Archiv pro štítek: zabezpečení

Vaše společnost se věnuje bezpečnosti už několik desítek let. Jak se za tu dobu tato oblast změnila?

Společnost Ness Technologies je globální IT společnost, NESS TSG je její součástí a zaměřuje se na obranu a kritické infrastruktury. Z hlediska vývoje se dá mluvit o třech obdobích.
První z nich trvalo do roku 2000, byla to “naivní éra”, většina klientů jako banky, podníky patřící do kritické infrastruktury státu či nižší a střední průmysl nebrali bezpečnost vůbec v úvahu. Subjekty, které měly nějaké povědomí o bezpečnosti, investovaly spoustu peněz a zdrojů pro vyvinutí jedinečných a na míru šitých bezpečnostních produktů. Tyto organizace se však zaměřovaly především na externí hrozby, těm vnitřním věnovaly minimum pozornosti.
Druhé období – po roce 2000 a „Internetové horečce“ následoval v oboru velký posun a to především zvýšením povědomí o bezpečnosti. Nicméně požadavky klientů byly zaměřeny na bezpečnostní technologie, nikoliv na řešení bezpečnosti.
Třetí období nastalo po roce 2010 – tzv. Cyber Security Wave. Klienti už jsou vyspělí a poptávají bezpečnostní řešení, která zahrnují analýzu hrozeb a rizik, strategické plánování kybernetické bezpečnosti při jejich práci. Vnímají, že vše podléhá náhlým změnám v oblasti externích i interních hrozeb. A jako adekvátní odpověď na tyto hrozby už samozřejmě nestačí Firewall, antivirus či zabezpečená identita.
Proto klienti dnes hledají komplexní bezpečnostní služby – průzkumy, metodiky a školení, bezpečnostní politiky, operace, postupy,… finanční společnosti a organizace s kritickou infrastrukturou vyžadují digitální forenzní služby. Proto logicky přicházejí na řadu externí odborné týmy a outsourcing těchto služeb.

Jaké jsou dnes nejčastější požadavky zákazníků v oblasti bezpečnosti?

Všichni zákazníci nejsou stejní. Někteří jsou si velmi vědomi kybernetické bezpečnosti. Tito klienti pak výrazně a strategicky investují do všech oblastí a domén bezpečnosti.
Na druhou stranu se setkáváme s klienty s nízkým povědomím o hrozbách. Ti mohou stále pracovat v nedůvěryhodných nebo dokonce nezabezpečených prostředích. Nejhorší scénář se objevuje, pokud spravují databáze spojené s osobními údaji. S těmito zákazníky se setkáváme poté, co byli napadeni, a zejména pokud měl útok významný dopad na jejich podnikání nebo dokonce ohrozil existenci podniku.
Zdá se, že se nacházíme v „krizi důvěry“. Když si kupujeme auto, věříme, že je bezpečné a že je jeho výrobce spolehlivý a důvěryhodný. Nemáme však zdroje na kontrolu bezpečnosti auta, ani neznáme investice výrobce do oblasti bezpečnosti. Přesto mu však věříme.
Naše důvěra se ale musí opřít o relevantní regulace a systém vymáhání, který zajistí, aby výrobce dodržoval standardy, a pokud je nedodrží, požene jej k odpovědnosti. Důvěra, spolehlivost a víra jsou základem světa podnikání, jak jej známe.
Stejné modely však v digitálním světě nefungují. Začíná to nespolehlivými produkty a infrastrukturami, které neustále vyžadují bezpečnostní aktualizace prostřednictvím produktů s pochybným zněním Všeobecných obchodních podmínek. Soukromí zákazníka se tak stává komoditou, kterou společnosti a poskytovatelé služeb používají a prodávají bez vědomí zákazníka. IT společnosti navíc raději investují do nových funkcí namísto zabezpečení, protože funkcionalita prostě „prodává“, zatímco bezpečnost je pouze skrytá složka, a zákazník ji často ani řádně neocení.
Člověk se až musí divit, že regulace prakticky neexistovala a světelnými roky zaostávala za stále se zrychlujícím rozvojem technologií. Věříme, že to by se mělo změnit. A to se stane pouze tehdy, když vládní agentury a regulační orgány vezmou do svých rukou část zodpovědnosti za bezpečnost kyberprostoru.
Dnešní „kultura nedůvěry“, která byla součástí pracovní kultury IT společností, pronikla také do dalších odvětví a oblastí jako jsou finance, pojištění a komunikace… Její dopad můžeme pozorovat na různých aspektech našeho života, plynoucí z menšího důrazu na plánování do budoucna a z výroby neúplných produktů a služeb, což vede k mnohem zranitelnějším a méně bezpečným produktům.

