W poprzednim wpisie przyjrzeliśmy się organizacyjnych środkom bezpieczeństwa. Natomiast w tym tygodniu pragniemy zwrócić szczególną uwagę na środki techniczne, które pomagają zabezpieczyć informacje.
Techniczne środki bezpieczeństwa
Techniczne środki bezpieczeństwa proponujemy podzielić na dwie kategorie – fizyczne oraz informatyczne. Informatyczne zabezpieczenia omówimy szczegółowo w osobnym artykule, natomiast fizyczne środki zaradcze to narzędzia, które mają za zadanie uniemożliwić osobom niepowołanym dostęp od miejsc w których przechowujemy informacje.
Ze względu na wielkość możemy je podzielić na:
- strefy ograniczonego dostępu – gdy dysponujemy większą ilością pomieszczeń, a część z nich nie jest dostępna dla osób z zewnątrz;
- sejfy, szafy, kasetki – kiedy dane wrażliwe przechowujemy w pomieszczeniu dostępnym dla potencjalnych klientów.
Ważniejszy jest sposób zabezpieczenia przed dostępem dla osób niepowołanych:
Klucz + zamek/kłódka
Co to jest: zamek/kłódka jest klasyczną i najbardziej powszechną metodą zabezpieczenia dostępu przed osobami niepowołanymi. Z tego powodu jest to metoda względnie tania i dostępna przy prawie każdej okazji (domontowanie zamka do szafki nie jest trudnym zadaniem).
Wady: ze względu na powszechność, działanie tej metody ma często charakter czysto psychologiczny (jest próbą zniechęcenia do podejmowania włamania), w internecie możemy zobaczyć wiele metod (np. kanał LockTube) jak otworzyć kłódki bez specjalistycznych narzędzi. Istotną kwestią jest jakość posiadanego zamka oraz innych materiałów z których wykonane są przedmioty (np. zawiasy szafy/drzwi) – z tego powodu odpowiednie zabezpieczenie może dużo kosztować. Zgubienie klucza uniemożliwia dostęp do danych – a wykradnięcie go przez osobę niepowołaną daje pełen dostęp (jednostopniowa autoryzacja).
Zalety: to najpowszechniejsza metoda dostępu do danych, nie wymaga specjalistycznej wiedzy do wdrożenia, ani drogiej infrastruktury.
Elektroniczna karta dostępu
Co to jest: elektroniczna karta dostępu jest metodą szczególnie popularną w dużych biurach, w których do wejścia do poszczególnych pomieszczeń potrzebne są odpowiednie uprawnienia.
Wady: jednostopniowa autoryzacja – wystarczy zdobyć odpowiednią kartę (lub wykonać jej kopię), żeby wejść do pomieszczenia. Przy przerwach w dostawie prądu (o ile nie mamy wewnętrznego systemu zasilania), może uniemożliwiać dostęp. Wymaga odpowiedniej infrastruktury z serwerem autoryzującym oraz elektronicznymi zamkami.
Zalety: elektroniczne karty dostępu są łatwe w użyciu, dają podstawową możliwość kontrolowania pracowników (np. kiedy przyszli/wyszli) oraz pozwala na zarządzanie uprawnieniami – aby osoby miały dostęp tylko do pomieszczeń, które są im potrzebne w pracy.
Kod dostępu
Co to jest: to również system z elektronicznymi zamkami do pomieszczeń, jednak w tym przypadku osoby autoryzują się poprzez znajomość odpowiedniego kodu.
Wady: kosztowna infrastruktura (choć tańsza niż w przypadku elektronicznej karty dostępu ponieważ zamki nie muszą być podłączone z serwerem autoryzującym); jak pokazuje praktyka – kody są rzadko zmieniane, więc osoby zwolnione/zdegradowane nadal mogą mieć dostęp. Ponadto jest to system, który wymaga od pracowników pewnego rygoru, ponieważ kod jest łatwy do podpatrzenia.
Zalety: niewątpliwą zaletą jest szybkość dostępu do danych. Koszt infrastruktury jest jednorazowy, a kody mogą być używane przez wielu pracowników.
Alarm
Co to jest: alarm w zasadzie nie uniemożliwia dostępu do danych, ale pozwala stwierdzić ich naruszenie przez osoby niepowołane. Najprostszą metodą jest reakcja na przerwanie obwodu lub wiązki laserowej – w momencie otwarcia drzwi przerywamy obwód co powoduje wywołanie alarmu.
Wady: znane są metody pozwalające na ominięcie alarmu. Poza tym ważne jest odpowiednie ustawienie czułości alarmu – tak, aby działał w każdym przypadku kradzieży, ale nie włączał się bez potrzeby, co często jest trudne do wdrożenia.
Zalety: dobry alarm pozwala automatycznie reagować natychmiast po incydencie, co może mieć kluczowe znaczenie, aby dane nie wyciekły poza firmę.
Monitoring
Co to jest: to sieć kamer które położone w odpowiednich miejscach pozwalają dokumentować co dzieje się w całej firmie. W razie potrzeby nagrania z monitoringu mogą służyć za materiał dowodowy w sprawach sądowych.
Wady: ze względu na ilość kamer oraz informacji przez nich przesyłanych kosztowna może być archiwizacja danych; istotne jest również poprawne rozmieszczenie kamer, aby obejmowały wszystkie krytyczne miejsca.
Zalety: ze względu na dużą powszechność kamer jest to rozwiązanie stosunkowo tanie; ponadto często pozwala na jednoznaczne zidentyfikowanie osoby która dopuściła się przestępstwa.
Ochrona
Co to jest: to w skrócie osoba, której zadaniem jest fizyczna ochrona miejsca pracy (pomieszczeń, wyposażenia oraz osób w nich przebywających).
Wady: gdy do firmy przychodzi dużo klientów lub ma miejsce duża rotacja pracowników – prawidłowa weryfikacja ich tożsamości jest niemożliwa; również ze względu na stworzenie dodatkowego etatu (a prawdopodobnie dwóch) jest to stosunkowo droga forma ochrony.
Zalety: w przypadku bezpośredniego zagrożenia w firmie mamy osobę, która bezpośrednio odpowiada za bezpieczeństwo osób i mienia.
Podsumowanie
Jednak najbardziej powszechne są systemy mieszane, gdzie np. oprócz odpowiednich kart dostępu przy wejściu do budynku zatrudnione są osoby uprawnione do sprawdzenia tożsamości osób wchodzących do biur, a dane szczególnie wrażliwe trzymane są w szafach pancernych zamkniętych kluczem oraz kodem. Takie rozwiązanie potęguje poziom bezpieczeństwa, oraz uzupełnia słabe strony poszczególnych metod.