią-zane z wdrożeniem, utrzymaniem bądź audytem istniejących rozwią-zań bezpieczeństwa – dzielimy się naszymi eksperckimi kompetencja-mi i doświadczeniem.

presji, stosowanie mechanizmów deduplikacji oraz wynajem przestrzeni dyskowej w chmu-rze obliczeniowej.

Chmura umożliwia składowanie kopii w bezpiecznym centrum danych poza siedzibą przedsiębiorstwa, zapewniając praktycznie nieograniczoną przestrzeń dyskową na wła-sne archiwa, brak konieczności inwestycji w pamięć masową oraz unikalny model rozli-czeń oparty na płaceniu wyłącznie za faktycz-nie wykorzystane zasoby.

Zarządzanie kopiamiWyniki badania przeprowadzonego przez Computerworld we współpracy z BCC Data Centers pokazują wysoką świadomość osób odpowiedzialnych za systemy IT dużych przedsiębiorstw i korporacji w obszarze zarządzania kopiami zapasowymi. Aż 87% ankietowanych deklaruje, że kopie zapasowe wykonywane w firmie przechowywane są w innym miejscu niż powstały, choć 13% osób z tej grupy jasno wskazuje, że dotyczy to wy-łącznie danych o znaczeniu krytycznym.

Z drugiej strony, w co dziesiątej firmie ko-pie zapasowe przechowywane są w tym sa-mym miejscu, w którym powstają. Podejście to jest sprzeczne z ogólnymi zasadami zarzą-dzania backupem i archiwizacją danych, a za głównego winowajcę uznaje się standardowo „brak możliwości technicznych”.

Z uwagi na fakt, że przewożenie taśm do in-nej lokalizacji jest kłopotliwe, menedżerowie IT muszą poszukać takich rozwiązań technolo-gicznych, które zautomatyzują

26 luty 2015


w kontekście dynamicznego wzrostu ilości da-nych przetwarzanych w przedsiębiorstwach, ale także konieczności ich przechowywania przez długi czas (np. logi). Sposobem na wy-eliminowanie tych trudności może być wdra-żanie nowych, bardziej pojemnych macierzy dyskowych i nowoczesnych technologii kom-

Czy firma napotyka trudności w związku z zabezpieczaniem danych?

Trudności przedsiębiorstw związane z zabezpieczaniem danych

Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw — ujęcie według sektorów gospodarki

BranżaKradzież wrażliwych

danych (np. klientów)Kradzież know-how

Przestoje w dostępie

do firmowych danych

bądź aplikacji

Nieuwaga i/lub

brak świadomości

zagrożeń ze strony

pracowników

Utrata danych

wskutek wypadku

losowego

Administracja publiczna/Służby mundurowe 18% 0% 45% 18% 18%

Energia/Gaz/Woda/Ciepło/Oczyszczanie 28% 6% 47% 6% 13%

Farmacja/Służba zdrowia/Opieka społeczna 42% 0% 33% 17% 8%

Finanse/Bankowość/Ubezpieczenia 44% 7% 42% 2% 5%

FMCG/Dystrybucja/Handel 20% 5% 50% 10% 15%

Media/Reklama/Wydawnictwa/Drukarnie 33% 8% 33% 25% 0%

Przemysł/Produkcja/Wydobycie 14% 7% 50% 14% 14%

Transport/Spedycja/Logistyka 12% 0% 59% 12% 18%

Pozostałe firmy 24% 11% 41% 14% 11%

27luty 2015

procesy zarządzania kopiami w organizacji. Do tych rozwiązań należą m.in. replikacja da-nych do zapasowego centrum lub składowa-nie kopii i archiwów w chmurze obliczeniowej. W każdym przypadku zarządzanie kopiami zapasowymi powinno być elementem szer-szej strategii zapewnienia ciągłości działania przedsiębiorstwa, która obejmuje również systemy wysokiej dostępności oraz zapasowe centra danych gotowe do przejęcia funkcji podstawowego centrum podczas awarii.