Na český trh uvádíte novou službu – Centrum kybernetické bezpečnosti (Cyber Security Center). Jak byste ji stručně představil?

Jak už jsem naznačil: technologie sama o sobě je nedostačující. Je potřeba holistický přístup, opírající se o osvědčenou metodiku. A takový přístup vyžaduje dostatek zdrojů, což není jednoduché. Ness TSG založilo Centrum kybernetické bezpečnosti (CSC) právě za účelem vyřešení tohoto problému. Toto centrum nabízí zákazníkům, velkým i malým firmám, služby kybernetické bezpečnosti 24/7, upravené podle jejich požadavků. Služba zahrnuje ústřednu pro velení a řízení, inteligenční služby, monitoring, digitální forenzní laboratoř, zásahový tým 24/7, možnost konzultovat konkrétní problémy s bezpečnostními experty, sdílení a získávání relevantních informací z různých zdrojů, školení, cvičení a další služby. Každý zákazník si vybere pro něj potřebné služby a na základě toho platí měsíční poplatky.

Jaké jsou pro zákazníka hlavní přínosy tohoto modelu?

Zákazník může využít kompletní sadu služeb, která je upravena podle jeho specifických požadavků a podle toho se odvíjí v měsíční poplatek. Při porovnání ceny této služby s náklady, které by vznikly při vytvoření těchto funkcí přímo na firmě, je výsledek zřejmý. Zákazník neporovnatelně výhodněji využívá našich osvědčených metod, koncepce a špičkových technologií a – to je asi nejdůležitější – i tým našich zkušených odborníků.

Jaké máte zkušenosti s touto nabídkou v Izraeli a v jiných zemí?

Služba je dostupná v Izraeli i v zahraničí. Naši zákazníci působí v různých sektorech – financích, maloobchodu, průmyslu… CSC nabízíme jako službu z Izraele nebo jako řešení dodávané přímo u zákazníka.

V této oblasti trpí ČR nedostatkem odborníků. Můžete být vaše Centrum řešením?

Podporujeme společné projekty a spolupráci s ostatními zeměmi i dalšími organizacemi, a tím chceme umožnit všem stranám využít výhod a vzájemných silných stránek v různých oblastech působení. Jako součást této spolupráce nabízíme různá teoretická i praktická školení, navržena pro různé úrovně organizací, od zaměstnanců až po management.
Nábor a školení personálu na vysoké úrovni profesionality jsou výzvou, které jsme čelili také v Izraeli. Řešením je najmout schopné lidi s velkým potenciálem a poskytnout jim relevantní praktická školení potřebná k jejich přeměně v profesionály ve svém oboru.
Tato školení zahrnují teoretické a technické přednášky, vyhrazená školení v jedinečných laboratorních prostředích, mnoho praktických činností a studium. Školení jsou rozvržena do bloků a skládají se z šesti měsíců vzdělávání na dálku a dále šestiměsíční stáže po boku zkušených odborníků na kybernetickou bezpečnost.

guruHaim Daror je generálním ředitelem společnosti Ness Q.rity. V oblasti Cyber Security a Cyber Intelligence působí přes 30 let, má zkušenosti z izraelských obranných sil i vládních agentur.

FacebookTwitterGoogle+Sdílet

Orgány Evropské Unie v oblasti ochrany dat a osobních údajů potvrdily, že firemní smlouvy Microsoftu v oblasti cloudu splňují vysoké standardy právních předpisů EU o ochraně soukromí. To mimo jiné znamená, že zákazníci Microsoftu mohou využívat jeho služeb k volnému pohybu dat z cloudu v Evropě do zbytku světa.

