www.prevent-magazine.pl PAŹDZIERNIK 2013 (nr 5)
BEZPIECZNE FINANSOWANIE STARTUPÓW
Venture Capital 2.0
Efektywne narzędzia marketingowe
dla startupów
TEMAT NUMERU: Jak skutecznie i bezpiecznie zaistnieć w świecie startupów?
Michał Sztąberek,
prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure, redaktor naczelny „Prevent Magazine”
BEZPIECZEŃSTWO STARTUPÓW
S
tartup – to słowo już od jakiegoś czasu robi furorę, nie tylko w Polsce, ale i na świecie. Według Wikipedii, nazwa ta stosowana jest zwykle na określenie nowo powstałych stron opartych na technologii Web 2.0, często tworzonych w ramach młodych przedsiębiorstw działających w Internecie.
Abstrahując oczywiście od tego, czy definicja ta jest dobra, czy słaba, w „Prevent Magazine” skupimy się na tym, co niewątpliwie jest ważne dla startupu, a mianowicie na zapewnieniu mu odpowiedniego poziomu bezpieczeństwa. Ten aspekt wydaje się być naprawdę istotny z uwagi na to, że wiele startupów opiera swój model biznesowy na różnego rodzaju usługach abonamentowych, co wiąże się zarówno z podawaniem danych osobowych jak i dokonywaniem płatności przez Internet. A to musi odbywać się w warunkach nie budzących żadnych wątpliwości. Przy okazji przypominam, że nieustannie liczymy na Wasz odzew. Każda opinia, nawet najbardziej krytyczna, jest dla redakcji „Prevent Magazine” na wagę złota.
Michał Sztąberek
SPIS TREŚCI 05 5 zasad bezpiecznego niszczenia nośników danych AUTOR: Marcin Sobaniec, www.hsm.eu, www.niszczarka.pl
08 5 wskazówek, jak zarządzać dostępem AUTOR: Mariusz Rzepka, www.Fortinet.pl
10 Jaki (prawie) bezkosztowo przetestować stronę internetową? 12 Polisa ubezpieczeniowa dla strony www
AUTORZY: Tomasz Malik, www.grupa-adweb.pl, Maciej Kurek, www.2be.pl
14 Jak zabezpieczyć sieć firmową? AUTOR: Sebastian Krystyniecki, www.Fortinet.pl 18 Projektowanie społeczościowe nowym wymiarem marketingu AUTOR: Bartosz Gryszko, www.corton.pl
20 Efektywne narzędzia marketingowe dla startupów AUTOR: Paweł Sala, www.freshmail.pl
22 Reputacja sklepu internetowego kluczem do sukcesu AUTOR: Tomasz Zawada, www.nazwa.pl
24 Bezpieczne finansowanie startupów AUTOR: Tomasz Dalach, www.onlinepartners.pl 26 Jak skutecznie i bezpiecznie zaistnieć w świecie startupów? AUTOR: Szymon Ostrowski, www.pkt.pl
28 Wywiad: Bezpieczeństwo sieci firmowych – co jest najważniejsze? Z Szymonem Wiśniewskim, ekspertem ds. rozwiązań sieciowych firmy AVM, rozmawia Michał Sztąberek, redaktor naczelny „Prevent Magazine”
30 Kapitalizm zapisany na twardych dyskach
AUTOR: Marcin Sobaniec, www.hsm.eu, www.niszczarka.pl
Redakcja: Wydawca: iSecure Sp. z o.o., ul. Żurawia 43 lok. 202, 00-680 Warszawa, www.prevent-magazine.pl Redaktor Naczelny: Michał Sztąberek, Redakcja: Maria Lothamer, Monika Matuszewska, Katarzyna Ulma, Kontakt i reklama: redakcja@prevent-magazine.pl, tel. 607 271 915, Patronaty medialne: patronat@prevent-magazine.pl, Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.
04
PAŹDZIERNIK 2013 www.prevent-magazine.pl
Zdjęcie na okładce: Fotolia
AUTOR: Piotr A. Wasiak
Jak skutecznie i bezpiecznie zaistnieć w świecie startupów? Niskie koszty rozpoczęcia, potencjalnie wyższy w porównaniu do „tradycyjnych” przedsięwzięć zwrot z inwestycji, ale i moda. To wszystko sprawia, że każdego roku w Polsce uruchamiane są setki startupów. Średnio 3 procent z nich przerodzi się w dojrzałe biznesy. Oto kilka rad, jak bezpiecznie zaistnieć w świecie startupów. Szukanie pomysłu, czyli rób to, na czym się znasz Sukces startupu w dużej mierze zależy od dobrego pomysłu. I jak pokazuje praktyka, nie musi to być całkiem innowacyjne rozwiązanie. Wystarczy odpowiednio zmodyfikować już istniejący model, by projekt się powiódł. Przykładem mogą być średniej wielkości serwisy społecznościowe, branżowe, hobbistyczne, wzorowane np. na Facebooku. Szukając pomysłu na biznes, należy pamiętać, że praktycznie wszystko już wymyślono. Chodzi o to, by znaleźć nowe możliwości wykorzystania już istniejących rozwiązań. Jednym ze sposobów na dobry pomysł biznesowy, co warte podkreślenia, stosowanym nader często, jest próba zarabiania na tym, na czym się znamy. Jeśli naszą pasją jest clubbing, może warto zainteresować się stworzeniem aplikacji do zama-
wiania taksówek? Decydując się na działanie w branży sobie znanej, unikniemy błędów debiutanta. Co więcej znacznie łatwiej będzie przekonać do naszego pomysłu biznesowego inwestora. A to jest największym problemem startupu w bardzo wczesnej fazie. Ciekawa idea w połączeniu z biznesową rzeczywistością okazuje się
przedstawić założenia i użyteczności projektu, nad którym pracują, nie rozumieją modelu biznesowego całego przedsięwzięcia. Mówiąc wprost, twórcy nie wiedzą, jak można zarabiać, oferując klientom określoną funkcjonalność. I tak młodzi przedsiębiorcy szukają niszy w branży, w której do tej pory działali. Zamiast otwierać ogól-
Spośród setek stratupów uruchamianych każdego roku w Polsce, tylko 3 procent przerodzi się w dojrzałe biznesy. być niezbyt atrakcyjna. Dlatego warto jeszcze na początku podzielić się wstępnymi założeniami z bardziej doświadczonym aniołem biznesu lub przyjacielem i wyjaśnić w prostych słowach, na czym biznes ma polegać. Z własnego doświadczenia wiem, że około 80 procent szefów zespołów startupowych nie potrafi w prostych słowach
notematyczną księgarnię internetową, decydują się na stworzenie aplikacji do oceniania e-booków ekonomicznych. Inni, zamiast wirtualnej herbaciarni, uruchamiają wirtualny sklep wyłącznie z kawą. W startupy często inwestują fundusze private equity lub aniołowie biznesu. To przedsiębiorcy, którzy dość dobrze orientują
prawnie zastrzec pomysłu. Da się natomiast zgłosić ochronę dla konkretnego
A co jeśli ukradną mój pomysł?
Sukces startupu zależy od dobrego pomysłu. I jak pokazuje praktyka, wcale nie musi to być innowacyjne rozwiązanie.
To pytanie jest jednym z najczęściej zadawanych przez internetowych przedsiębiorców. Wielu od razu pyta, czy można startup opatentować. Wyjaśnienie jest proste. Nie można
06
sposobu wykorzystania tego pomysłu. Przykład: koła jako takiego nie da się opatentować. Jeśli jednak wymyślimy grę, w
PAŹDZIERNIK 2013 www.prevent-magazine.pl
do obaw przed ewentualną kradzieżą pomysłu. Jak już wcześniej wspomniałem, sam pomysł jest nic niewarty, jeśli nie idzie
Zdjęcie: Fotolia
której wykorzystujemy koło, to taki patent będzie możliwy. Przy okazji nie ma powodów
się w realiach prowadzenia firm. Jak mówią, sam pomysł to nie wszystko. Trzeba wiedzieć, jak przekuć go w żywą gotówkę.
Jak zgodnie z prawem pozyskiwać fundusze?
Szukając pomysłu na biznes, należy pamiętać, że praktycznie wszystko już wymyślono. Chodzi o to, by znaleźć nowe możliwości wykorzystania już istniejących rozwiązań. Decydując się na działanie w branży sobie znanej, unikniemy błędów debiutanta.
za nim innowacyjne wdrożenie czy nowatorski sposób na zarobienie pieniędzy. Jeśli więc masz pomysł i wiesz, jak na nim zarabiać, na pierwszą rozmowę z potencjalnym inwestorem przygotuj umowę o poufności. Wzory takich dokumentów z łatwością można znaleźć w Internecie. Gdy zaczniesz opowiadać o projekcie, pokaż zaangażowanie. Aniołowie biznesu lubią
inwestować w liderów, w zespoły, które działają z pasją. Używaj konkretów, pokaż wyliczenia, przedstaw kompleksową analizę SWOT, czyli zestawienie mocnych i słabych stron projektu, szans i zagrożeń, które czyhają po drodze. Im więcej konkretów, tym lepiej. I przede wszystkim uwierz w swój pomysł. Jednocześnie nie wychodź z założenia, że tylko ty wiesz, jak najlepiej zrealizować ten projekt.
Startup z definicji tworzony jest po to, by wyklarować model biznesowy dla danego przedsięwzięcia, a potem zainteresować pomysłem inwestora. Z formalnego punktu widzenia inwestorem może zostać każdy, kto ma pieniądze. Zaangażowanie w projekt wiąże się z przejęciem części udziałów. Stąd najczęściej spotykana forma prawna startupów – działają jako spółki z ograniczoną odpowiedzialnością. Taki model pozwala w miarę elastycznie przejmować udziały. Warto wspomnieć, że takie rozwiązanie nie pozbawia twórcy startupu pełnej kontroli nad projektem. Fundusze inwestycyjne zwykle przejmują mniejszościowy pakiet udziałów. Warto na czas tego procesu skorzystać z pomocy prawnika. Takiego wsparcia udzielą też Akademickie Inkubatory Przedsiębiorczości, w których bardzo często tworzone są zalążki startupów. Z własnego doświadczenia wiem, że inwestorzy raczej nie angażują się finansowo w projekty, które są dopiero w fazie pomysłu. Przedsięwzięcie musi już działać i mieć pierwsze sukcesy na swoich koncie, na przykład pierwsze wdrożenia.