Ataki siecioweKwestie związane z atakami sieciowymi na przedsiębiorstwa i instytucje publiczne niezmiennie pozostają tematem tabu. 40% ankietowanych osób odmówiło odpowiedzi na pytanie, czy w ciągu ostatniego roku ich firma miała do czynienia z naruszeniem bezpie-czeństwa ze strony hakerów. Kolejnych 31% respondentów swoją wypowiedź zakończyło lakonicznym: „nie wiem”. Z pewnością w tej grupie menedżerów IT znajdują się osoby, które rzeczywiście nie mają wystarczającej wiedzy na temat występujących w firmie in-cydentów bezpieczeństwa, np. z racji na inny obszar czy charakter pracy, choć dla części z nich stwierdzenie: „nie wiem”, mogło być również sposobem na uniknięcie odpowiedzi na tak postawione pytanie.

Wśród osób, które zdecydowały się odpowiedzieć na pytania dotyczące naruszeń bezpieczeństwa w swych organizacjach, najczęstsze wskazania padały na ataki so-cjotechniczne (35% respondentów) oraz ataki mające zaburzyć pracę firmy (32%).

Wiadomo, że najsłabszym ogniwem każdego systemu zabezpieczeń pozostaje człowiek, a zależność ta jest powszechnie wykorzystywana przez atakujących – czasem bezpośrednio, ale także jako pomost do bar-dziej wyrafinowanych ataków na techniczne zabezpieczenia aplikacji i danych.

Drugą kategorię zagrożeń stanowią ataki mające na celu zaburzyć pracę firmy. Ataki typu DDoS są relatywnie łatwe do przeprowa-dzenia w porównaniu z łamaniem zabezpieczeń systemów IT stosowanych w dużych przedsię-biorstwach i korporacjach. Ataki skierowane na unieruchomienie usługi lub ograniczenie dostępu do zasobów IT wykorzystywane są do szantażowania firm w celu wyłudzenia okupu. Mogą być także stosowane do zdyskredytowa-nia firmy w oczach jej kontrahentów i klientów.

Wyniki ankiety wskazują na częste naru-szenia bezpieczeństwa za strony hakerów

próbujących dokonać kradzieży danych (30%) oraz kradzieży tożsamości (24%). W ostatnim roku najmniej ataków związa-nych było ze szpiegostwem przemysłowym (5%) oraz z naruszeniami bezpieczeństwa spowodowanymi chęcią sprawdzenia się atakujących (19%). Stanowi to potwierdze-nie tezy, że obecne ataki skierowane są przede wszystkim na uzyskanie korzyści finansowych, choć równie dobrze mogą być inspirowane działaniami agencji rządowych (wykradzenie danych Sony Pictures, ataki na instalacje przemysłowe Iranu), czy też oddolnymi inicjatywami prowadzonymi przez grupy pokroju Anonymous, sprzeciwiające się ograniczaniu wolności obywatelskich i korupcji.

Czy w ciągu ostatnich 12 miesięcy Państwa firma miała do czynienia z naruszeniami bezpieczeństwa ze strony hakerów?

Czy tworzone przez Państwa kopie zapasowe odseparowane są od miejsca, w którym powstały (np. replikacja, przewożenie taśm)?

Typy naruszeń bezpieczeństwa w firmach

Próby kradzieży

danych

Próby kradzieży

tożsamości

Szpiegostwo

przemysłowe

Ataki socjotech-

niczne

Ataki mające

zaburzyć pracę

firmy

Złamanie firmowych

zabezpieczeń dla

sprawdzenia się

Liczba wskazań 11 9 2 13 12 7

Procent respondentów, który wskazał taką odpowiedź 30% 24% 5% 35% 32% 19%

http://www.bcc.com.pl/bccdatacenters

Technology

Raport. Bezpieczeństwo infrastruktury IT w polskich organizacjach