Dvacet osm Orgánů EU pro ochranu údajů pomocí pracovní skupiny podle článku 29 udělilo tento souhlas prostřednictvím společného dopisu. A Microsoft je první (a doposud jediná) společnost, která tento souhlas dostala. Uznání se vztahuje na firemní cloudové služby společnosti Microsoft – zejména Microsoft Azure, Office 365, Microsoft Dynamics CRM a Windows Intune.

Uznání, že smluvní závazky společnosti Microsoft splňují požadavky doložek EU, ve skutečnosti znamená, že osobní údaje uložené ve firemním cloudu společnosti Microsoft jsou předmětem evropských přísných norem ochrany osobních údajů bez ohledu na to, kde se data nachází. To je zvláště významné s ohledem na to, jak vysokou úroveň v oblasti ochrany dat evropské směrnice požadují.

Zákazníci Microsoftu získají tři klíčové výhody:

1) pokud EU opravdu pozastaví dohodu „Safe Harbor“ se Spojenými státy (k čemuž nedávno vyzval Evropský Parlament), nemusí se firemní zákazníci obávat, že bude využívání cloudových služeb v celosvětovém měřítku přerušeno či omezeno.

2) i kdyby byla dohoda „Safe Harbor“ zachována, pokrývá pouze převody z Evropy do Spojených států. Schválené smluvní závazky naopak umožňují převody celosvětově.

3) Microsoft bude nadále pokračovat ve snaze zajistit jak technickou tak provozní shodu s přísnými smluvními závazky a všichni zákazníci, ať už působí v Evropě či jinde, mají jistotu silné technické ochrany.

Zatímco většina společností mluví o svém odhodlání být v souladu s právními předpisy EU o ochraně soukromí – Microsoft tento závazek zakotvili přímo ve smlouvách a zajistil technicky a právně zákazníkům působícím v Evropě legální přesun dat prostřednictvím jeho služeb.
Od 1. 7. 2014 Microsoft zajistí, aby všichni firemní zákazníci mohli využít této ochrany osobních údajů pomocí standardních smluv. Schválení EU vyžaduje, aby zákazníci přidali krátký standardizovaný dodatek ke svým současným smlouvám.
Předvídat budoucnost je těžké. Přesto můžeme očekávat, že jak státní organizace, tak ostatní zákazníci budou vyžadovat větší transparentnost a kontrolu nad tím, jak jsou chráněna jejich soukromá data a kde jsou uložena. Zákazníci svěří své informace do cloudu jen tehdy, budou-li mít jistotu, že tam budou v bezpečí. Aktuální schválení evropských orgánů pro ochranu údajů je dalším významným krokem k důvěře v cloudové služby Microsoftu.A to je dobrá zpráva nejen pro tuto společnost, ale především pro nás, kdo její cloudové služby využíváme.

Martin Kunz, Ness Technologies

Spamové emaily, phishingové podvody, počítačové viry a červi, ztráta dat z důvodu selhání hardwaru a přírodních katastrof… Pro mnohé organizace jsou rizika spojená s bezpečností informací těžko řešitelná. A bohužel existuje stále mnoho společností, kterým z hlediska bezpečnosti problémy stále bobtnají.

22344463_l

Věděli jste, že vám například cloudové platformy jako Office 365 nebo Google Apps můžou pomoct vyřešit tyto problémy – minimalizovat bezpečnostních rizik a zároveň snížit náklady na IT? Bez ohledu na to, jak velká je vaše firma, nabízejí zabezpečení na úrovni enterprise-grade, které vzniklo po letech zdokonalování technologických postupů.

Co si představujeme pod termínem „zabezpečení“? Tento pojem totiž mnoho společností užívá, v souvislosti s technologiemi, ve velmi obecném slova smyslu. Společnosti jako Google a Microsoft přistupují k ochraně dat komplexně – berou v potaz jak fyzickou, tak logickou vrstvu. Co se týče fyzické vrstvy, investoval například Microsoft několik miliard dolarů do nejmodernějších datových center. Tato zařízení jsou od základů vybudována k ochraně služeb a dat před poškozením, ať z důvodu přírodní katastrofy či neoprávněného přístupu. Jsou využity nejlepší postupy v zabezpečení, včetně nejmodernějšího hardwaru, zabezpečeného přístupu 24 hodin denně, záložních zdrojů energie, a dalších funkcí. Která firma v ČR může říct, že svá data chrání do takové míry?