AUTOR: Szymon Ostrowski,
Ekspert pkt.pl, www.pkt.pl
Temat numeru
Bezpieczne finansowanie
startupów
Liczna grupa przedsiębiorców nie może realizować ciekawych i innowacyjnych pomysłów z powodu napotkanych trudności w różnych fazach ich wdrażania. Z myślą o nich na naszym rynku pojawiła się obecna już na zachodzie nowa metoda finansowania – Venture Capital 2.0. To pierwsza w Polsce inicjatywa skierowana do przedsiębiorców, którzy potrzebują nie tylko finansowego, ale także strategicznego i operacyjnego wsparcia dla swojej działalności. To również aktywna pomoc w budowaniu biznesu, strukturyzowaniu procesów, rozwoju sprzedaży i budowaniu efektywnego marketingu. sową analizą obszaru biznesowego, w którym planuje działalność przyszły przedsiębiorca. Niezbędne jest tutaj zbadanie potencjału rynku, przeprowadzenie tzw. benchmarkingu, czyli dokonanie szeregu analiz podmiotów konkurencyjnych, sprawdzenie zachowań klientów oraz ich potrzeb czy osza-
cowanie zakładanych wzrostów. Następnie, opierając się na tych danych, należy utworzyć wyczerpujący biznesplan, a także opracować strategię sprzedaży i działań marketingowych. To właśnie te elementy najmocniej determinują budżety, a w konsekwencji wpływają na wysokość wymaganych
Zdjęcie: Fotolia
J
ednym z głównych wyzwań stojących przed początkującymi przedsiębiorcami jest pozyskanie bezpiecznego źródła finansowania ich projektu. Ubieganie się o środki finansowe na realizację przedsięwzięcia powinno zostać jednak poprzedzone komplek-
funduszy. W zależności od branży, a także stadium zaawansowania danego projektu, przedsiębiorcy decydują się na wybór różnorodnych źródeł pozyskania środków finansowych, wśród których prym wiodą: inkubatory, współpraca z tzw. aniołami biznesu, inwestorami branżowymi, jak również skorzystanie z funduszy typu Venture Capital. Rozpoczęcie takiej kooperacji należy jednak poprzedzić sprawdzeniem dotychczasowej historii oraz kompetencji inwestora, gdyż poza wsparciem finansowym, potencjalni inwestorzy powinni służyć także doświadczeniem oraz wsparciem merytorycznym.
Metodą bezpiecznego finansowania startupów jest Venture Capital 2.0. To koncepcja dynamicznie rozwijająca się obecnie w Stanach Zjednoczonych. Standardowe fundusze Venture Capital, powszechne w dotychczasowych modelach finansowania przedsięwzięć, a także zaangażowanie pojedynczych aniołów biznesu, często
I tak opiekunowie organizują kanały sprzedaży, pomagają zaplanować i realizować działania marketingowe czy public relations oraz prowadzić profesjonalne relacje inwestorskie. Ponadto oferują wsparcie sprawdzonych dostawców usług prawnych i księgowych, a na dalszych etapach wspierają także pozyskanie kolejnych
W Venture Capital 2.0. szczególnie istotne jest osobiste zaangażowanie inwestorów. Oferują oni nie tylko swoje środki finansowe, ale także realną opiekę nad biznesem. okazują się niewystarczającym wsparciem dla przedsiębiorców. Z powodu zbyt małego doświadczenia biznesowego ich twórców oraz ograniczonego dostęp do innych zasobów niż finansowe (przede wszystkim braki w doświadczeniu i wiedzy oraz brak wartościowych kontaktów rynkowych), wiele projektów nie rozwija się zgodnie z oczekiwaniami. W Venture Capital 2.0. szczególnie istotne jest osobiste zaangażowanie inwestorów. Oferują oni nie tylko swoje środki finansowe, ale także realną opiekę nad biznesem. Ponadto decydują się na mniejsze jednostkowe inwestycje, zwłaszcza w obszarze e- i m-commerce, nadając im przede wszystkim skuteczny model biznesowy. A to właśnie stanowi przewagę konkurencyjną i zapewnia ponadprzeciętną stopę zwrotu.
inwestorów. Wchodząc do spółki, w dużej mierze biorą na siebie odpowiedzialność za jej sukces. Przykładem efektywnego wykorzystania koncepcji Venture Capital 2.0 jest finansowanie inwestycji z obszaru projektowania społecznościowego. Zjawisko to polega na zlecaniu różnego rodzaju zadań i prac dużej grupie ludzi, niezwiązanych bezpośrednio w sposób formalny z jednostką przekazującą zadanie. Mogą to być zawodowi freelancerzy, grupy amatorów-hobbystów czy nawet zwykli klienci i odbiorcy usług danej firmy. W tym wypadku do konkursów zapraszani są graficy i projektanci. AUTOR: Tomasz Dalach, Founding Partner Online Partners – funduszu Venture Capital 2.0, www.onlinepartners.pl
Temat numeru
Efektywne narzędzia
marketingowe dla startupów
Z
acznijmy od samego początku: co jest głównym celem marketingowym większości startupowców? W wielkim skrócie – wygenerowanie jak największego ruchu na daną witrynę, następnie przechwycenie leada (adresu email) oraz praca na tzw. lejku - czyli wygrzewanie leada za pomocą email marketingu w celu jego konwersji z leada do prospekta, z prospekta do klienta. Bardzo często do tego typu działań wykorzystywane są różnego rodzaju systemy do email marketingu, gdyż póki co nie wymyślono bardziej efektywnej formy komunikacji z odbiorcami. Statystycznie jedna złotówka zainwestowana w email marketing generuje ponad 40 zł sprzedaży. Wielu statrupowców wychodzi z założenia, że warto korzystać z „darmowych” narzędzi do email marketingu. Niestety tak nie jest - cała sprawa rozchodzi się o kwestie związane z bezpieczeństwem danych osobowych przechowywanych w danym systemie (adres email jest traktowany przez GIODO jako dana osobowa). Korzystając z darmowego narzędzia do email marke-
10
tingu – tak naprawdę nie mamy żadnej pewności, gdzie „przekazaliśmy” nasze dane osobowe i w jaki sposób będą one następnie pilnowane przez dostawców systemu. Niestety bardzo często nie będą, a dane, które im przekazaliśmy do „darmowego” systemu, bardzo często zostaną wykorzystane jako produkt do sprzedaży – czego żaden administrator sobie absolutnie nie życzy. Tak więc wybierając system do email Minimalne rozwiązanie w zakresie bezpiecznej ochrony danych osobowych hasłem to: • minimum 8-znakowe hasło, • składające się z małych i dużych liter, a także cyfr i znaków specjalnych, • zmieniane co 30 dni, nie może być takie samo jak 3 ostatnie.
marketingu warto wybrać taki, z którym możemy podpisać umowę na korzystanie z sytemu. Zwróć uwagę, czy ta umowa zawiera także informacje odnośnie powierzenia przez „startupowca” danego zbioru danych osobowych dostawcy systemu oraz deklarację dostawcy systemu co do procedur bezpieczeństwa wynikających wprost
PAŹDZIERNIK 2013 www.prevent-magazine.pl
z ustawy o ochronie danych osobowych oraz odpowiednich rozporządzeń. Dodatkowo warto zwrócić uwagę na to, czy firma, której powierzamy nasz zbiór, jest firmą zlokalizowaną w jednym z krajów EOG lub, jeżeli jest to firma amerykańska, czy przystąpiła do do programu Bezpiecznej Przystani (Safe Harbor) prowadzonego przez Federalną Komisję Handlu i jako taka jest traktowana jako podmiot z obszaru EOG. Więcej o tym, jak powierzyć przetwarzanie danych osobowych, możesz znaleźć w moich poprzednich artykułach w „Prevent Magazinie”. Oczywiście sama umowa i deklaracja zabezpieczeń to tylko podstawa do dalszego działania. Dodatkowo warto sprawdzić kilka kwestii związanych z bezpieczeństwem, które teoretycznie powinny wynikać z przyjętych w polityce bezpieczeństwa informacji i procedur bezpieczeństwa dostawców oferujących dane rozwiązanie w modelu SaaS, a Ty możesz je sprawdzić z poziomu własnego konta w danym systemie. Pierwszą i wręcz osobistą sprawą jest to, czy dostęp do kont w systemie dostępny
Zdjęcie: Fotolia
Zakładając swój wymarzony startup, człowiek zasadniczo skupia się na samym biznesie oraz na tym, jak najlepiej wypromować nowy pomysł dla szerokiej publiczności. Bardzo często przy tym nie patrzy na kwestie bezpieczeństwa związane ze stosowanymi programami, które mają mu pomóc przy prowadzeniu biznesu. Poniższy artykuł jest przeglądem tego, na co warto zwrócić uwagę w momencie korzystania z różnego rodzaju aplikacji w modelu SaaS, które mają nam pomóc w prowadzeniu biznesu, a za pośrednictwem których będziemy przetwarzać dane osobowe naszych potencjalnych lub obecnych klientów.
jest po zabezpieczonym łączu https oraz czy certyfikat, który je zabezpiecza, jest wydany przez renomowaną i wiarygodną firmę, a także coś, co może wydawać się trywialne, czy jest wystawiony na odpowiednią domenę i aktualny. Po drugie, czy system, z którego korzystamy, wymaga
tworzenia startupu zapewne przedsiębiorca będzie zajmował się wszystkim sam, natomiast jeżeli wszystko będzie dobrze się rozwijało, nadejdzie taki moment, w którym w firmie pojawią się dodatkowe osoby, aby wesprzeć go swoją pracą. Osoby takie, jeżeli mają mieć dostęp do systemów, gdzie przechowywa-
takiemu postępowaniu możemy w znaczący sposób ograniczyć ryzyko ewentualnego wycieku danych, za których ochronę przedsiębiorca odpowiada.
od nas lub może wymagać odpowiednio silnego hasła oraz prowadzi odpowiednią politykę zarządzania hasłami. Minimalnym rozwiązaniem jest wymóg co najmniej 8-znakowego hasła, które będzie zawierało duże i małe litery, a także cyfry lub znaki specjalne. Dodatkowo hasło powinno być zmieniane co 30 dni, a zmienione hasło nie może być takie samo jak 3 ostatnie. Trzecim kluczowym elementem jest dostęp do danego systemu za pomocą wielu loginów. W początkowej fazie
ne są dane osobowe, muszą to robić w oparciu o indywidualny login i hasło. Dzięki temu w razie wycieku danych w bardzo łatwy sposób można stwierdzić, kto za to odpowiada. Jednocześnie warto zwrócić uwagę na to, czy możemy poszczególnym użytkownikom ograniczyć prawa dostępu do systemu, np. właściciel firmy ma dostęp do wszystkich danych i może nimi zarządzać w dowolny sposób, natomiast pracownik może pracować na ww. danych, ale nie ma możliwości eksportowania ich. Dzięki
Poczynając od aplikacji typu CRM/ERP, poprzez aplikację do prowadzenia sklepu online, aż po różnego rodzaju aplikacje służące zarządzaniu kampaniami marketingowymi. Warto pamiętać, że wszędzie tam, gdzie pojawiają się dane osobowe, my jako przedsiębiorcy jesteśmy zobligowani do ich chronienia.
