Backup strategija 3-2-1: kako ne izgubiti podatke
Backup strategija 3-2-1: tri kopije, dva medija, jedna offsite. Saznajte kako zastititi podatke od kvara, ljudske greske
Pročitaj
Informacijska sigurnost je skup mjera, procesa i tehnologija kojima organizacija štiti svoje podatke od neovlaštenog pristupa, izmjene i gubitka. U srcu cijele discipline stoji takozvana CIA trijada: povjerljivost (Confidentiality), integritet (Integrity) i dostupnost (Availability). Ta tri stupa nisu apstraktna teorija nego praktičan okvir prema kojem se mjeri koliko je neka firma zaista zaštićena - od malog ureda u Mostaru do regionalne kompanije s desetcima poslovnica.
Naše rješenje
Cyber zaštita za firme - kompletna zaštita ljudi, podataka i sustava. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Mnogi vlasnici firmi misle da je sigurnost samo antivirus i jaka lozinka. U stvarnosti je riječ o ravnoteži tri zahtjeva koji se ponekad međusobno sukobljavaju. Ako podatke previše zaključate, ljudi ne mogu raditi. Ako ih ostavite previše otvorenima, izlažete se riziku. CIA trijada pomaže da se ta ravnoteža postavi svjesno, a ne slučajno.
Što je CIA trijada u informacijskoj sigurnosti
CIA trijada je temeljni model na kojem počiva gotovo svaka ozbiljna procjena rizika i svaki sigurnosni standard. Kada govorimo o informacijskoj sigurnosti, svaku kontrolu možemo svrstati pod barem jedan od ova tri cilja.
Povjerljivost (Confidentiality)
Povjerljivost znači da podacima pristupaju samo oni kojima je to dopušteno. Lista plaća ne smije biti vidljiva svim zaposlenima, ugovori s klijentima ne smiju procuriti konkurenciji, a medicinski ili financijski podaci moraju ostati zaštićeni. Tipične mjere su enkripcija (na disku i u prijenosu), kontrola pristupa, višefaktorska autentikacija i klasifikacija podataka. Kada čujete za "curenje podataka", to je obično udar na povjerljivost.
Integritet (Integrity)
Integritet znači da su podaci točni i da ih nije neovlašteno izmijenio nitko, ni napadač ni greška u sustavu. Zamislite da netko promijeni broj računa u fakturi ili iznos u bazi ERP sustava. Podatak i dalje postoji i dostupan je, ali više nije pouzdan. Integritet se čuva digitalnim potpisima, kontrolnim sumama (hash), verzioniranjem, logovima izmjena i strogim pravilima tko što smije mijenjati.
Dostupnost (Availability)
Dostupnost znači da su podaci i sustavi tu kada vam zatrebaju. Najjača enkripcija ne vrijedi ništa ako vam je server pao usred radnog dana ili ako vas je ransomware zaključao. Dostupnost se osigurava redovnim sigurnosnim kopijama (backup), redundancijom, zaštitom od DDoS napada, planom oporavka od katastrofe i nadzorom sustava 24/7, kakav radi i SOC tim u NeoBit-u.
| Stup CIA trijade | Što štiti | Tipičan napad / rizik | Primjer kontrole |
|---|---|---|---|
| Povjerljivost | Tko smije vidjeti podatak | Curenje podataka, phishing | Enkripcija, MFA, kontrola pristupa |
| Integritet | Da je podatak točan i nepromijenjen | Neovlaštena izmjena, prijevara | Digitalni potpisi, hash, logovi |
| Dostupnost | Da je podatak tu kad zatreba | Ransomware, DDoS, kvar servera | Backup, redundancija, DR plan |
Informacijska sigurnost ili cyber sigurnost: u čemu je razlika
Pojmovi se često koriste kao sinonimi, ali nisu isto. Informacijska sigurnost je širi pojam i odnosi se na zaštitu informacija u bilo kojem obliku: digitalni zapis, papirnati ugovor u ormaru, razgovor u sali za sastanke ili znanje u glavi zaposlenika. Cyber sigurnost je uži pojam i bavi se zaštitom digitalnih sustava, mreža i podataka od napada putem interneta.
- Informacijska sigurnost: obuhvaća ljude, procese, fizičku sigurnost i tehnologiju. Pita "kako štitimo informaciju bez obzira gdje se nalazi".
- Cyber sigurnost: fokus je na digitalnom svijetu, mrežama, serverima i prijetnjama poput malwarea, phishinga i hakiranja.
- Praktično: zaključan ormar s dokumentima i pravilo "čistog stola" pripadaju informacijskoj sigurnosti, ali ne i cyber sigurnosti. Vatrozid i EDR pripadaju objema.
Za firmu to znači da nije dovoljno kupiti samo tehnička rješenja. Najveći broj incidenata u regiji počinje ljudskom greškom: kliknuti link, poslati podatak krivoj osobi, ostaviti lozinku na papiriću. Zato dobra strategija informacijske sigurnosti uvijek spaja tehnologiju, jasne procedure i edukaciju zaposlenika.
Osnovna načela informacijske sigurnosti
Uz CIA trijadu, postoji nekoliko provjerenih načela koja čine kralježnicu svakog dobrog sigurnosnog sustava. Nisu komplicirana, ali ih mnoge firme zanemaruju dok ne bude kasno.