Co se týče logické vrstvy, poskytují zabezpečené technické postupy pro služby a software. Office 365 například umožňuje zabezpečený přístup napříč všemi platformami a zařízeními, stejně jako prémiové anti-spamové a antivirové technologie, které jsou automaticky aktualizovány a chrání před nejnovějšími hrozbami. Funkce zabezpečení spojené s Office 365 jsou obsaženy automaticky, což osvobozuje organizace od nákladného zavádění a spravování antiviru, anti-spamu, zálohování a řešení případné obnovy dat, což jsou nemalé náklady, na které mnoho firem zapomíná, když vyhodnocuje přínosy cloudových služeb. Nelze porovnávat pouze náklady za licence, ale je potřeba připočítat i všechny bezpečnostní náklady, náklady práce, zdržení práce z důvodu odstávky serverů a podobně.

Mnoho organizací zjistilo, že cloudové platformy mohou poskytnout vyšší standard zabezpečení za nižší náklady, než za jaké je možno provozovat servery ve firemních prostorách. Jako příklad můžeme uvést All Saints’ Ilesworth, rodinně orientovaný kostel v západním Londýně v Anglii. Kostel testoval Office 365 jako způsob zlepšení komunikace s kongregací a lepší spolupráci se svými zaměstnanci a dobrovolníky. Během testování církevní představitelé zjistili, že mohou svá data lépe chránit v cloudu s Office 365, než doposud: „Rozhodně se dostaneme do lepší pozice, protože naše dokumenty budou zabezpečeny v cloudu, což je lepší, než aby byly uloženy v počítači, který může být ztracen či ukraden,“ říká Mo Johnson, správce farnosti. „Jsme klidnější, když víme, že jsou naše osobní a finanční data lépe chráněna.“

Podobně i D & L Representative Payee Services, nezisková organizace zaměřená na sociální služby z Los Angeles věří, že jsou jejich data nyní s Office 365 v cloudu přístupnější a bezpečnější. „Nemusíme ovládat IT management nebo zmatkovat kvůli kombinování různých hostovaných služeb dohromady. Máme všechno v jediném spolehlivém balíku,“ říká Paul Lovette, viceprezident a výkonný ředitel neziskovky. „A pokud počítač selže, naše data jsou stále přístupná v cloudu a chráněná Microsoftem. To je pro nás důležité zejména proto, že pracujeme s citlivými, důvěrnými dokumenty.“ Mnoho takových příkladů samozřejmě najdeme i v České republice.

Nejen, že se přesunutím svého pracovního zatížení do cloudu mnoho společností cítí lépe chráněna, ale snížili se také jejich náklady na IT. Například Big Red Book, Dublin, irský dodavatel účetnického softwaru, odhaduje po implementaci Office 365 úspory 360 dolarů na každého zaměstnance v prvním roce – to je celkem 6.400 dolarů. Tyto úspory vznikly díky tomu, že nebylo nutné pořizovat samostatný server pro Exchange Server ve firemních prostorách pro zkrácení emailových prostojů; žádné licenční a instalační náklady při řešení spamu; eliminace řešení zálohování pošty i nákupu zabezpečených mailových certifikátů.

Martin Kunz, Ness Technologies

Chcete se dozvědět více o řešení a zeptat se na případné dotazy týkající se Office 365 nebo Google Apps, které zvýší produktivitu ve vaší společnosti? Potřebujete snížit náklady na informační technologie? Navštivte například zdarma webinář na Google Apps Jak využít Google Apps naplno a zeptejte se.

05.12.2013

Vzhledem k rostoucímu ohrožení malwarem potřebují firmy kontrolu nad používanými mobilními aplikacemi. Každá firma by tak měla mít vlastní aplikační shop.17234505_xl

Firemní uživatelé dnes již naprosto běžně využívají pro práci vedle stolních a přenosných počítačů také chytré mobilní telefony a tablety s různými operačními systémy. Větší mobilita zaměstnanců pomáhá firmám v jejich businessu, ale zároveň s sebou nese vyšší ohrožení jejich dat a dokumentů. Používaná mobilní zařízení totiž často nemají nastavenou ani základní bezpečnost. Zaměstnanci do nich přitom pro svou vlastní potřebu běžně instalují aplikace, o jejichž původu nic netuší. A jak si na používání mobilních aplikací zvykají, chtějí jejich prostřednictvím přistupovat také k firemním informačním systémům.

