Nie ma sensu funkcjonowanie żadnego systemu informatycznego, jeśli przetwarzane w nim dane nie są właściwie chronione. Ochrona tych danych powinna być kompleksowa, spójna i odpowiadająca potrzebom przedsiębiorstwa. Zagadnienia dotyczące ochrony danych w przedsiębiorstwie powinny być ujęte w dokumencie polityki bezpieczeństwa (nie tylko informatycznego).

W każdym przypadku strategię ochrony danych w firmie należy opracowywać, biorąc pod uwagę wewnętrzną strukturę firmy, szybkość jej wzrostu, posiadane przez nią środki finansowe i wiele innych, indywidualnych czynników. Ale same najlepsze zabezpieczenia nie wystarczą, jeśli użytkownicy nie będą świadomi wartości swoich danych. Nie dadzą nic również, jeśli sprzęt nie będzie stosowany zgodnie ze zdrowym rozsądkiem. Według danych Interpolu (ale informacje te potwierdzają też analitycy rynku) co drugie zagrożenie systemu IT i danych jest powodowane nieumyślnym błędem człowieka. Co czwarte to celowe działanie pracowników.

Tworzenie dokumentu polityki bezpieczeństwa to nie tylko zbiór zagadnień natury czysto informatycznej. Konieczne są do tego także elementy wiedzy na temat tzw. Inżynierii społecznej (social engineering). Wiedzę tę z reguły potrafią wykorzystać osoby atakujące system. Starają się uzyskać jak najwięcej informacji o firmie lub jej pracownikach oraz spowodować, żeby działali oni w sposób oczekiwany przez atakującego. Niestety, naiwność ludzka w tej kwestii jest jeszcze bardzo duża - wystarczy prześledzić liczbę rozsyłanych pocztą elektroniczną fałszywych alarmów wirusowych.

Wśród wielu zagadnień, które porusza dokument polityki bezpieczeństwa, powinny znaleźć się też tematy dotyczące pamięci masowych. Oto niektóre z nich:

• regularne tworzenie kopii bezpieczeństwa;
• sprawdzenie poprawności algorytmów wykonywania kopii;
• przechowywanie i regularna rotacja zestawu kopii bezpieczeństwa poza siedzibą firmy - uchroni to dane przed skutkami lokalnych katastrof;
• dostęp do kopii bezpieczeństwa ograniczony tylko dla właściwych osób;
• regularne próby odtwarzania całego systemu na serwerze testowym;
• instalacja oprogramowania antywirusowego i regularna aktualizacja definicji wirusów;
• właściwy opis nośników z kopiami zapasowymi;
• określenie procedury postępowania w razie awarii napędu;
• przygotowanie i aktualizacja awaryjnego zestawu naprawczego zawierającego dysk startowy, oprogramowanie diagnostyczne, wersję instalacyjną systemu operacyjnego, wersję instalacyjną programu do zabezpieczania danych, aktualne wersje sterowników, odpowiednie narzędzia i zapasowe media.

Po wprowadzeniu w życie wszystkich tych procedur firma będzie mogła powiedzieć o chronionym systemie, że jest przynajmniej godny zaufania. Do pełnego bezpieczeństwa prawdopodobnie będzie mu i tak wiele brakować - osiągnięcie tego stanu jest po prostu niemożliwe.

Zobacz także

• Archiwizacja danych na nośnikach optycznych i magnetooptycznych
• Backup i archiwizacja
• Pamięci masowe - klasyfikacja urządzeń
• Polityka bezpieczeństwa
• Urządzenia taśmowe
• Zapis danych na twardych dyskach