Utrata danych: sektor MSP bez planu B

Przeczytaj także: Bibby MSP Index X 2013

MSP nie mają planu B

Wiele firm nie ma świadomości tego, jak istotna jest ochrona infrastruktury IT. Według badań Deloitte z 2013 r. 70% małych i średnich przedsiębiorstw nie wierzy, że naruszenie bezpieczeństwa danych spowoduje finansowe konsekwencje i negatywnie wpływa na wiarygodność biznesu. Choć firmy inwestują w ochronę, często nie potrafią wykorzystać zakupionych do tego celu narzędzi. Jak pokazuje badanie RSM Tenon z 2012 r., jednie 27% europejskich menadżerów wyższego szczebla z sektora MSP przeprowadza kontrolę bezpieczeństwa sieci w swojej firmie, a 16% przebadanych nie posiadało informacji, czy mają zainstalowane oprogramowanie antywirusowe.

- Brak zabezpieczeń może mieć zarówno prawne, jak i finansowe konsekwencje. Z badań firmy Kroll Ontrack wynika, że w zeszłym roku utraty danych doświadczyło prawie 50 proc. przedsiębiorstw. Koszty zniknięcia kluczowych informacji z samej tylko poczty elektronicznej i systemów pracy grupowej rosną z każdym rokiem. Jedno na cztery przebadane przedsiębiorstwa szacuje je na co najmniej 50 tys. USD, a 3 proc. - na ponad 1 mln USD - podkreśla Wojciech Mach, Dyrektor Zarządzający Luxoft Poland.

Niewłaściwe zabezpieczenie wrażliwych informacji, a w efekcie ich utrata, kosztuje firmy czas i pieniądze. Utracone dane tylko ze środowisk Microsoft Exchange Server i Office SharePoint Server w 65 proc. przypadków kosztowały firmy mniej niż 50 tys. dolarów, ale 25 proc. przedsiębiorstw oszacowało je na wyższe. Według informatyków czas potrzebny na odzyskanie utraconych danych to najczęściej połowa dnia pracy, ale czasem nawet kilka czy kilkanaście dni. W skrajnych przypadkach nie udaje się to nigdy.

Skąd biorą się zagrożenia?

Przedsiębiorstwa doświadczają utraty lub kradzieży danych, zniszczenia sprzętu lub paraliżu komunikacyjnego często z powodów własnych zaniedbań lub zewnętrznych czynników. Brak zasilania lub Internetu, wpływ warunków atmosferycznych i uszkodzenia mechaniczne urządzeń to nieprzewidywalne zdarzenia, którym trudno zapobiec, ale które można przewidzieć i im przeciwdziałać.

- Wbrew powszechnemu stereotypowi o zagrożeniach wywołanych atakiem hakerów, większe straty związane są z wewnętrznymi zaniedbaniami firm i tzw. czynnikiem ludzkim. Wśród najczęstszych błędów jest brak kopii zapasowych, nieodpowiednie zabezpieczanie danych czy brak szkoleń w zakresie ochrony danych - mówi Adam Rasiński, Security Officer, Capgemini Polska.

Pracownicy często nie posiadają odpowiedniej wiedzy z zakresu bezpieczeństwa IT. Nie potrafią stosować zainstalowanych narzędzi, nie mają ustalonej sukcesji zadań i nie wiedzą, jak się zachować w czasie, gdy np. nie działają komputery lub telefony, albo nie mogą uzyskać dostępu do e-dokumentów. Innym wyzwaniem jest dublowanie się kompetencji pracowników. W przypadku zagrożenia kilka osób wykonuje te same czynności, co jest nieefektywne i nie prowadzi do naprawienia sytuacji.

Zachować biznesową ciągłość

Aby przygotować się na ewentualny kryzys małe i średnie przedsiębiorstwa powinny przygotować tzw. disaster recovery plan, który pozwoli im zminimalizować skutki negatywnych zdarzeń. Przede wszystkim tego typu scenariusz powinien być traktowany jako integralna część ogólnej strategii biznesowej. Kryzys technologiczny, taki jak brak dostępu do folderów sieciowych może spowodować paraliż całej organizacji. Plan powinien mieć formę księgi procedur, która jest aktualizowana raz na kilka miesięcy przez wyznaczoną osobę. Powinna być ona dostępna wszystkim pracownikom i zawierać nie tylko opisy konkretnych działań, ale także kontakty do osób, które mogą pomóc w danej sytuacji, takich jak serwisanci czy administratorzy. Jej stworzenie powinien poprzedzić dokładny audyt, który pokaże, jakie obszary i procesy są najbardziej zagrożone. Osoby zatrudnione w firmie powinny też przechodzić regularne ćwiczenia, by utrwalić procedury.