Jak chronić dane na nośnikach wykorzystywanych w firmie

Dane stanowią obecnie jedną z najcenniejszych walut świata. Ilość cyfrowych informacji, zwłaszcza tych generowanych przez korporacje, rośnie w niespotykanej dotychczas skali. Aby sprawnie i efektywnie wykorzystywać możliwości gromadzonych informacji, firmy powinny przede wszystkim odpowiednio nimi zarządzać. Kluczem jest dbałość zarówno o informacje wykorzystywane na bieżąco, jak i te zarchiwizowane, które mogą być przydatne w przyszłości.

Wiele przedsiębiorstw, wraz ze wzrostem ilości gromadzonych informacji, nie zwiększa jednocześnie swojego potencjału, umożliwiającego prawidłowe zarządzanie danymi. Badania wskazują np., że 30 proc. kadry informatycznej nie wie, jakie informacje gospodarcze gromadzone są przez firmę za pośrednictwem archiwów taśmowych, a to zaledwie jedna z możliwości przechowywania danych. Do podstawowych obowiązków działów IT powinno zatem należeć ustalenie przejrzystych procedur związanych z tworzeniem kopii zapasowych i przechowywaniem wartościowych informacji. Firmy powinny m.in. aktualizować protokoły zarządzania danymi, aby te były w stanie „nadążyć" za ilością informacji generowanych przez przedsiębiorstwo, a także wdrażać technologie i usługi, wspomagające proces przechowywania danych.

Oto dziesięć najważniejszych, dobrych praktyk, jakie warto mieć na uwadze:

Dekalog firmowych działów IT

1. Zidentyfikuj kluczowe dla organizacji informacje i metody dostępu do nich.

Firmowe działy IT chętnie sięgają po nowoczesne, złożone rozwiązania, takie jak SDS – pamięci masowe zdefiniowane programowo (ang. Software Defined Storage). To narzędzia efektywne

i elastyczne umożliwiające radzenie sobie z dużym napływem informacji. W przypadku nieprawidłowej konfiguracji mogą jednak przyczynić się do utraty danych. Wiele systemów SDS opartych jest na unikalnych, złożonych rozwiązaniach, więc jednoczesne prawidłowe wykonywanie kopii zapasowych wydaje się koniecznością. Na tym przykładzie widać doskonale, jak ważna jest wiedza pracowników IT na temat tego, jak i gdzie gromadzone są kluczowe informacje. Działy IT w przedsiębiorstwach planujących wdrożenie SDS muszą zatem na wstępie przeznaczyć odpowiedni czas i zasoby na prawidłowe wdrożenie tego rozwiązania. Powinny także upewnić się, że wdrażanie systemu pamięci masowej przeprowadzi doświadczony specjalista, który miał już kontakt z SDS. Jeśli nie ma takiej osoby w firmie, należy rozważyć zatrudnienie zewnętrznego eksperta. Kluczowe jest także przetestowanie infrastruktury sprzętowej w celu sprawdzenia, czy jest ona kompatybilna z oprogramowaniem SDS.

2. Ustal procedurę backupu odpowiadającą środowisku, w jakim gromadzone są dane.

Procedury backupowe mogą wydawać się sprawą oczywistą, jednak specjaliści ds. odzyskiwania danych otrzymują rocznie tysiące próśb o przywrócenie danych. Wiele z nich pochodzi od przedsiębiorstw, które „zawiodła" kopia zapasowa. Przy wdrażaniu coraz bardziej zaawansowanych środowisk magazynowania danych należy więc pamiętać także o jednoczesnym rozwijaniu metod backupu.

3. Określ częstotliwość wykonywania kopii zapasowych, która będzie odpowiednia dla specyfiki przedsiębiorstwa.

Wykonywanie kopii zapasowej zalecane jest codziennie, ale w praktyce procedura ta najczęściej dostosowywana jest do dopuszczalnego dla danej firmy poziomu ryzyka. W tym celu należy zadać sobie pytanie, jakie konsekwencje przyniesie utrata informacji gromadzonych np. podczas połowy dnia pracy? Co się stanie, jeśli będzie to dotyczyło całego dnia? Odpowiedzi należałoby umieścić w stosownych instrukcjach polityki bezpieczeństwa firmy.

4. Wybierz odpowiednie nośniki i system backupu.

Wiele organizacji wykorzystuje archiwa taśmowe do przechowywania danych

i wykonywania kopii zapasowych mało istotnych informacji. Taśmy są bowiem idealnym rozwiązaniem dla danych, które muszą być przechowywane długotrwale, np. przez wzgląd na przepisy prawne, ale nie trzeba mieć do nich stałego dostępu. Organizacje powinny być jednak przygotowane na to, iż prędzej czy później pojawi się prośba np. ze strony działu prawnego, o udostępnienie zarchiwizowanych danych. Wybierając rozwiązanie do archiwizacji (taśma, chmura, dysk twardy), należy zatem wziąć pod uwagę możliwość sprawnego zlokalizowania i przywrócenia konkretnych danych.

5. Regularnie przeglądaj przechowywane dane.

Warto przeprowadzać comiesięczne kontrole procesów backupowych. Umożliwiają one zweryfikowanie obecności i dostępności informacji. Weryfikowanie danych przechowywanych na taśmach i dyskach jest tak samo ważne, jak sprawdzanie dostępności krytycznych dokumentów gromadzonych w chmurze.

6. Bądź przygotowany na konieczność odzyskania danych.

Plan działania na wypadek utraty danych to dokument, który powinien powstać w firmie przed jakąkolwiek utratą informacji. Posiadanie takiego planu skraca czas reakcji i awaryjnego przywracania danych w przypadku pojawienia się sytuacji kryzysowej. W planie należy uwzględnić dostawcę usług odzyskiwania danych. Kluczowe jest, aby był on w stanie odzyskać dane z wszystkich typów nośników, wykorzystywanych przez organizację. Warto zapytać o referencje i odniesione sukcesy w odzyskiwaniu danych z taśm lub systemów wirtualnych. Ważnym aspektem przy wyborze takiego dostawcy usług jest również zdolność zgromadzenia przez niego wszystkich firmowych informacji. W najgorszym scenariuszu, kiedy dojdzie do utraty całego centrum danych, podmiot odzyskujący będzie musiał bowiem pomieścić wszystkie informacje zgromadzone przez daną organizację.

7. Zdefiniuj cykl życia przechowywanych danych. Określ, co i kiedy można skasować.

Każda firma i organizacja powinna posiadać ustalone standardy dotyczące czasu przechowywania informacji. Bardzo ważne jest, aby działy IT przestrzegały tych procedur. Przedsiębiorstwo może być bowiem narażone na zbędne ryzyko, zarówno w przypadku kiedy dane zostaną skasowane zbyt szybko, jak i gdy przechowuje się je za długo.

8. Bezpiecznie usuń dane z urządzenia.

Wyobraźmy sobie, że pracownicy działu IT zostali zobowiązani do zakupu i wdrożenia w firmie 100 zupełnie nowych laptopów. Stary sprzęt prawdopodobnie zostanie wykorzystany w innym celu, sprzedany lub oddany. Czy organizacja ma plan przeniesienia i skasowania danych ze starych komputerów? Zdaniem ekspertów odzyskiwania danych, dotarcie do oprogramowania umożliwiającego odzyskanie nieprawidłowo skasowanych informacji z używanych urządzeń elektronicznych jest bardzo proste. Obowiązkiem firmy pozbywającej się przestarzałych urządzeń jest więc ochrona danych firmy, jej pracowników i klientów, poprzez skuteczne usunięcie danych. Najlepszą metodą na skuteczne pozbycie się danych z niepotrzebnego sprzętu, jest skorzystanie z renomowanego oprogramowania, dostosowanego do danego typu nośnika. Przy wyborze takiego oprogramowania warto się upewnić, czy proces zakończony jest certyfikatem gwarantującym skuteczność przeprowadzonego kasowania. Certyfikat będzie pomocny w przypadku weryfikacji przez organy prawne.

9. Bądź cierpliwy podczas procesu kasowania danych.

Podczas korzystania z oprogramowania służącego do usuwania danych istotna jest cierpliwość. Proces nadpisywania danych w przypadku dysku twardego o pojemności 500 GB HDD lub SSD może trwać nawet do 7 godzin. Jeśli nie zostanie on odpowiednio przeprowadzony, istnieje zagrożenie, że operacja kasowania danych nie zakończy się sukcesem.

10. Sprawdź skuteczność procesu kasowania informacji.

Warto się upewnić, że proces usuwania danych w 100 procentach się powiódł, angażując w tym celu do weryfikacji podmiot zewnętrzny. To dodatkowy poziom bezpieczeństwa, który zyskuje na znaczeniu w czasach, gdy zarządzanie danymi przez organizacje jest coraz bardziej skrupulatnie kontrolowane. Przy wyborze firmy weryfikującej skuteczność procesu kasowania informacji należy się upewnić, że dostarczy ona stosowną dokumentację prezentującą proces i wyniki kontroli. To zapewni spokój nie tylko przedsiębiorstwu, ale również jego klientom.

Pracownicy firmowych działów IT nie mogą zapominać, że są odpowiedzialni za niezwykle ważne zadanie – ochronę danych znajdujących się na nośnikach wykorzystywanych przez dane przedsiębiorstwo. Chwila nieuwagi, nieodpowiednio przygotowane czy przeprowadzone procedury bezpieczeństwa mogą więc narazić ich organizację na poważne straty finansowe, prawne, a nawet wizerunkowe. Wyzwań jest wiele: stale rosnąca ilość firmowych danych, nowe, złożone technologie przechowywania informacji, a nawet zagrożenia ze strony cyberprzestępców.

—Adam Kostecki