Oczywiście poza systemem do email marketingu startupowcy wykorzystują jeszcze szereg innych rozwiązań w modelu SaaS.
AUTOR: Paweł Sala, Dyrektor zarządzający FreshMail, www.freshmail.pl
Rozmowa
bezpieczeństwo sieci firmowych – co jest najważniejsze? wywiad z SzymonEM WiśniewskiM, ekspertEM ds. rozwiązań sieciowych firmy AVM. Data wywiadu: 2 lipca 2013 r.
ROZMÓWCA: Szymon Wiśniewski, ekspert ds. rozwiązań sieciowych firmy AVM
Redakcja: Jakie urządzenia sieciowe są niezbędne w małej firmie? Szymon Wiśniewski: Sercem każdej sieci firmowej jest router. W mikro i małych firmach router zwykle jest zintegrowany z przełącznikiem Ethernet do podłączenia urządzeń siecią kablową oraz wyposażony jest w bezprzewodowy punkt dostępowy. Jeśli w firmie mamy drukarki USB bez interfejsu sieciowego, przydatnym urządzeniem będzie serwer wydruku, dzięki któremu wszyscy użytkownicy
12
będą mogli korzystać z podłączonych do niego drukarek USB. Ważnym elementem w sieci firmowej jest także serwer NAS, umożliwiający podłączenie zasobów pamięci dyskowych bezpośrednio do sieci komputerowej. Dzięki niemu łatwo można dzielić pliki ze współpracownikami, także zdalnie przez Internet. Serwer NAS umożliwi też łatwe i bezpieczne wykonywanie kopii archiwalnych, czyli tzw. backup danych. Jeśli planujemy pracę w różnych lokalizacjach lub z mobilnymi pracownikami, np. handlowcami w terenie, potrzebny nam będzie koncentrator VPN – do zdalnych i szyfrowanych połączeń z siecią firmową. Redakcja: Czy dla startupów bardziej polecane są rozwiązania przewodowe czy bezprzewodowe? Szymon Wiśniewski: Każde z tych rozwiązań ma swoje zalety i wady, wszystko zależy od konkretnego przypadku i potrzeb firmy. Sieci przewodowe oferują duże prędkości i stabilność połączenia. Ich wadą jest kłopotliwy, czasochłonny i drogi
PAŹDZIERNIK 2013 www.prevent-magazine.pl
montaż okablowania strukturalnego. Wiele urządzeń sieciowych łączy się jedynie z siecią bezprzewodową, więc w każdej sieci firmowej znajdą również zastosowanie bezprzewodowe punkty dostępowe. Współczesne sieci WiFi oferują dobre parametry pod względem prędkości, jednak każda sieć bezprzewodowa podnosi ryzyko w zakresie bezpieczeństwa. Alternatywnym rozwiązaniem jest stosowanie urządzeń typu powerline, które wykorzystują instalację elektryczną do komunikacji sieciowej. Jest to dobre rozwiązanie dla startupów mogących stworzyć szybką i bezpieczną sieć kablową bez konieczności inwestowania w okablowanie (np. z powodu planowanej przeprowadzki). Nowa generacja urządzeń powerline oferuje duży zasięg (do 500 metrów) i wysoką prędkość połączenia. Redakcja: Czy zdalny dostęp do sieci firmowej może rodzić zagrożenia? Szymon Wiśniewski: Połączenia zdalne przez Internet z siecią firmową zawsze niosą ze sobą ryzyko
podsłuchania i przychwycenia ważnych danych (haseł, danych kontrahentów itp.), ale z drugiej strony pozwalają na zwiększenie liczby pracowników mobilnych
lub zezwalać na podłączanie zainfekowanych urządzeń (tabletów, laptopów, smartfonów) do sieci kablowej. Jeśli sieć firmowa będzie także użytkowana do celów
Router używany w firmie musi być wyposażony w funkcje zapewniające wysoki poziom bezpieczeństwa sieci, minimalizujące ryzyko włamania i przechwycenia danych. oraz efektywniejszą i tańszą współpracę ze specjalistami z innych regionów. Jeśli firma staje przed problemem połączenia odległych od siebie oddziałów w jedną sieć czy umożliwienia korzystania z firmowych zasobów zdalnym użytkownikom – rozwiązaniem są wirtualne sieci prywatne VPN (Virtual Private Network). Dla zapewnienia maksymalnego bezpieczeństwa danych przesyłanych w ramach VPN konieczny jest wybór odpowiednich urządzeń do zdalnych i szyfrowanych połączeń – najlepsze routery na rynku posiadają odpowiednie funkcje w tym zakresie. Redakcja: Czy wykorzystywanie sieci firmowej do celów prywatnych, przez rodzinę i znajomych, jest bezpieczne? Szymon Wiśniewski: Startupy nierzadko powstają w domu, tym samym cześć infrastruktury sieciowej jest często używana przez domowników. Może to rodzić poważane ryzyko związane z bezpieczeństwem, gdy użytkownicy będą udostępniać klucze do sieci WLAN
prywatnych, warto zadbać o rozdzielenie sieci. Z pomocą przyjdzie funkcja wirtualnych sieci lokalnych (VLAN). Dzięki tej funkcji można stworzyć osobną, odseparowaną sieć przewodową oraz bezprzewodową z własnym kluczem i hasłem. Redakcja: Jakie są najpowszechniejsze zagrożenia dla sieci firmowych? Najczęstsze i najbardziej groźne metody hakerów polegają na wykorzystaniu specjalnie zainfekowanej strony internetowej lub załącznika graficznego e-mail do nieautoryzowanej zmiany konfiguracji routera lub też na przechwytywaniu komunikacji internetowej użytkownika (tzw. ataki CSRF – Cross-Site Request Forgery). Celem takich ataków jest zwykle przejęcie poufnych danych, takich jak loginy i hasła do internetowych kont bankowych. Sieć firmowa powinna być wyposażona przynajmniej w podstawowe zabezpieczenia przeciwko atakom hakerów. Router powinien posiadać zabezpieczenie przed wprowadzeniem przez
hakerów zmian w odwzorowywaniu nazw adresów internetowych oraz przed automatyczną zmianą konfiguracji, powinien być wyposażony w wysokiej jakości firewall oraz operować unikalnymi kluczami szyfrującymi dla sieci WLAN. Redakcja: Czym kierować się przy wyborze routera do małej firmy? Szymon Wiśniewski: Podstawowym kryterium przy wyborze routera dla małej firmy powinna być jego wszechstronność. Oprócz standardowych funkcji sieciowych, router powinien być również centralką telefoniczną, pozwalać na współdzielenie dysków i drukarek oraz być wyposażonym w automatyczne sekretarki, funkcje faksowe czy koncentrator VPN. Wykorzystanie urządzeń wielofunkcyjnych znacznie redukuje koszt wyposażenia biura, a ponadto pozwala obyć się bez plątaniny kabli i kłopotów z konfiguracją. Małe firmy często nie mogą pozwolić sobie na zatrudnienie informatyków, dlatego też przy wyborze routera należy zwrócić uwagę, by był on prosty w obsłudze, a jego producent lub dystrybutor zapewniał wsparcie techniczne. Router używany w firmie musi też być wyposażony w funkcje zapewniające wysoki poziom bezpieczeństwa sieci, minimalizujące ryzyko włamania i przechwycenia danych. Rozmawiał: Michał Sztąberek
KAPITALIZM ZAPISANY
NA TWARDYCH DYSKACH
C
oraz częściej słyszymy o tym, że firmy sprzedają swój stary sprzęt komputerowy, czy to na aukcjach wewnętrznych, czy też publicznie na portalach aukcyjnych. Wyprzedawane są komputery, laptopy, pamięci masowe, smartfony
14
– a z nimi jednocześnie sprzedaje się terabajty poufnych informacji, które nie powinny wyjść poza granicę danej firmy, a często nawet jednego z jej działów. – Świadomość potrzeby strzeżenia i niszczenia danych zapisanych na nośnikach elektro-
PAŹDZIERNIK 2013 www.prevent-magazine.pl
nicznych wzrasta, jednak cały czas firmy bardzo często bagatelizują sprawę i nie organizują w odpowiedni sposób tego procesu, przez co traci on na skuteczności. Zwykłe metody, np. nadpisywania danych, kasowania, formatowania nośników pamięci w obecnych
Zdjęcie: Fotolia
Mówi się, że światem rządzi informacja – jest jednym z najcenniejszych „surowców” współczesnej gospodarki i to wokół niej krąży globalna ekonomia. Jednak lokalnie, jest to jedna z najbardziej zaniedbywanych materii, a gdy wpadnie w niepowołane ręce, niedbałość może sporo kosztować. Na twardych dyskach firmowych komputerów zapisane są wrażliwe, poufne dane, a dostępne są na wyciągnięcie ręki każdego – wystarczy zajrzeć np. na internetowe portale aukcyjne.
realiach nie są już wystarczające. Techniki odzyskiwania danych są już tak rozwinięte, że najbezpieczniejszą metodą jest obecnie fizyczne niszczenie dysków i innych nośników informacji - mówi Marcin Sobaniec z firmy HSM Polska. Wysypisko danych elektronicznych Skalę problemu ukazało dwóch studentów amerykańskiej MIT, którzy w 2003 r. skupili ponad 150 dysków twardych na rynku wtórnym i przeanalizowali ich zawartość. Odzyskali zatrważającą ilość poufnych danych, m.in. ponad 5000 numerów kart kredytowych, poufne e-maile prywatne i korporacyjne czy też raporty medyczne. Tylko z ok. 10 proc. dysków nie udało się odzyskać wartościowych informacji. W Polsce też mieliśmy do czynienia z takimi przypadkami. Rok później, w 2004 r., z polskiego MSZ „wyciekło” 12 twardych dysków z niejawnymi informacjami. W innym przypadku na wysypisko śmieci trafił dysk z jednego z polskich banków z danymi tysiąca klientów. Takie historie opisywane są w mediach z przerażającą regularnością.
czenie danych. W 2009 r. taką potrzebę widziało zaledwie 39 procent respondentów badania. W raporcie jako poważne źródło zagrożeń wyciekiem danych z przedsiębiorstwa wskazywano partnerów biznesowych, dostawców i klientów. W ciągu dwóch lat prawie dwukrotnie urosły statystyki obrazujące to zjawisko. W 2009 r. zaledwie 8-10 proc. respondentów badania wskazywało te grupy jako źródła „przecieku”, w 2011 r. już 15-17 proc.
Poufne dane niszczmy wewnętrznie Postęp technologiczny w obszarze transferu danych i nośników do ich zapisywania powoduje, że nie tylko dyski twarde, ale również płyty DVD czy pamięci USB są coraz częściej używane do gromadzenia na nich informacji tajnych, poufnych i osobowych. – Należy ograniczyć możliwość wypływy tego typu nośników poza struktury firmy. Niszczenie nośników danych bezpośrednio
Świadomość potrzeby strzeżenia i niszczenia danych zapisanych na nośnikach elektronicznych wzrasta, jednak cały czas firmy bardzo często bagatelizują sprawę i nie organizują tego procesu w odpowiedni sposób.