Najmanja privilegija (least privilege)
Svaki korisnik, aplikacija ili servis treba imati samo onoliko prava koliko mu je nužno za posao, ni mrvicu više. Knjigovođa ne treba administratorske ovlasti na serveru, a praktikant ne treba pristup cijeloj bazi klijenata. Kada se napadač domogne jednog računa, najmanja privilegija ograničava štetu koju može napraviti. Slično tome, načelo "need to know" kaže da informaciju dijelite samo s onima kojima je stvarno potrebna.
Dubinska obrana (defense in depth)
Nikada se ne oslanjajte na jedan jedini sloj zaštite. Dubinska obrana znači više neovisnih slojeva: vatrozid, segmentacija mreže, EDR na uređajima, filtriranje e-pošte, MFA, backup i nadzor. Ako jedan sloj popusti, sljedeći zaustavlja napadača. Razmišljajte o tome kao o srednjovjekovnom gradu: jarak, zid, vrata, straža. Probiti jedan zid nije isto što i ući u grad.
Ostala važna načela
- Razdvajanje dužnosti: ista osoba ne bi smjela i kreirati i odobravati plaćanje. Smanjuje rizik prijevare i grešaka.
- Pretpostavi proboj (assume breach): ponašajte se kao da je napadač već unutra i gradite mogućnost brzog otkrivanja i reakcije.
- Sigurnost po dizajnu: sigurnost se ugrađuje od početka, a ne lijepi naknadno.
- Redovne sigurnosne kopije i testiranje oporavka: backup koji nikada niste pokušali vratiti nije backup, nego nada.
Veza s ISO 27001 i GDPR
CIA trijada i navedena načela nisu izmišljena za vježbu, nego su temelj međunarodnih standarda i zakona koji sve više obvezuju i firme u BiH, Hrvatskoj i Srbiji.
ISO/IEC 27001 je najpoznatiji standard za sustav upravljanja informacijskom sigurnošću (ISMS). On organizaciji daje strukturiran okvir za procjenu rizika, odabir kontrola i kontinuirano poboljšanje. Sve njegove kontrole u konačnici služe zaštiti povjerljivosti, integriteta i dostupnosti. Certifikat po ISO 27001 sve češće traže veliki klijenti i partneri prije nego što vam povjere svoje podatke, pa postaje i poslovna prednost, ne samo tehnička obveza.
GDPR (Opća uredba o zaštiti podataka) te slični lokalni zakoni o zaštiti osobnih podataka zahtijevaju "primjerene tehničke i organizacijske mjere". To u praksi znači upravo enkripciju, kontrolu pristupa, vođenje evidencija, prijavu incidenata i sposobnost da dokažete kako štitite osobne podatke građana. Ako poslujete s klijentima ili partnerima iz EU, GDPR se odnosi i na vas, bez obzira što je sjedište firme u BiH.
| Okvir | Što je | Zašto je bitno firmi |
|---|---|---|
| CIA trijada | Temeljni model sigurnosti | Daje jezik i logiku za sve ostalo |
| ISO 27001 | Standard za upravljanje sigurnošću | Struktura, certifikat, povjerenje partnera |
| GDPR | Zakon o zaštiti osobnih podataka | Pravna obveza, kazne, poslovanje s EU |
Kako NeoBit pomaže
Teorija je jasna, ali primjena u praksi je ono gdje firme zapnu. NeoBit iz Mostara pomaže organizacijama u regiji da CIA trijadu i osnovna načela informacijske sigurnosti pretvore u konkretne korake: procjena rizika, penetracijsko testiranje da se vidi gdje su stvarne rupe, postavljanje EDR i SIEM rješenja, nadzor putem SOC tima te priprema za ISO 27001 i usklađenost s GDPR-om.
Najbolji prvi korak je procjena trenutnog stanja. Ako želite saznati koliko je vaša firma zaista otporna na napade i gdje su prioriteti, kontaktirajte NeoBit za besplatan inicijalni razgovor i procjenu sigurnosti. Bolje je slabosti otkriti na vrijeme nego ih platiti nakon incidenta.
Često postavljana pitanja
Što znači CIA trijada u informacijskoj sigurnosti?
CIA trijada je temeljni model koji opisuje tri cilja zaštite podataka: povjerljivost (samo ovlašteni vide podatak), integritet (podatak je točan i nepromijenjen) i dostupnost (podatak je tu kada zatreba). Svaka sigurnosna kontrola u praksi služi barem jednom od ta tri cilja.
Koja je razlika između informacijske i cyber sigurnosti?
Informacijska sigurnost je širi pojam i štiti informacije u svakom obliku, uključujući papir, razgovore i ljude, ne samo digitalne podatke. Cyber sigurnost je uži pojam i fokusira se na zaštitu digitalnih sustava, mreža i podataka od napada putem interneta.
Što je načelo najmanje privilegije?
Najmanja privilegija (least privilege) znači da svaki korisnik ili sustav dobiva samo ona prava koja su mu nužna za obavljanje posla, i ništa više. Time se ograničava šteta ako napadač preuzme neki račun, jer taj račun ima minimalan pristup.
Trebamo li ISO 27001 ako već poštujemo GDPR?
To su dvije različite stvari koje se nadopunjuju. GDPR je pravna obveza zaštite osobnih podataka, dok je ISO 27001 dobrovoljni standard koji daje strukturiran sustav upravljanja sigurnošću. ISO 27001 vam zapravo pomaže lakše ispuniti GDPR zahtjeve i izgraditi povjerenje kod partnera.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Backup strategija 3-2-1: kako ne izgubiti podatke · Dvofaktorska autentifikacija (2FA) za firme - praktičan vodič