Podniková IT oddělení jsou tak svírána stoupajícími nároky zaměstnanců a firemního businessu. K dříve často jednotnému počítačovému prostředí, kterému dominovala platforma Microsoft Windows, postupně přibývají mobilní operační systémy, jako jsou Apple iOS, Google Android, Windows Phone nebo BlackBerry. Mobilní zařízení je třeba stejně jako klasické osobní počítače zabezpečit na dostatečné úrovni, je třeba nastavit provozní hodnoty mobilního hardwaru a softwaru pro firemní komunikaci. Musí se zajistit instalace potřebného softwaru a podpora uživatelů.

Mobilita těchto zařízení, která je jejich hlavní výhodou, je současně jejich hlavní zranitelností. Proto firmy a jejich zaměstnanci potřebují možnost co nejdříve efektivně zasáhnout v případě ztráty nebo krádeže telefonu či tabletu. Pohřešované mobilní zařízení by mělo být co nejdříve uzamčeno, případně smazáno, aby nedošlo k ohrožení firemních dat. Bezpečnost si také žádá, aby k informačním systémům firmy mohla přistupovat jen známá, chráněná mobilní zařízení ve schváleném nastavení.

Vzhledem k rostoucímu ohrožení malwarem potřebují firmy kontrolu nad používanými mobilními aplikacemi. Každá firma by tak měla mít vlastní aplikační shop, ze kterého si uživatelé budou mobilní aplikace určené pro spolupráci s interními informačními systémy a pro použití firemních dat instalovat.

Jak tyto nové bezpečnostní potřeby pokrýt? Na trhu existuje řada nástrojů pro správu mobilních zařízení. Mezi ty nejznámější patří MobileIron, Sybase Afaria, Good Technology nebo AirWatch. Nasazení některého z těchto nástrojů zajistí ve firmě efektivní správu dnes běžných mobilních platforem a bezpečné propojení s  firemním prostředím. S rychlým růstem počtu mobilních telefonů a tabletů ve firmách je potřeba systémů správy mobilních zařízení téměř kritická.

Chcete se dozvědět více o efektivní firemní mobilizaci? Prozkoumejte řešení společnosti Ness Technologies, lídra v oblasti mobilních služeb.

Autor Petr Moláček

21.03.2013

Malé a střední firmy přecházející na cloudové služby se přirozeně zajímají o zabezpečení dat v cloudu. Nezřídka uvažují tak, že je bezpečnější mít data pěkně pod zámkem ve své vlastní serverovně.19671143_m

Náklady na informační technologie, zálohování dat, provozování informačních systémů ve vlastní režii však nejsou zanedbatelné. A kromě toho, zabezpečení cloudových dat je ve skutečnosti podstatně důkladnější než ochrana dat přímo ve firmě. Stoprocentně to platí o datových centrech společnosti Google, ve kterých jsou hostována mimo jiné data služby Google Apps.

Žádná lidská technologie není stoprocentně odolná vůči poruchám, a proto jsou data v datových centrech Google sofistikovaným způsobem zálohována. Data se vždy ukládají v několika kopiích na několika místech. V případě poruchy některého úložiště je provoz neprodleně přesměrován na jinou kopii dat, takže uživatel ani nezaznamená nějaký problém.

Aby se vyloučila možnost získání důvěrných dat neoprávněnými osobami přímo z koncových úložišť, data se ukládají v souborech s náhodně generovanými názvy a se zašifrovaným obsahem. I v případě odcizení konkrétního disku by se tak narušitel nedostal k samotným datům. Ochrana jde ale ještě dále. Každý disk v datovém centru je přísně sledován co do svého aktuálního stavu a umístění. Disk, který selže nebo vykáže známky snížení výkonu, je dopraven na analýzu. Disk s poškozenými daty je kompletně přepsán a použit znovu, disk s nenapravitelnou poruchou vyřazen a zničen.