– To wyraźnie ukazuje, jak zmienia się perspektywa organizacji bezpieczeństwa danych w przedsiębiorstwie. Większość firm posiada już wypracowane procedury zabezpieczające przed wyciekiem danych poprzez pracownika wewnętrznego. Jednak najwaniejsze jest efektywne ich wdrożenie i przestrzeganie, co dla wielu podmiotów pozostaje Procedury są ważne, ale w dalszym ciągu wyzwaniem. ważniejsze ich przestrzeganie Obecnie kolejnym krokiem jest ochrona przed wyciekiem Liczne incydenty znacznie poprzez zewnętrzne podmioty, wpłynęły na zwiększoną potrze- które mogą dzięki kooperacji bę zapewnienia bezpieczeńz firmą takie dane uzyskać. stwa danych. Z raportu firmy To właśnie w tym kierunku PwC „Eye of the storm” wynika, zmierzać powinny w najbliżże ponad połowa (51 proc.) szym czasie nowe procedury firm systematycznie zwiększa zabezpieczające – tłumaczy swoje wydatki na zabezpieMarcin Sobaniec.
w miejscu ich powstawania jest najlepszym sposobem zapewnienia bezpieczeństwa. Dzięki temu mamy większą pewność, że dane nie wyciekną. Trzeba pamiętać o tym, że zlecanie tego zadania podmiotom zewnętrznym zawsze wiąże się z ryzykiem wypływu danych w niepowołane ręce – podsumowuje Marcin Sobaniec.
AUTOR: Marcin Sobaniec,
ekspert z firmy HSM Polska Sp. z o.o., www.hsm.eu www.niszczarka.pl
5 zasad Prawo i praktyka
bezpiecznego niszczenia nośników danych Każda firma i instytucja mają obowiązek szczególnej ochrony przechowywanych informacji. W jaki więc sposób postępować z nadmiarem dokumentów, które nierzadko zawierają wrażliwe dane? Obecnie większość informacji zapisywana jest w formie elektronicznej. To duże wyzwanie, dlatego warto znać zasady, dzięki którym poufne dane nie wpadną w niepowołane ręce.
Przy wyborze sprzętu oraz metody niszczenia danych warto zwrócić uwagę na to, czy producenci i dostawcy rozwiązań dostosowują oferowane urządzenia i systemy do przepisów regulujących proces bezpiecznego niszczenia dokumentów i nośników informacji. W przypadku tych drugich jest to ogólnie uznawana za wzorcową norma DIN 66399, która określa sposób niszczenia poszczególnych rodzajów nośników danych, a także wielkość ścinków twardego dysku, płyty DVD, pamięci typu flash, tak aby wystarczająco utrudnić odczyt zawartych na nich informacji. Do standardów tej regulacji dostosowują się wszyscy czołowi producenci rozwiązań do niszczenia danych. Uwzględnia on trzy klasy bezpieczeństwa i pod ich kątem reguluje procesy związane z utylizacją nośników, na których zapisane są ważne informacje. Należy w tym miejscu podkreślić,
16
iż tylko wybór metody zgodnej z europejskimi standardami chroni przed zarzutem, że stosowana metoda utylizacji danych nie spełnia wymogów bezpieczeństwa. Opracowane przez specjalistów z Niemieckiego Komitetu ds. Technik Informacyjnych i ich zastosowań standardy zostały wprowadzone właśnie z myślą o uporządkowaniu i wyznaczeniu ogólnoświatowych wzorców postępowania, dając proste odpowiedzi i wskazówki oraz odpowiednie do zagrożenia zalecenia dotyczące poziomów bezpieczeństwa. 2. Bezpieczeństwo przede wszystkim Dane skasowane w tradycyjny sposób, np. poprzez formatowanie czy kilkukrotne nadpisywanie dysku, mogą zostać stosunkowo łatwo odzyskane. Na rynku od lat działają firmy wyspecjalizowane w tego typu usługach. Co więcej, dostępne oprogramowanie pozwala nawet osobom prywatnym
PAŹDZIERNIK 2013 www.prevent-magazine.pl
bez większych problemów odzyskać usunięte dane. Dlatego należy pamiętać, że tylko całkowite, fizyczne pocięcie nośnika na drobne elementy uniemożliwi przypadkowej osobie odczytanie elektronicznie zapisanych informacji. Metodę taką stosuje wiele instytucji, np. armia niemiecka czy amerykańska, instytucje rządowe USA czy NATO. Świadczy to o jej skuteczności i niezawodności. Przydatność urządzeń i technologii określa wspomniana powyżej norma bezpieczeństwa DIN 66399, która reguluje zasady w zakresie bezpiecznego niszczenia dokumentów i nośników danych. Zgodnie z jej wskazówkami powinniśmy dokonać wyboru metody oraz urządzeń, które odpowiednio zutylizują przeznaczone do tego informacje. 3. W firmie czy na zewnątrz? Prywatne osoby mają możliwość wyboru, czy chcą samodzielnie zniszczyć
Zdjęcie: Fotolia
1. Regulacje i normy
nośnik danych, czy powierzyć to zadanie zewnętrznemu specjaliście. Natomiast w przypadku firm sytuacja jest bardziej skomplikowana. Podmioty prawne podlegają bowiem bardziej rygorystycznym normom w tej kwestii, i jeżeli zajdzie potrzeba niszczenia danych, powinno się to odbyć w miejscu wytworzenia i przechowywania nośnika informacji. Należy też zauważyć, że ryzyko wypływu danych firmowych może mieć dużo większe konsekwencje. Dzięki niszczeniu nośników danych w miejscu ich wytworzenia eliminujemy dostęp osób postronnych oraz ryzyko, że nośnik danych w drodze do miejsca zniszczenia po prostu zostanie zagubiony lub skradziony. Wystarczy odpowiednio przeszkolony pracownik, który przeprowadzi cały proces, dzięki czemu możemy być w stu procentach pewni, że nikt niepowołany nie będzie miał wglądu w nasze dane. Dodatkowo uzyskamy gwarancję zniszczenia przechowywanych informacji, i to w dużo szybszym czasie, niż trwałoby zlecenie tej czynności zewnętrznej firmie. Istnieją na rynku urządzenia, które potną nawet około trzystu dysków twardych w ciągu jednej godziny pracy maszyny. Warto dodać, że wiele firm i instytucji posiada wewnętrzne regulacje, określające proces przechowywania i niszczenia danych. W niektórych przypadkach ingerencja osób trzecich lub też wyniesienie nośników
danych poza wyznaczone do przechowywania miejsce w firmie jest całkowicie zabroniona. Biorąc pod uwagę cykliczne medialne doniesienia, jest to bardzo racjonalna zasada i należy z biegiem czasu spodziewać się coraz szerszego jej zastosowania, w miarę podnoszenia świadomości osób odpowiedzialnych za bezpieczeństwo danych w firmach. 4. Co powinni wiedzieć pracownicy? Często wyciek poufnych informacji to efekt niewiedzy lub zwykłego niedbalstwa osób, które mają z nimi do czynienia. Dlatego warto edukować pracowników w kwestii bezpieczeństwa danych. Poufne i tajne dokumenty zapisane na nośnikach optycznych, magnetycznych czy elektronicznych podlegają takiej samej ochronie, jak informacje zapisane na papierze. Z racji ilości zapisanych na nich danych, winny podlegać szczególnej ochronie. Po ich zdezaktualizowaniu należy je zniszczyć za pomocą odpowiedniej, gwarantującej pewność i bezpieczeństwo technologii. Należy także ograniczyć możliwość wypływu tego typu nośników poza struktury firmy. Niszczenie elektronicznie przechowywanych danych bezpośrednio w miejscu ich powstawania jest najlepszym sposobem zapewnienia bezpieczeństwa. Dzięki temu mamy większą pewność, że wrażliwe infor-
macje nie wyciekną. Trzeba pamiętać o tym, że zlecanie tego zadania podmiotom zewnętrznym zawsze wiąże się z ryzykiem trafienia archiwów w niepowołane ręce. 5. Niszcz ekologicznie Obecnie firmy oraz instytucje rządowe przywiązują coraz większą wagę do ekologii i redukują ilość wytwarzanych odpadów. Przy wyborze metody utylizacji ważne jest, aby wybrać taką, która jest bezpieczna i ekologiczna – czyli w procesie niszczenia nie powstają szkodliwe zagrożenia dla człowieka czy też środowiska. Ważną zaletą, szczególnie mechanicznego niszczenia dysków twardych, jest łatwy proces ich utylizacji. Nośniki pocięte mechanicznie na małe kawałki można sprzedawać, zasilając w ten sposób firmowy budżet. Pozwoli to np. na odzyskanie kosztów opłat za energię elektryczną potrzebną do pracy urządzenia oraz częściową amortyzację zakupu sprzętu. Nie bez znaczenia pozostaje aspekt ekologiczny i ponowne wykorzystanie materiałów, z których współczesna elektronika jest produkowana.
AUTOR: Marcin Sobaniec,
ekspert z firmy HSM Polska Sp. z o.o., www.hsm.eu www.niszczarka.pl
Marketing
Europe΄s leading conversion engine
Projektowanie społecznościowe
nowym wymiarem marketingu
Coraz większa konkurencja w walce o klienta skłania firmy do wprowadzania innowacyjnych rozwiązań marketingowych, takich jak korzystanie z usług projektowania społecznościowego. Branża angażująca setki tysięcy specjalistów za granicą, także w Polsce rozwija się bardzo szybko, pomimo że jest relatywnie nowym zjawiskiem. Firmy coraz bardziej doceniają korzyści płynące z projektowania społecznościowego – przede wszystkim dostęp do dużej liczby zróżnicowanych projektów w krótkim czasie i za przystępną cenę. Daje to możliwość zwiększenia efektywności działań marketingowych, przy jednoczesnym podniesieniu konkurencyjności firmy oraz zachowaniu bezpieczeństwa kosztowego.
Projektowanie społecznościowe umożliwia firmom rozszerzenie bazy dotychczasowych podwykonawców odpowiedzialnych za dostarczanie materiałów graficznych. Przedsiębiorca otrzymuje bowiem szansę wyboru z niezwykle szerokiego wachlarza propozycji. Na jedno zapytanie może spłynąć około 230 projektów (z kolei decydując Bartosz Gryszko, Prezes zarządu i współzałożyciel Corton.pl, www.corton.pl
się na tradycyjną współpracę ze studiami graficznymi, firmy otrzymują zaledwie kilka propozycji). To z kolei przekłada się też na większą skuteczność realizowania założeń marketingowych – firma może wybrać rozwiązanie najbardziej spójne z jej strategią.
