Izzivi varnega poslovanja
Po terorističnem napadu na ZDA je bila ena od najbolj vročih računalniških tem varnost. Varnost lahko razdelimo na različne sklope - zavarovanje in hranjenje podatkov, varnostne kopije, okrevanje po katastrofi, zaščita pred hekerskimi napadi in podobno. Tudi rezultati anket med direktorji podjetij in informacijskih oddelkov so kazali, da je varnost zanje ena od glavnih prioritet. Po vsem tem bi vsakdo logično sklepal, da se s krepitvijo zavesti o nujnosti uvajanja različnih oblik zaščite povečujejo tudi vlaganja na tem področju. Prav zato je še toliko bolj šokanten podatek, da je leta 2000 tisoč največjih podjetij v ZDA namenilo več denarja za kavo in brezalkoholne pijače kot za varnost.
To so med drugim povdali na seminarju o varnem poslovanju, ki sta ga konec novembra 2002 organizirala podjetji Pronet in IBM. Podatek o podjetjih Fortune 1000 je razkril Nigel Page, ki je pri IBM-u odgovoren za varnostne kanale na območju Evrope, Bližnjega vzhoda in Afrike. Page je v svojem predavanju izhajal iz dejstva, da večina sodobnih podjetij posluje s svetom preko javnega omrežja, zaradi česar so izpostavljeni različnim napadom. Kljub stalnim grožnjam pa se podjetja do varnosti še vedno obnašajo zelo podcenjevalno. Tako je svetovalna družba PriceWaterhouse&Coopers v eni od raziskav ugotovila, da 56 odstotkov britanskih podjetij sploh nima zavarovalne police za kritje škode, ki bi lahko nastala pri varnostnih vdorih.
Vsem oviram navkljub se vodilni v podjetjih vse bolj zavedajo nujnosti uvajanja varnosti. Temu sicer še vedno namenjajo premalo denarja, varnostna politika v podjetjih pa je preveč razdrobljena. Smiselno je uvajati celovite, centralizirane in čim bolj avtomatizirane rešitve, ki poskrbijo za inteligenten nadzor in hitro poročanje o morebitnih vdorih - skratka z grožnjami je treba upravljati, ne da one upravljajo z nami, je še dodal Page.
Prioritete v IT
Med glavnimi IBM-ovimi izdelki, ki so jih predstavili na konferenci, so proizvodi hčerinskega podjetja Tivoli. Skupaj z nekaterimi ostalimi IBM-ovimi orodji jih je na uvodnem predavanju predstavil Jean-Michel Doudot, ki skrbi za Tivoli na območju srednje in južne Evrope. Glavna Tivolijeva vloga je upravljanje informacijskih sistemov, v sklopu tega pa je tudi upravljanje z varnostjo (predvsem pri elementih prepoznavanja). Tudi Doudot je kot eno od glavnih prioritet v informacijski tehnologij navedel varnost, sledijo pa integrirani informacijski sistemi (ERP), okrevanje po katastrofah (disaster recovery), razvoj spletnih storitev, vpeljava Oken 2000 in sistemi hranjenja podatkov (storage).
Vse hitrejše naraščanje količine podatkov, zahteve po stalnem delovanju in izdelovanje varnostnih kopij brez prekinitev so naloge, ki jih morajo reševati orodja za hranjenje podatkov. Trendi na tem področju gredo v tri smeri (NAS, SAN in tračne knjižnice) - odvisno od potreb. Vsekakor je treba razmišljati o skupnem hranjenju podatkov za različne sisteme. Oboje omogočata tako NAS kot SAN, slednji pa je zmogljivejši in dražji.
Hekerske metode
Če se hočemo upreti hekerjem, moramo poznati njihove metode, trdi Ivica Ostojić iz IBM-ovega hrvaškega predstavništva, ki je na seminarju predstavil metode napadov in načine, kako je mogoče informacijski sistem obraniti pred napadi. Eden od načinov je tudi etično hekerstvo, ko se strokovnjaki za varnost prelevijo v hekerje in poskušajo na različne načine vdreti v računalniški in informacijski sistem podjetja. To je verjetno eden od najboljših načinov, da podjetje preveri stopnjo zaščite, kar pa večina direktorjev in vodilnih menedžerjev ne razume najbolj. Vodstva podjetij na varnost še vedno največkrat gledajo zgolj kot na strošek. Statistika kaže, da pride 78 odstotkov napadov od znotraj, zato je pomembna tudi redna interna revizija informacijskih sistemov. Kljub vse naprednejši tehnologiji pa je najbolj pomembno znanje, zato je treba ljudi nenehno izobraževati in jih seznanjati o pomenu varnosti.
VPN
Nemalo podjetij ima poleg sedeža še številne podružnice, ki jih je treba varno povezati z osrednjim informacijskim sistemom. V ta namen se vse bolj uveljavljajo navidezna zasebna omrežja (VPN), ki so uporabna tudi za manjša podjetja in delo na daljavo oziroma oddaljen dostop. Kako je s tovrstnimi omrežji in storitvami, je na seminarju spregovoril Arijan Šiška in kot tehnološke rešitve navedel tuneliranje, šifriranje, avtentikacijo ter integriteto. V omrežju VPN je promet zavarovan z internetnim standardom IPSec. IPSec, ki ga proizvajalci že vgrajujejo v operacijske sisteme, omogoča varnostno zvezo med dvema usmerjevalnikoma, tako da se prepoznata (avtenticirata), potem pa si izmenjata protokole (ključe) za varno komunikacijo.
Podcenjevanje varnostnih elementov pri vsakdanjem poslovanju se lahko hitro maščuje. Višino škode, ki jo podjetja utrpijo zaradi napadov, je nemogoče izmeriti, ker žrtve zaradi ugleda v javnosti največkrat nočejo priznati, da so bile napadene. Kljub temu se škoda meri v milijardah dolarjev in podjetja se nujnosti zagotavljanja varnega poslovanja največkrat zavejo šele takrat, ko je že prepozno. Zmotno je tudi prepričanje, da je tehnologija rešitev za vse težave - še vedno pride do največ napadov zaradi človeškega faktorja. In prav zaradi tega je tako pomembno nenehno izobraževanje na tem področju. Lažje je namreč preprečiti težave, kot odpravljati posledice katastrofe.