Likvidace vyřazených disků má přísně stanovená pravidla, která dokonale zajišťují, že ani na konci životního cyklu disků nedojde k úniku uživatelských dat. Vyřazený disk je znehodnocen v zařízení, které protlačí jeho středem ocelový píst. Takto slisovaný disk je následně rozemlet ve skartovačce na malé kousky, které putují do recyklačního centra.

Vedle již popsaného operativního zálohování dat používají datová centra Google také extra zálohování na datových páskách. To dále zvyšuje jistotu, že i v krajně nepravděpodobném případě selhání více disků na více místech bude možné uživatelská data obnovit. Data aplikací sady Google Apps jsou chráněna na úrovni, kterou lze ve vlastní režii těžko dosáhnout.

Chcete se dozvědět více o řešení, které zvýší produktivitu ve vaší firmě? Potřebujete snížit náklady na firemní informační technologie a jejich údržbu? Využijte služby Google Apps s podporou Ness Technologies!

Autor Jakub Truschka

13.03.2013

Každého firemního zákazníka, zvažujícího přechod na cloudové služby, určitě zajímá, zda jeho data v cloudu budou dostatečně chráněna proti ztrátě či zneužití.14684282_xl

Uložení dat na vlastních strojích ve vlastní serverové místnosti se na první pohled zdá bezpečnější, pocit klidu ale končí ve chvíli, kdy si firma uvědomí náklady a rizika takového řešení. Do nákladů je potřeba započítat nákup a údržbu hardwaru i softwaru, účinné zálohování dat, integraci informačních systémů a řadu dalších opatření. Do rizik je nutné zahrnout ztrátu dat v důsledku technické závady nebo lidského faktoru. Zcela nežádoucí je samozřejmě odcizení a zneužití dat třetí stranou.

Google Apps je sada cloudových aplikací, kompletně pokrývajících běžné informační potřeby malých a středních firem. Tyto aplikace a data v nich zpracovávaná jsou podobně jako jiné služby společnosti Google hostovány v supermoderních datových centrech. Dobré jméno společnosti, spravující data milionů firem po celém světě, si přirozeně vyžaduje přísná bezpečnostní opatření. Sebelepší ochrana na úrovni hardwaru a softwaru by ovšem nebyla k ničemu, kdyby nebyla dokonale zajištěna fyzická bezpečnost datových center.

Poloha datových center Google je tajná a samotné budovy jsou nenápadné. Každé datové centrum společnosti Google je podrobeno striktní kontrole vstupu. Veřejnosti je objekt zcela uzavřen, navštěvovat ho mohou pouze vybraní zaměstnanci společnosti s příslušným oprávněním. Identita návštěvníků je dále ověřována pomocí biometrických metod, jako je kontrola oční duhovky.  Vjezd do objektu je možný přes jedinou vstupní bránu, nepřetržitě střeženou. Jinak je celý areál obklopen bezpečnostními bariérami pod dozorem kamer. Také uvnitř areálu je instalován kamerový systém, soustavně monitorující pohyb osob.

Záznamy kamer jsou vyhodnocovány jednak bezpečnostním týmem, jednak pomocí automatizovaného rozpoznávání neobvyklých aktivit. Pro případ jakéhokoli incidentu je bezpečnostní tým vybaven vozidly pro rychlý pohyb po areálu, navíc je v operativním kontaktu s policií.  Ochrana vstupu je vícestupňová, to znamená, že pro vstup do areálu a pro vstup do vlastního datového centra jsou vyžadovány samostatné kontroly. Google zkrátka dělá maximum proto, aby do objektu nemohly proniknout nežádoucí osoby a aby pohyb oprávněných osob byl zaznamenáván. Na tomto základě pak stojí další technická opatření pro ochranu dat v celém jejich životním cyklu, ale o tom v příštím článku.

Chcete se dozvědět více o řešení, které zvýší produktivitu ve vaší firmě? Potřebujete snížit náklady na firemní informační technologie a jejich údržbu? Využijte služby Google Apps s podporou Ness Technologies!

Autor Jakub Truschka

04.03.2013