Projektowanie społecznościowe to ciekawa propozycja dla działów marketingu, HR czy komunikacji wewnętrznej firm, a także dla agencji obsługujących klientów zewnętrznych w tych obszarach. Zorganizowanie konkursu pozwala uniknąć żmudnego procesu poszukiwania odpowiedniego specjalisty, który dostarczy
wymaganą jakość. Daje też większe prawdopodobieństwo uzyskania nietypowego, oryginalnego projektu. Coraz więcej firm korzysta z serwisów projektowania społecznościowego, widząc w nim potencjał i narzędzie do zwiększenia efektywności działania własnych działów marketingowych. Natomiast firmy nieposiadające takich jednostek, nie muszą inwestować dodatkowych pieniędzy w zatrudnianie nowych pracowników, szkolenia czy zakup programów graficznych. Przedsiębiorcy w Polsce są też coraz bardziej świadomi faktu, że działania marketingowe podejmowane przez firmę oraz posiadanie spójnej i rozpoznawalnej identyfikacji wizualnej bezpośrednio przekłada się na ich konkurencyjność rynkową. Współpraca z portalami projektowania społecznościowego pozwala firmom poprawić efektywność swoich działań brandingowych bez nadwyrężania budżetu przedsiębiorstwa, jak również oszczędzić czas i zaangażowanie w pracę nad tego typu projektami.
Zdjęcie: Fotolia
S
erwisy oferujące usługi projektowania społecznościowego w większości bazują na coraz bardziej popularnym modelu crowdsourcingu. Polega on na przekazaniu różnego rodzaju zadań i prac dużej grupie ludzi, niezwiązanych w sposób formalny z organizacją, która je zleca. Organizacje mogą zaprosić specjalistów do zaprojektowania pojedynczych produktów, w tym plakatów, ulotek, wizytówek, reklam wielkopowierzchniowych, logotypów albo opracowania całościowej identyfikacji wizualnej.
Serwery
Polisa ubezpieczeniowa
dla strony www Serwer, na którym działa serwis, przypomina zdrowie z fraszki Kochanowskiego. Nie myślimy o nim aż do momentu przerwy w działaniu. Regularne wykonywanie kopii bezpieczeństwa jest najlepszym lekarstwem na tę chorobę.
20
do czasu ulega awariom. Często są one spowodowane zużyciem dysków twardych, na których zapisuje się dane. Dlatego powszechnie stosuje się tzw. macierze dyskowe. To układy Co może zrobić firma złożone z co najmniej dwóch hostingowa? dysków twardych. Dane są W swojej istocie serwer to nic zapisywane na obu nośnikach innego jak komputer, podłączony jednocześnie. W razie awarii non-stop do sieci. Jak każda jednego z nich, serwer automamaszyna tego typu, od czasu tycznie przełącza się na drugi. dardów stosowanych przez firmę hostingową, właściciel strony może wiele zrobić, aby zapobiec utracie danych zapisanych na serwerze.
PAŹDZIERNIK 2013 www.prevent-magazine.pl
Zdjęcie: Fotolia
P
owiedzenie krążące wśród administratorów mówi, że użytkownicy hostingu dzielą się na tych, którzy robią backup, oraz tych, którzy będą go robić. Kopie bezpieczeństwa danych zapisanych na serwerze to bardzo ważny, ale często niedoceniany składnik bezpieczeństwa każdej strony internetowej. Choć wiele zależy od stan-
Kolejnym zabezpieczeniem danych klientów są wykonywane regularnie kopie zapasowe (tzw. backupy). Pliki z jednego serwera kopiuje się na inną maszynę, by uchronić je przed usunięciem wskutek zdarzeń losowych. O ile wykonywanie backupów jest standardem, o tyle częstotliwość i zakres ich wykonywania może być różny w zależności od dostawcy. Przechowywanie dodatkowych danych jest dla firmy kosztem. W przypadku tańszych kont hostingowych kopie bezpieczeństwa są wykonywane co kilka dni, a najnowsza kopia zastępuje poprzednią. Dla dostawcy hostingu bardziej kosztownym rozwiązaniem jest robienie backupu codziennie oraz przechowywanie kolejnych kopii przez kilkanaście lub kilkadziesiąt dni. To rozwiązanie daje jednak większe możliwości w przypadku problemów z działaniem strony klienta. Taką sytuacją może być zainfekowanie strony złośliwym oprogramowaniem. Załóżmy, że właściciel strony internetowej odkrył, że jego witryna zawiera wirusa. Odkrycia dokonał w piątek, chociaż infekcja miała miejsce kilka dni wcześniej. Jeśli dostawca hostingu przechowuje tylko ostatnią kopię bezpieczeństwa, wykonaną dzień wcześniej, przywrócenie jej nic nie da. Przechowywanie kopii plików przez dłuższy czas pozwala „cofnąć się” do momentu, zanim doszło do infekcji i w łatwy sposób rozwiązać problem. Warto jednak
pamiętać, że kopie zapasowe danych klientów mają być zabezpieczeniem dla firmy i często dostawcy wymagają dodatkowej opłaty za przywrócenie kopii zapasowej. Dobrym uzupełnieniem środków bezpieczeństwa, oferowanych przez firmę, jest wykonywanie kopii bezpieczeństwa we własnym zakresie. Co może zrobić użytkownik? Najprostszą metodą na własnoręczne wykonanie backupu jest zalogowanie się na konto hostingowe przez tzw. klienta FTP, a następnie skopiowanie plików na dysk twardy komputera. Zaletą takiego rozwiązania jest niemal dowolna częstotliwość tworzenia kopii bezpieczeństwa i możliwość szybkiego przywrócenia strony do wybranego momentu. Problemem może być pamiętanie o wykonywaniu regularnych backupów, dlatego opracowano rozwiązania wyręczające pamięć. Właściciele stron działających w oparciu o systemy Wordpress lub Joomla mają do dyspozycji rozszerzenia, dzięki którym można zautomatyzować proces wykonywania kopii bezpieczeństwa. Użytkownik określa, jakiego typu pliki chce zapisać oraz jak często ma powstawać kopia bezpieczeństwa. Niektóre wtyczki umożliwiają również przesłanie plików do zewnętrznych serwisów, takich jak Dropbox. Opcję tworzenia kopii bezpieczeństwa znajdziemy również po zalogowaniu się do panelu klienta na stronie
dostawcy hostingu. Większość autorskich rozwiązań oraz popularnych paneli komercyjnych (np. DirectAdmin) umożliwia tworzenie i przywracanie kopii wybranych plików. Ograniczeniem jest tylko pojemność konta hostingowego, ponieważ każdy backup korzysta z przestrzeni dyskowej, jaką ma do dyspozycji użytkownik. Bardziej rozbudowane możliwości tworzenia i zarządzania kopiami zapasowymi dają serwery VPS oraz serwery dedykowane. To rozwiązania stosowane przy dużych projektach internetowych, generujących duży ruch użytkowników oraz obciążenie procesora. W przypadku takich serwisów, gdzie treść strony zmienia się często, konieczne jest wykonywanie backupu nawet kilkakrotnie w ciągu doby. Jednak bez względu na rozmiary uruchamianego serwisu i prognozowany ruch na stronie, warto pamiętać o regularnym wykonywaniu kopii zapasowej. Lepiej od razu znaleźć się w pierwszej grupie z powiedzonka administratorów, niż przejść awarię i dopiero zacząć robić backup. AUTORZY: Tomasz Malik, dyrektor IT w Grupie Adweb, www.grupa-adweb.pl Maciej Kurek, specjalista ds. PR marki 2BE.PL (Grupa Adweb), www.2be.pl
jak zarządzać dostępem
Zdjęcie: Fotolia
5
wskazówek,
Zarządzanie dostępem ma kluczowe znaczenie dla każdego przedsiębiorstwa z dostępem do Internetu, a obecnie stało się ono jeszcze trudniejsze. Rozpowszechnienie pracy zdalnej i urządzeń mobilnych znacznie skomplikowało tak proste niegdyś funkcje zarządzania dostępem, a popularność mediów społecznościowych i innych stron Web 2.0 stanowi nowe wyzwanie dla środowisk pracy.
Przeprowadź analizę Przedsiębiorstwa potrzebują odpowiednich zasad dostępu użytkowników do danych, a administratorzy sieci muszą sobie odpowiedzieć na podstawowe pytanie: kto powinien mieć dostęp do czego?Prezes i kierownicy wyższego szczebla powinni mieć większe
dzinami pracy. Ogólny zakaz korzystania z YouTube może przeszkadzać użytkownikom w wykorzystywaniu filmów o tematyce zawodowej do celów szkoleniowych. Duże ograniczenia pasma będą powodować frustrację u pracowników przeprowadzających wideokonferencje z udziałem wielu użytkowników z różnych krajów. Dlatego określenie odpowiedniego poziomu uprawnień wymaga zbadania, czego potrzebują użytkownicy do osiągnięcia maksymalnej wydajności. Trochę pracy
Jest mało prawdopodobne, aby jeden zestaw reguł dotyczących dostępu miał zastosowanie do całego przedsiębiorstwa przez cały czas. prawa dostępu niż szeregowi pracownicy. W zależności od konkretnych potrzeb przedsiębiorstwa, mogą też nadać grupom użytkowników uprawnienia związane z ich obowiązkami. Dzięki temu pracownicy marketingu i sprzedaży będą mieć nieograniczony dostęp do portali społecznościowych, podczas gdy inni pracownicy (np. ochroniarze) będą mogli z nich korzystać wyłącznie w porze lunchu lub poza go-
22
na samym początku pozwoli przedsiębiorstwom uzyskać efekty dużo szybciej niż metodą prób i błędów. Przekazuj jasne informacje o zasadach i zachowaj elastyczność Po wprowadzeniu odpowiednich poziomów dostępu przedsiębiorstwa muszą poinformować o tym użytkowników. Oznacza to konieczność edukowania pracowników na
PAŹDZIERNIK 2013 www.prevent-magazine.pl
temat tego, co mogą, a czego nie mogą robić w sieci przedsiębiorstwa. Firmy powinny jednak zachować elastyczność, ponieważ dany użytkownik lub grupa użytkowników może potrzebować dostępu do specyficznych danych, którego nikt wcześniej nie przewidział. Potrzeby użytkowników mogą się również zmieniać: pracownicy awansują, zmieniają stanowiska i otrzymują nowe obowiązki. Każda taka zmiana wymaga nowego poziomu dostępu. Dobra znajomość potrzeb użytkowników i informowanie ich o odpowiednich zasadach pozwoli przedsiębiorstwom oszczędzić czas i uniknąć problemów z ich egzekwowaniem. Jeśli pracownicy będą dobrze poinformowani, to jest większa szansa, że będą się starali przestrzegać zasad. Monitoruj, monitoruj i jeszcze raz monitoruj Przedsiębiorstwa wiedzą tylko tyle, ile są w stanie sprawdzić. Mimo wprowadzenia rygorystycznych zasad dostępu jest mało prawdopodobne, żeby jeden zestaw reguł miał zastosowanie do całego przedsiębiorstwa przez cały czas. Na pewno pojawią się wyjątki.
