Kwestia bezpieczeństwa jest często podnoszona w kontekście oprogramowania dostępnego w internecie. I słusznie. Oprogramowanie typu ERP wspierające zarządzanie wymaga szczególnej ochrony, z uwagi na zgromadzone informacje w bazach danych.

Nieuprawniony dostęp do danych przedsiębiorstwa może spowodować nieodwracalne straty.

W niniejszym blogu zwrócę uwagę na szersze aspekty bezpieczeństwa danych przedsiębiorstwa. Z jednej strony ochrona informacji to ochrona fizyczna urządzeń przechowywania danych. Jeżeli na przykład dane przechowywane są w całości lub częściowo na laptopie, to ochrona danych jest problemem szczególnie istotnym.

Z drugiej strony mamy ochronę danych w sensie dostępu do nich tylko osób uprawnionych. Ten rodzaj autoryzowanego dostępu do danych nabiera szczególnego znaczenia w przypadku wszystkich urządzeń przechowujących dane, podłączonych do internetu.

Rozpocznijmy od aspektu fizycznej ochrony nośników danych. W praktyce spotkałem się wielokrotnie z przechowywaniem danych na laptopach, nawet w dużych firmach, podczas gdy urządzenia te nie miały żadnych zabezpieczeń poza logowaniem do systemu operacyjnego. Świadomość zagrożeń w tym zakresie jest jeszcze niewielka. Z mojego doświadczenia wynika, że niewiele jeszcze organizacji posiada przemyślaną politykę bezpieczeństwa w tym zakresie. Bardzo często spotykam się z sytuacją, gdy księgowy dla swojej wygody prowadzi księgowość firmy na laptopie. Jednocześnie używa tego laptopa do wszelkich innych zadań, a czasem i rozrywki.

Prześledźmy jakie zagrożenia są związane z takim modelem pracy. Rozwój tanich mechanizmów baz danych spowodował rozpowszechnienie programów biznesowych, które z łatwością instalują się na dysku lokalnym. Dysk twardy laptopa może służyć jako miejsce przechowywania wszystkich danych przedsiębiorstwa. Rozpowszechnienie w ostatnich latach oferty tanich programów księgowych sprzyja tej tendencji. Z drugiej strony wzrost pojemności dysków twardych spowodował, że nawet dla średniej firmy wszystkie dane o jej procesach biznesowych mieszczą się bez problemu.

Oczywiście, świadomość konieczności wykonywania codziennych kopii zapasowych jest w miarę powszechna, lecz z ich realizacją różnie bywa (wiem po sobie :)).

Jednak straty wynikające z utraty danych to jedno, a straty wynikające z faktu wydostania się danych w niepowołane ręce to drugie. Niedociągnięcia w fizycznej ochronie sprzętu mogą objawiać się jednym i drugim. Ciągle rządkością jest stosowanie w mniejszych firmach oprogramowania do szyfrowania partycji dyskowej na niskim poziomie. W razie kradzierzy lub zagubienia laptopa może łatwo dojść do tego, że istotne informacje firmy wylądują na biurku konkurencji.

Podobnie ma się sprawa z komputerami osobistymi. Fizyczna ochrona komputerów osobistych, na których dyskach znajdują się dane firmy, to jeszcze teren do zagospodarowania. Na przykład ochrona majątku sprawdza się najczęściej do ubezpieczenia komputera na kwotę będącą odwzorowaniem jego wartości, bez uwzglęnienia ewentualnych strat wynikających z utraty danych.

Kończąc ten długi wywód na temat fizycznej ochrony danych firmy, oprogramowanie udostępniane w modelu SaaS, takie jak mKsiegowa.pl pozwala wyeliminować ryzyko utraty danych na skutek przedostania się nośników danych w niepowołane ręce.

Przejdźmy teraz do aspektu niepowołanego dostępu do danych. Problem ten podnosi się szczególnie w przypadku oprogramowania dostępnego online zapominając, że większość komputerów przechowujących dane wewnątrz firmy jest również podłączona do internetu. W każdym razie, w jednym i drugim przypadku poziom bezpieczeństwa jest taki, jak zabezpieczone jest najsłabsze ogniwo sieci.

Prześledźmy więc różnice między programem online używanym do zarządzania, a takim samym programem zainstalowanym na komputerze wewnątrz organizacji.

W przypadku programu online, oprócz sieci wewnętrznej firmy, mamy kanał przesyłu między firmą i operatorem programu oraz wewnętrzną sieć samego operatora.

Chcę postawić tezę, że ze wszystkich trzech elementów najsłabszym ogniwem jest wewnętrzna sieć firmy korzystającej z oprogramowania biznesowego. Kanał przesyłu jest najczęście szyfrowany bezpiecznym kluczem, natomiast poziom zabezpieczeń i polityka bezpieczeństwa wdrożone u operatorów są zwykle na wyższym poziomie niż średni.

Operatorzy, a wśród nich operator mKsiegowa.pl, stosują wysoki poziom zabezpieczeń sieci nadzorowany 24×7 przez administratorów. Ponadto wewnętrzna polityka bezpieczeństwa obejmuje rejestrację wszystkich dostępów, incydentów bezpieczeństwa oraz ich analizę post factum. W następstwie identyfikacji jakichkolwiek zagrożeń natychmiast są podejmowane działania korygujące.

Podsumowując, wprowadzanie modelu wynajmu oprogramowania online będzie wpływało na zwiększenie bezpieczeństwa przechowywania danych. Należy jednak spodziewać się, że wszelkie incydenty związane z nieupoważnionym dostępem do danych będzie miało większe reperkusje, niż zagubienie laptopa, czy pendriva z danymi.

Dlatego wraz z upowszechnianiem się modelu Software-as-a-Service musimy (piszę tu w imnieniu Operatora udostępniającego serwis mKsiegowa.pl) dbać o edukację użytkowników, a szczególnie o przestrzeganie polityk bezpieczeństwa. Ze swej strony przygotowaliśmy również ważny dokument, jakim jest polityka bezpieczeństwa dla użytkowników mKsięgowej.

Edukację użytkowników możemy wspomagać wbudowaniem w oprogramowanie pewnych mechanizmów zabezpieczających przed nie przestrzeganiem zasad bezpieczeństwa. Wzorem programów bankowości online, wbudowaliśmy szereg mechanizmów w nasz serwis, jak weryfikację siły hasła, czy zabezpieczenie przed zbyt długim czasem braku aktywności użytkownika w programie.

Tomasz Kozielski

mKsiegowa.pl

bezpieczeństwo księgowości internetowej

Reklamy

0 Responses to “Bezpieczeństwo w mKsięgowej”



  1. Dodaj komentarz

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s





%d blogerów lubi to: