Informacija ir informacinės sistemos tapo strategine vertybe, kurią, kaip ir bet kurį kitą įmonės ar įstaigos veiklai svarbų turtą, būtina apsaugoti. Edrana Baltic, reaguodama į situaciją dėl viešumoje pasklidusio duomenų bazių saugumo skandalo, dar kartą atkreipia Jūsų dėmesį, kokia svarbi yra turimų sistemų ir sukauptų jose duomenų apsauga nuo nesankcionuotos prieigos ar praradimo.
Kurdami įmonės Informacijos saugumo valdymo sistemą, kurdami bei palaikydami programinius produktus, vadovaujamės Informacijos saugumo standarto IEC 27002, teikiančio geriausios praktikos rekomendacijas informacijos saugumo valdymui reikalavimais, Lietuvos standartu LST EN ISO/IEC 17799, OWASP specifikacija bei mūsų specialistų praktika.
Kaip ne kartą informavome, sistemoje yra realizuotos galimybės, mažinančios galimo nelaimingo įvykio ir duomenų praradimo žalą, kurios parametrizuojamos ir pritaikomos pagal kiekvienos organizacijos poreikius.
Rekomenduojame nedelsiant:
1. Užkoduoti Profit-Web sisteminį slaptažodį;
2. Kuriant Alga HR sistemos naudotojus, bei jiems jungiantis į sistemą, rekomenduojama naudotis funkcionalumu “Serveryje saugoti užkoduotą slaptažodį”;
3. Atlikti infrastruktūros saugumo auditą ir imtis kitų saugumo priemonių;
4. Įsidiegti SSL sertifikatą duomenų perdavimo kodavimui.
Tačiau, kaip rodo praktika, būtina apsaugoti ir patį diską ar jo kopiją, nes juos galima pavogti fiziškai. Yra visa eilė priemonių, kurios padėtų apsaugoti prieigas prie nurodytų diskų ar jų kopijų. Siekiant pasiūlyti geriausius sprendimus, rekomenduojame ir siūlome atlikti Jūsų IT infrastruktūros auditą. Prašome susisiekti su mumis dėl siūlomos Informacinių technologijų specialisto pagalbos. Mūsų IT specialistai turi ilgalaikę patirtį ir atitinkamas kompetencijas, kad šį darbą atliktų kokybiškai.
Taip pat siūlome apsvarstyti galimybę naudotis Edrana Baltic Debesijos paslaugomis, kas be duomenų saugumo užtikrinimo dar ženkliai sumažintų ir IT ūkio priežiūros kaštus.
Jums nusprendus ir toliau duomenų bazes saugoti savo serveriuose, be IT infrastuktūros apsaugos dar rekomenduojame naudotis duomenų šifravimo algoritmais, kurie nesankcionuotos prieigos prie duomenų atveju neleistų matyti ar išviešinti esamus duomenis.
- Jei Jūs naudojate FireBird duomenų bazę, kad serveris ar kompiuteris, kuriame yra talpinama duomenų bazė, nebūtų pasiekiamas iš išorės, rekomendacija naudoti DMZ zoną arba atskirti srautą ugniasienės ar VLAN pagalba, paliekant galimybę aplikacijai su duomenų baze bendrauti tik tam tikrais portais. Esant galimybei, rekomenduojame migruoti į aukštesnio lygio duomenų bazes, tokias kaip Oracle arba MS SQL.
- Jei Jūs naudojate Microsoft SQL, programinės įrangos gamintojas yra sukūręs galimybę turimas SQL versijas atsinaujinti iki MS SQL ENTERPRISE arba MS SQL 2019 Standard versijos, kurios turi TDE (Transparent Data Encryption) funkcionalumą, leidžiantį šifruoti duomenų bazės duomenis realiu laiku, dėl to pavogta duomenų bazė nebus nuskaitoma.
- Jei Jūs naudojate Oracle siūlome įsigyti papildomą Oracle security pack, kuris savyje turi TDE funkcionalumą ir leidžia šifruoti duomenis esančius duomenų bazėje.
- Jei Jūs naudojate Sybase DBVS rekomenduojame aktyvuoti funkciją, leidžiančią užšifruoti duomenų bazę ir duomenų perdavimą tarp Kliento programos ir duomenų bazės.
Pastaba. Reikia atkreipti dėmesį, kad visos duomenų bazės šifravimas reikalauja papildomų kompiuterinės įrangos resursų ir, jeigu įmonė šiai dienai neturi pakankamai šiuolaikiškų serverių, po šifravimo įjungimo, gali jaustis visos sistemos sulėtėjimas. Pagal testus gali būti net iki 25 ar daugiau procentų.
IT skyriaus vadovas
Herkus Razgaitis