Zdjęcia: Fotolia
M
ając to na uwadze, prezentujemy kilka wskazówek dotyczących zarządzania dostępem, które mogą ułatwić ten proces.
A w przypadku całej gamy różnych uprawnień i zasad istnieje też niebezpieczeństwo pewnych luk. Dlatego w interesie przedsiębiorstw leżą inwestycje w narzędzia do monitoringu i analizy zachowania użytkowników w sieci. Kompleksowy monitoring pozwala administratorom sieci określić, czy dany użytkownik zmniejsza przepustowość sieci przez strumieniowe odtwarzanie muzyki lub filmów, czy uzyskuje nieuprawniony dostęp do informacji, przez przypadekbądź celowo, lub czy pracownicy odwiedzają
zapewnia administratorom sieci i kadrze zarządzającej wgląd w wykorzystanie sieci, dzięki czemu mogą lepiej kształtować reguły obowiązujące w firmie pod kątem przyszłego rozwoju.
rzędzi do kontroli dostępu i aplikacji, zapór, systemów IDS i IPS oraz programów antywirusowych, antyspamowych i zabezpieczających przed programami szpiegującymi.
Zarządzaj pracownikami zdalnymi Większość firm zgodnie uważa, że zarządzanie siecią byłoby łatwiejsze, gdyby nie wychodziło poza mury przedsiębiorstwa. Obecnie jednak, ze względu na dużą popularność pracy zdalnej oraz współpracy na zasadzie podwyko-
niedozwolone strony internetowe w godzinach pracy. Większa ilość informacji w tym zakresie pozwala firmom działać w sposób, który najlepiej odpowiada ich celom biznesowym. Spójrzmy prawdzie w oczy: większość przedsiębiorstw chce osiągnąć jak największą wydajność i produktywność. Monitoring
nawstwa, taka sytuacja ma miejsce niezmiernie rzadko. Administratorzy sieci muszą więc dopilnować, aby do takich pracowników i ich urządzeń miały zastosowanie te same zasady i uprawnienia. Przedsiębiorstwa powinny zadbać o to, by dysponowali oni sprawnym rozwiązaniem VPN i byli objęci działaniem na-
Pamiętaj, że pracownicy mogą używać swoich prywatnych urządzeń do celów służbowych Dawno temu administratorzy sieci mieli za zadanie kontrolę nad siecią i wszystkimi jej elementami. Obecnie sytuacja wygląda inaczej. Użytkownicy nie potrzebują teraz komputerów biurkowych, aby uzyskać dostęp do niedozwolonych stron internetowych czy wrażliwych danych, bo mogą to zrobić za pomocą swoich urządzeń mobilnych. Prywatne urządzenia mobilne wykorzystywane do celów służbowych zawierają wrażliwe informacje biznesowe o znaczeniu krytycznym. Naraża to przedsiębiorstwa na kradzież danych i ataki szkodliwego oprogramowania, jeżeli to samo urządzenie ma również dostęp do stron internetowych zawierających szkodliwe oprogramowanie. Dlatego administratorzy sieci i inne osoby zarządzające przedsiębiorstwem muszą określić, do jakiego stopnia zasady zarządzania dostępem powinny mieć zastosowanie do prywatnych urządzeń pracowników. Zależy to od potrzeb i celów firmy, a także od jej kultury organizacyjnej. AUTOR: Mariusz Rzepka, Territory Manager na Polskę, Ukrainę i Białoruś, Fortinet, www.Fortinet.pl
E-biznes
Jak (prawie)
bezkosztowo przetestować stronę internetową?
Z
azwyczaj, kiedy rozmawiam z kimś na temat jakiejś strony internetowej, rozmawiamy o kolorach czy o obrazkach. Dobre zdjęcia i ładne kolory to jest to, co definiuje stronę jako dobrą. Ale kwestia wizualna to tylko wierzchołek góry lodowej! Są strony dopieszczone, śliczne chciałoby się powiedzieć, które niestety dobre nie są. A jaka to
ca do kontaktu - telefonicznego bądź mailowego. Dobra strona internetowa, to także taka, która jest wygodna dla użytkownika. To lepsze określenie niż „ładna”, gdyż zawiera w sobie więcej elementów. Nie tylko czcionka musi być odpowiedniej wielkości i kolory takie, aby nie męczyły oczu czytającego, ale niebagatelne znaczenie ma też rozmieszczenie samej treści
jest dobra strona? Taka, która realizuje postawiony przed nią cel, czyli, powiedzmy sobie otwarcie - taka, która sprzedaje... Sprzedaje bezpośrednio – kiedy jest na przykład sklepem internetowym, lub pośrednio, kiedy strona internetowa jest po prostu wizytówką firmy i zachę-
czy nawigacja. Jak sprawdzić już posiadaną stronę internetową? Oto kilka prostych czynności, które można wykonać bez zamawiania drogiego raportu od firmy audytorskiej: Sprawdź wielkość menu. Częstym błędem jest „wyciąganie” wszystkiego na wierzch strony
24
PAŹDZIERNIK 2013 www.prevent-magazine.pl
– bo wszystko jest równie ważne. Zastanów się, jaka jest najbardziej pożądana akcja, jaką ma przeprowadzić użytkownik. Domyśl się, czego szukają wchodzący na stronę i pewne elementy ukryj w podmenu. Zastanów się, czy na stronie nie ma elementów, które wyglądają jak reklama. Oko internauty odsiewa coś, co może być reklamą, zatem możliwe, że nie zauważą np. ważnego guzika na stronie - bo wygląda jak reklama. Zjawisko to zwie się banner blindness i nie muszę mówić, że na komercyjnej stronie firmy nie może być mowy o żadnych reklamach! Spotkałem się z przypadkami, gdzie na stronie firmy były reklamy Google AdSense. Zarobek to dla właściciela strony żaden, a strata wizerunkowa spora. Przeprowadź test z użytkownikiem. Robi się to prosto i wbrew powszechnej opinii nie potrzeba drogiego sprzętu do nagrywania ruchu gałek ocznych. Najpierw przygotuj zadania dla testera. Powinny to być takie akcje, jakie chcesz, aby użytkownicy strony na niej wykonali, oraz najczęściej wykonywane akcje - wynikające ze statystyk. Na przykład: „Klientowi zepsuł się mój produkt i poszukuje na stronie możliwości jego reklamacji”,
Zdjęcia: Fotolia
Posiadanie strony internetowej to dla firmy już niemal oczywistość. Jedne witryny są lepsze, a inne gorsze – ale prawie zawsze są. „Jedne są lepsze, a drugie gorsze” - to stwierdzenie jest tutaj kluczowe.
albo: „Klient nie jest pewien, czy ten rozmiar sprzedawanych przeze mnie ubrań będzie na niego pasował. Chce sprawdzić tabelę rozmiarów”. Następnie zapraszamy testera. Ważne jest, aby uprzedzić go, że nawet niepowodzenie w wykonaniu zadania jest dla nas bardzo dobre i też nas czegoś uczy i tester nie jest w żaden sposób oceniany. Oceniamy stronę, a nie człowieka. To ważne, ponieważ niejednokrotnie człowiek dąży do wykonania zadania za wszelką cenę - a to nie o to tutaj chodzi. Następnie prosimy testera, aby „głośno myślał” - aby mówił, co robi i dlaczego. Stajemy za nim i obserwujemy po kolei jego czynności na monitorze, nie podpowiadając – najlepiej, gdy prowadzący test nie odzywa się wcale podczas badania. Naucz się czytać statystyki. Nie ważne czy to Google Analytics, czy inne, płatne rozwiązania, ważne jest, aby wyciągać wnioski na podstawie dostarczonych danych. Wielu ludzi traktuje statystyki odwiedzalności witryny bardziej jak licznik niż jako źródło informacji o zachowaniach użytkowników. A to błąd. Na statystykach widać nie tylko liczbę użytkowników, ale też na przykład kolejność stron, jakie odwiedzają, informacje o ich rozdzielczościach ekranu, co jest istotne przy projektowaniu graficznym witryny. Czytanie statystyk ma niebagatelny wpływ na ulepszanie witryny. Ostatnia zasada, która tak naprawdę powinna być pierwsza, brzmi: „Testuj, a nie ufaj”. Teoretycznie witryna powinna wyglądać i działać tak samo wszędzie i na wszystkich prze-
glądarkach. W praktyce bywa z tym różnie. Czasem okazuje się, że w Chrome na Macu i w Chrome na Windows pewne funkcje witryny działają nieco inaczej. Owszem – zazwyczaj
my część pracy samodzielnie. Może okazać się, że zwiększymy bezpośrednie lub pośrednie dochody pochodzące z naszej strony internetowej, niezależnie, czy prowadzimy e-biznes, czy
Przykłady typowych błędów w przypadku stron internetowych W mojej pracy wielokrotnie spotkałem się z błędami na stronach internetowych, tak oczywistych, że aż dziwiłem się, że nie zostały wyeliminowane. I tak, na przykład: Na jednej ze stron sklepów internetowych po przełączeniu języka strony na angielski zmieniały się, owszem, ceny (zamiast złotówek pojawiały się funty szterlingi), ale nazwy i opisy produktów pozostawały po polsku. Jedna ze stron, którą testowałem, bardzo głęboko ukryła informacje kontaktowe. Link do odpowiedniej podstrony był na samym dole, napisany malutką czcionką w kolorze bardzo bliskim odcieniowi tła. Wyszukiwarka na stronie nie zwracała wyników. Nieważne, co się w nią wpisało – pokazywała prosty komunikat o tym, że „znaleziono zero rekordów”. Nie oferowała też żadnej pomocy, wskazówki, co użytkownik w przypadku znalezienia zera rekordów ma zrobić. Jeden ze sklepów internetowych nie podawał ani procedury zwrotu towaru, ani nie zamieszczał regulaminu korzystania z usług. O ile pierwszy błąd to tylko denerwujący użytkowników mankament, to drugi – może mieć konsekwencje prawne.
różnice nie są wielkie, niemniej czasem utrudniają poprawne przeglądanie witryny. Np. animowane powiększanie obrazka nie działa. Zatem - sprawdzaj! Wykonanie opisanych działań, na pewno nie zaszkodzi. To znaczy: firmę do przeprowadzenia audytu zawsze zdążymy zatrudnić. Najpierw wykonaj-
też inną, nieinternetową, działalność. Zatem apeluję: Sprawdzajmy sami i powtarzajmy testy. Strona firmowa jest wszak bytem, który ciągle się zmienia. AUTOR: Piotr A. Wasiak,
bloger i sieciowy PR-owiec, pasjonat zagadnień usability, doradza firmom w budowaniu wizerunku w sieci
Zabezpieczenia
Reputacja sklepu internetowego
kluczem do sukcesu
D
latego coraz więcej sklepów decyduje się na zainstalowanie certyfikatów SSL. Jeszcze niedawno były one uznawane za coś, co powinny mieć banki, a w innych branżach traktowane są co najwyżej jako fanaberia. Istniało przeświadczenie, że posiadanie certyfikatu SSL nie daje żadnych wymiernych efektów i jest niezauważalne przez użytkowników. Co innego jednak mówią wyniki – badania TNS Research pokazują, że aż 72% internautów przynajmniej raz opuściło stronę WWW, która wydała im się niebezpieczna. Co więcej, aż 91% z nich pozostałoby na tej stronie, gdyby posiadała ona certyfikat SSL. Użytkownicy coraz bardziej zwracają uwagę na bezpieczeństwo odwiedzanych witryn i są świadomi zagrożeń, jakie mogą spotkać w sieci. Wiedzą również, jak rozpoznać oznaczenia, które świadczą o instalacji certyfikatu SSL (kłódka, protokół https://, zielony pasek w polu adresu www). Warto pamiętać o tym na etapie wyboru platformy do budowy sklepu. Nie wszystkie posiadają możliwość instalacji własnego certyfikatu.
26
Nie bez znaczenia jest również bezpieczeństwo danych klientów. Jeżeli w e-sklepie gromadzimy jakiekolwiek dane, nie możemy zapominać o tym, że są one narażone na przechwycenie i wykorzystanie przez osoby trzecie. Dotyczy to przede
stia bezpieczeństwa powinna interesować przede wszystkim właścicieli sklepów internetowych, serwisów aukcyjnych i stron, za pośrednictwem których można logować się do systemów bankowości elektronicznej.
wszystkim haseł do logowania, danych przekazywanych przez różnego rodzaju formularze (np. podczas rejestracji w serwisie czy zapisie do newslettera), a także dokonywanych transakcji w sklepie internetowym. Dzięki instalacji certyfikatu, przesyłane dane są szyfrowane i chronione przed odczytaniem przez niepowołane osoby. Kwe-
Skoro jesteśmy przy danych osobowych, warto wspomnieć o obowiązku rejestracji zbiorów danych osobowych. Obowiązek ten nakłada na administratorów danych osobowych art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101, poz. 926 z 2002 r. – tekst jedn. z późn. zm.), wedle którego admini-
PAŹDZIERNIK 2013 www.prevent-magazine.pl
Zdjęcie: Fotolia
Otwierając sklep internetowy, czy to jako całkowicie nowe przedsięwzięcie, czy jako „drugą nogę” biznesu tradycyjnego, warto pamiętać, jak ważną rolę w sieci odgrywa reputacja. Kupując na aukcjach internetowych, zazwyczaj prześwietlamy sprzedającego, sprawdzając skrupulatnie komentarze i opinie klientów. Zamawiając produkty w e-sklepie, mamy często uzasadnione obawy dotyczące bezpieczeństwa naszych danych osobowych.
strator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem wymienionych przypadków w ustawie. Zgodnie natomiast z art. 7 pkt 4 tejże ustawy administratorem danych osobowych jest osoba, która przetwarza dane osobowe w związku z jej działalnością zarobkową lub zawodową, przy czym decyduje jednocześnie o celach i środkach przetwarzania danych osobowych. Można zatem stwierdzić, że obowiązek rejestracji zbioru obowiązuje wszystkie osoby prowadzące sklepy internetowe, jeżeli tylko przetwarzają dane osobowe swoich klientów w innych celach niż wystawienie rachunku lub faktury – np. wysyłając choćby do nich mailing, poza wyjątkami wskazanymi w art. 43 ust. 1 ww. ustawy. Nie warto zwlekać ze spełnieniem tego obowiązku, ponieważ niedopełnienie go jest przestępstwem, za które grozi kara grzywny, ograniczenia albo pozbawienia wolności do roku. Sama rejestracja jest dość prosta i można jej dokonać online: http://egiodo.giodo.gov.pl/index. dhtml (to opcja dla posiadaczy podpisu elektronicznego), albo wysyłając wniosek pocztą tradycyjną. W praktyce, najwięcej problemów przy rejestracji zbiorów danych osobowych administratorom przysparzają przepisy wykonawcze do ustawy stawiające wysokie wymagania co do kwestii „technicznych”, a w szczególności kwestii zabezpieczenia zbiorów danych
osobowych przetwarzanych na komputerach z dostępem do sieci Internet. Wspomniane przepisy znajdują się w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.) Przed problemem właściwego zabezpieczenia
tylko myślimy o swoim biznesie poważnie. Najlepiej, gdy jest możliwość zawarcia z takim dostawcą specjalnej umowy powierzenia przetwarzania danych osobowych. Na mocy takiej umowy dostawca usług hostingowych może odpowiadać za kwestie techniczne przetwarzania danych osobowych, w tym za prawidłowe zabezpieczenie fizyczne serwerów, na których gromadzone są dane osobowe. Należy tylko zasygnalizować, że brak takiej umowy w przypadku korzystania z rozwiązań hostingowych współdzielonych
72% internautów przynajmniej raz opuściło stronę WWW, która wydała im się niebezpieczna. Aż 91% z nich pozostałoby na tej stronie, gdyby posiadała ona certyfikat SSL. swoich zbiorów danych osobowych stają zatem zawsze osoby prowadzące sklepy internetowe. Nie wdając się w szczegóły wspomnianego rozporządzenia, warto jedynie zasygnalizować, że stawia ono naprawdę wysokie wymagania administratorom i bez uzyskania szczegółowych i przejrzystych informacji od dostawców hostingu, osobom tym nie uda się zarejestrować zbiorów danych osobowych, a w razie kontroli wykonywanej po zgłoszeniu zbioru danych do GIODO, narażają się na sankcje pokontrolne, w tym kary pieniężne. Warto zatem wybrać dostawcę rozwiązań hostingowych, który pomoże w rejestracji zbioru danych osobowych swoją wiedzą oraz doświadczeniem, jeżeli
może okazać się kolejną przeszkodzą w rejestracji zbioru danych osobowych. Na rynku to wciąż rzadkość, ale warto skorzystać z oferty usługodawców, którzy pomagają nam w prawnych aspektach działalności. Temat bezpieczeństwa w e-commerce wraca w mediach cyklicznie, po każdej głośnej sprawie wyłudzenia danych czy włamania. Warto poświęcić chwilę na rejestrację zbioru danych i niecałe 100 zł – bo od takiej rocznej opłaty rozpoczynają się ich ceny – na certyfikat SSL. AUTOR: Tomasz Zawada, Menedżer ds. Public Relations w nazwa.pl, www.nazwa.pl
Zdjęcie: Fotolia
Jak zabezpieczyć
Bezpieczeństwo sieci jest jednym z ważniejszych elementów przy jej projektowaniu. Należy pamiętać, że ataków można się spodziewać zarówno z zewnątrz – z Internetu, do którego każdy z pracowników ma dostęp, jak i z wewnątrz – z sieci firmowej w wyniku celowego lub nieumyślnego zachowania pracownika. Niebezpieczeństwa mają różne postacie, ale wszystkie mogą spowodować spadek wiarygodności zaatakowanej organizacji, a także zostać przeliczone na realne straty finansowe. Pamiętać należy m.in. o atakach sieciowych, np. DDoS, o wirusach oraz innych rodzajach złośliwego oprogramowania, lukach w systemach, a także o awariach sprzętu. Coraz powszechniejszym zjawiskiem stają się ataki na konkretne cele i zagrożenia APT. Nie można także zapomnieć o czynniku ludzkim, który według niektórych badań związany jest z aż 70% przeprowadzanych ataków i staje się najsłabszych ogniwem w łańcuchu bezpieczeństwa sieciowego każdej firmy.
P
ostaramy się odpowiedzieć na pytania, jakie zagrożenia czyhają w sieci, jak się przed nimi zabezpieczać oraz na co przedsiębiorcy powinni zwrócić uwagę, projektując sieć firmo-
28
wą. Skupimy się również na omówieniu systemu zabezpieczającego, który jest w stanie zapewnić bezpieczeństwo sieci, chroniąc przed złośliwym oprogramowaniem oraz bezpośrednimi atakami z Internetu.
PAŹDZIERNIK 2013 www.prevent-magazine.pl
Co powinno się wziąć pod uwagę, tworząc politykę bezpieczeństwa? Przy projektowaniu sieci trzeba zastanowić się nad jej funkcjonalnością oraz nad
Zdjęcie: Fotolia
sieć firMOWĄ?
tym, jakie dane będą tą siecią przesyłane, a także kto i na jakich zasadach będzie miał do niej dostęp. Podejście firmy do kwestii bezpieczeństwa musi być również uzależnione od jej wielkości, profilu i sposobu działania. Należy wziąć pod uwagę też ryzyko, jakie niesie zastosowanie systemów informatycznych, pod kątem zabezpieczenia przetwarzanych danych oraz zapewnienia ciągłości biznesu. Dlatego inne rozwiązania zostaną zastosowane w firmach jednoosobowych, inne w przedsiębiorstwach zatrudniających kilkadziesiąt osób, a jeszcze bardziej rozbudowane w międzynarodowych korporacjach. Jakie zagrożenia czyhają w sieci? APT – coraz powszechniejszym zjawiskiem stają się ataki na konkretne cele i zagrożenia APT (Advanced Persistent Threats). Zdarzają się w różnych przedsiębiorstwach, w różnych branżach. Niczym szpiedzy, którzy latami przebywają wśród inwigilowanych ludzi bez cienia podejrzeń, APT jest na tyle inteligentne, by z ukrycia dokładnie poznać środowisko, w którym się znalazło. Oprogramowanie APT zostało opracowane z myślą o wprowadzeniu w błąd użytkowników i ich systemów zabezpieczeń, w związku z tym jego wykrycie i zdemaskowanie stało się celem nowego wyścigu zbrojeń. Nieuczciwe firmy wykorzystują umiejętności crackerów, więc
przeprowadzane inwazje nie są przypadkowe, lecz dokładnie zaplanowane i wykonane z premedytacją oraz chirurgiczną precyzją. Zagrożone są nie tylko stacje robocze i serwery konkretnych instytucji, lecz także serwisy zrzeszające użytkowników oraz systemy komunikacji. Wrażliwe informacje są wyodrębniane w wyniku infiltracji z ukrycia, bez możliwości szybkiego i prostego zdemaskowania intruza. W obliczu zagrożeń APT tradycyjne zabezpieczenia informatyczne stają się przestarzałe i niewystarczające. Przedsiębiorstwa muszą szybko przyjąć do wiadomości bardzo realne niebezpieczeństwo ze strony zagrożeń APT i zapobiegać mu. W tym celu konieczne jest bardziej nowoczesne, inteligentne i wielowarstwowe podejście do wykrywania i eliminowania zagrożeń. Kluczowym elementem tego podejścia powinno być na przykład wykorzystanie środowiska typu sandbox, odizolowanego od plików zapisanych w komputerze, służącego do bezpiecznej analizy podejrzanego kodu. Dzięki temu wirusy i inne szkodniki, które mogą być przenoszone przez zainfekowane programy, nie mają możliwości rozprzestrzeniania się w komputerze. Botnety – jednym z głównych wyzwań w zapewnieniu bezpiecznego dostępu do Internetu jest dzisiaj obrona przed globalną plagą botnetów. Ich twórcy i stojące za nimi często całe organizacje
przestępcze wymyślają coraz to nowe sposoby, by wciągać do swoich sieci kolejne ofiary i na nich zarabiać. W najprostszej postaci botnet jest grupą komputerów zainfekowanych złośliwym oprogramowaniem (malware), które daje swojemu zarządcy określony poziom kontroli nad zainfekowaną maszyną. Ta forma zagrożeń zyskała w ostatnich latach nowe metody działania i modele biznesowe. Botnety wpływają na wydajność sieci i jakość połączenia internetowego, spowalniając przesyłanie danych i obniżając komfort korzystania z sieci. Co roku narażają swoje ofiary na straty liczone w milionach dolarów, a dodatkowo, raz zarażone komputery, wykorzystywane są do popełniania rozmaitych oszustw w późniejszym czasie. Większość użytkowników nawet nie zdaje sobie sprawy, że ich urządzenie stało się jednym z ogniw łańcucha botnetu. Cyberprzestępcy używają botnetów do zarabiania pieniędzy na wiele różnych sposobów. Inicjowanie ataków DDoS, rozsyłanie spamu czy oszukiwanie wyszukiwarek to tylko niektóre z trików wykorzystywanych przez botnety. „Bot master” może zainstalować na komputerze np. program, który ma tylko jeden cel: zbieranie danych osobowych, loginów do kont bankowych czy tajemnic firmowych. Zachowanie pracowników jako zagrożenie dla bezpieczeństwa IT – nie powinniśmy także zapominać o najsłab-
Sieci firmowe
szym ogniwie naszego systemu: użytkowniku. Każde przedsiębiorstwo może inwestować w urządzenia i rozwiązania bezpieczeństwa sieciowego najlepszej jakości. Jednak to niebezpieczeństwo ze strony pracowników jest często bardziej nieprzewidywalne niż zagrożenia z zewnątrz. Dlatego konieczna jest praca u podstaw, uświadomienie odpowiedzialności za bezpieczeństwo przechowywanych danych i wysyłanych informacji. Tego, że z jednej strony firma jako całość ma ściśle określoną politykę bezpieczeństwa, z drugiej zaś, że nie są to tylko puste zapisy i istnieją również narzędzia pozwalające na jej egzekwowanie. Dodatkowo również unaocznienie tego, że pracodawca ma prawo (i obowiązek, w swoim własnym dobrze pojętym interesie) monitorowania wykorzystania swoich zasobów sprzętowych oraz ich aktywności sieciowej. Każdy z pracowników powinien wiedzieć, kogo należy powiadomić w przypadku podejrzenia zagrożenia dla jego stacji roboczej lub sieci całej organizacji. Co jest również istotne, kierownictwo powinno propagować politykę bezpieczeństwa i zwracać uwagę na potrzebę ochrony informacji. Wystarczy stworzyć procedury, określające działania, czynności i sposoby radzenia sobie z zagrożeniami, a przede wszystkim metody prewencji i unikania niebezpieczeństwa. Procedury bezpieczeństwa w takiej firmie mogą
30
określać dozwolone i zabronione działania pracowników. Sprawa wydaje się być oczywista, ale spora część firm nie posiada tak sformalizowanych zasad postępowania.
nizacje po prostu zabraniają stosowania własnych urządzeń w sieciach firmowych, jednak nikt nie jest w stanie tego w praktyce skontrolować. Inne firmy limitują dostęp do określonych podsieci czy Mobilne urządzenia w sieci aplikacji. Zdarza się, że jeden – przy tworzeniu polityki bezrodzaj urządzeń mobilnych jest pieczeństwa w firmie należy dopuszczony do działania pamiętać o zjawisku związaw sieci, inny jest zablokowany. nym z popularnym ostatnio Wymuszenie tych obostrzeń trendem BYOD (Bring Your z punktu widzenia techniczOwn Device), czyli korzystanego nie jest sprawą łatwą. niem z prywatnych tabletów Optymalne byłoby wyrażenie oraz smartfonów w ramach przez firmę zgody na używanie sieci danej organizacji. prywatnych urządzeń w celach BYOD oznacza liczne wyzwasłużbowych, ale tylko wównia w obrębie sieci, danych czas gdy pracownicy zgodzą i urządzeń bezpieczeństwa się na instalacje zabezpieczaz powodu zacierających się jących aplikacji, zgodnych granic prywatności i dostępz polityką bezpieczeństwa ności. PC, które nie spełniają firmy. Alternatywnym rozwiąwymagań bezpieczeństwa, zaniem wartym rozważenia jest można po prostu zablokować, wyposażenie pracowników w przypadku BYOD konieczne w telefon osobisty, ale o pojest wymuszanie na właścidwójnym zastosowaniu, cielach urządzeń stosowazarówno dla profesjonalnego, nia polityki bezpieczeństwa. jak i osobistego użytku. Natomiast pracownicy, nie Środowisko sieciowe, w któzdając sobie sprawy, jak łarym dopuszczony jest BYOD, two ich smartfony, tablety czy nie daje się kontrolować laptopy mogą wpaść w ręce przez tradycyjne polityki cyberprzestępców, niechęti technologie bezpieczeństwa. nie instalują oprogramowanie Przedsiębiorstwa muszą sozabezpieczające. Jeśli zjawibie zdawać sprawę, że aby sko BYOD obejmuje znaczącą skutecznie chronić sieć korpoczęść IT w firmie albo wiąże racyjną i dane firmowe przed się z potencjalnie wyższym zagrożeniami pochodzącymi ryzykiem utraty danych, z urządzeń mobilnych, kwestie nie można go ignorować. Nale- bezpieczeństwa należy rozży wdrożyć rozwiązania, które wiązywać na poziomie sieci, spełnią potrzeby użytkownia nie jej punktów końcowych. ków, albo zezwolić, by użytDlatego administratorzy IT kownicy mogli w sposób muszą zastosować inteligentbezpieczny dla firmy korzyne systemy zabezpieczeń, aby stać z własnych tabletów czy móc uważnie kontrolować ruch smartfonów. Niektóre orgaw sieci i mieć szanse zareago-
PAŹDZIERNIK 2013 www.prevent-magazine.pl
wać na zagrożenia, jakie niosą ze sobą trendy BYOD. Jedynym skutecznym rozwiązaniem jest ochrona rdzenia sieci oraz kontrola nad przychodzącym i wychodzącym ruchem z zewnętrznych urządzeń. W ten sposób dział IT ma pełną kontrolę nad wykorzystaniem urządzenia w celach służbowych. Firmy muszą aktywnie reagować na rozwijające się zjawisko korzystania z urządzeń mobilnych i wychodzić naprzeciw potrzebom
element botnetu służącego np. do ataków DDoS czy też rozsyłania spamu właśnie. Na każdy z etapów powyżej opisanego procesu mógłby znaleźć zastosowanie inny system bezpieczeństwa. I tak kolejno: ochrona przed spamem, system kontroli treści (web filtering), antywirus czy też IPS lub firewall aplikacyjny – a krótko mówiąc: UTM. A przecież źródło ataku nie musi pochodzić spoza naszej sieci. Wspomniane
Pojektując sieć, trzeba zastanowić się nad jej funkcjonalnością, nad tym, jakie dane będą niąprzesyłane i kto będzie miał do niej dostęp. pracowników. Dlatego tak istotne jest zbudowanie właściwej polityki bezpieczeństwa w przedsiębiorstwie. Zabezpieczenie sieci Skoro wiemy już, jakie zagrożenia czyhają w sieci oraz posiadamy dobrze obmyśloną architekturę, należy się zastanowić nad elementami struktury sieciowej mającej nam zapewnić bezpieczeństwo. Nie trudno wyobrazić sobie scenariusz, w którym atak wykorzystuje kilka różnego rodzaju technik. Przykład mógłby być następujący: potencjalna ofiara otrzymuje maila z linkiem do strony WWW. Użytkownik klika podesłany adres, a na jego stację roboczą (bez wiedzy i zgody) zostaje pobrane i zainstalowane oprogramowanie, które czyni z jego komputera
już statystyki mówią o 70% ataków pochodzących z jej wnętrza. I wystarczy tutaj tylko wspomnieć o kwestiach dotyczących wycieku informacji poufnych (np. poprzez brak rozwiązań DLP czy też inspekcjii SSL) lub też braku kontroli wykorzystanie łącz internetowych. A przecież nie jest to nawet ułamek spośród całej gamy wszystkich możliwych scenariuszy. W skrócie: UTM Dlatego właśnie coraz większą popularność wśród produktów służących ochronie sieci lokalnej zdobywają urządzenia Unified Threat Management (UTM). Umożliwiają realizację wielu funkcji na jednej platformie – oprócz kontroli dostępu i szyfrowania danych (IPSec oraz VPN SSL) wykrywają i eliminują najbardziej niebezpieczne zagrożenia, takie jak
wirusy, robaki, próby włamań, umożliwiają kontrolę treści (WWW, email) i analizę ruchu sieciowego. Kompleksowo zabezpieczają one styk sieci z Internetem, bo poza firewallem działającym w 3 i 4 warstwie modelu OSI/ISO potrafią dokonywać analizy warstw wyższych. Co więcej, dostarczają też rozbudowany wachlarz narzędzi pozwalających na na uproszczenie infrastrukury sieciowej i zarządzania nią przy jednoczesnym podniesieniu poziomu bezpieczeństwa. Wystarczy tutaj wymienić integrację z domeną MS AD, podwójne uwierzytelnianie (poprzez tokeny sprzetowe, sms czy też e-mail), kontroler sieci bezprzewodowej czy też Endpoint Control. Te unikalne rozwiązania umożliwiają budowę zaawansowanych i wysokowydajnych systemów bezpieczeństwa. Jednocześnie należy pamiętać, że polityka bezpieczeństwa nie ogranicza się tylko do wdrożenia systemu. Prawidłowe zabezpieczenie sieci korporacyjnej to proces ciągły i nieustający. Tak samo istotne jest cykliczne testowanie wprowadzonych zabezpieczeń, jak i raportowanie danych. Dokładna i całkowita analiza wyników pozwala wykryć błędy i niedociągnięcia, które bezzwłocznie należy eliminować. AUTOR: Sebastian Krystyniecki, Inżynier systemowy w firmie Fortinet, www.Fortinet.pl
www.prevent-magazine.pl