centrum promocji informatyki
E-MAIL
zapisz się zapisz się zapisz się wypisz się
O NASSZKOLENIAMEDIA O NASPARTNERZYREGULAMINKONTAKT

Warszawa, 26.06.2012 Koordynator: Iwona Brokowska

SPRAWOZDANIE

26 czerwca odbyła się XVII edycja seminarium w cyklu INFORMATYKA KORPORACYJNA "ZDALNY DOSTĘP DO ZASOBÓW FIRMY". Wydarzenie wyjaśniło jak bezpiecznie, zgodnie z prawem i bez problemów pracować na odległość.

Wykład wprowadzający "Zdalny dostęp do zasobów firmy" przeprowadził Marcin Gosiewski (specjalista). Ze zdalnym dostępem do firmy spotykamy się obecnie praktycznie wszędzie. Posiadany sprzęt wysyła informacje diagnostyczne, oraz informacje o awariach, pracownicy mają możliwość zdalnego wejścia do sieci firmowej, korzystania z niej w domu, w podróży i u klientów z aplikacji zainstalowanych w firmie. Od strony technicznej rozróżniamy kilka rodzajów zdalnego dostępu do infrastruktury firmy. Pierwszym z nich jest dostęp do zarządzania infrastrukturą realizowany poprzez wywołania z wnętrza firmy do firm utrzymujących tą infrastrukturę. Drugim rodzajem jest dostęp z zewnątrz do komputerów PC jako takich, realizowany przez narzędzia typu zdalny pulpit lub inne systemy terminalowe. Kolejnym typem jest dostęp do całej sieci przez VPN. Ten typ zdalnego dostępu umożliwia wirtualne przeniesienie komputera fizycznie znajdującego się w zupełnie innej lokalizacji do sieci LAN. Komputer taki po zestawieniu połączenia VPN ma te same prawa jakby znajdował się wewnątrz firmowej sieci LAN. Ostatnią grupę typów zdalnego dostępu stanowi dostęp z zewnątrz do danych lub poszczególnych aplikacji.

Kolejne wystąpienie - dr inż. Bolesław Szomański i mgr inż. Maciej Jędrzejewski (Wydział Zarządzania Politechnika Warszawska) dotyczyło "Zarządzania zdalnym dostępem do zasobów firmowych w technologii IP. Bezpieczeństwo informacji - ocena skuteczności zabezpieczeń". Ocena bezpieczeństwa potrzebna jest by nabrać zaufania, że produkt lub system IT właściwie zabezpiecza aktywa. Kryteria oceny bezpieczeństwa potrzebne są natomiast, aby umożliwić porównanie wyników ocen. Niewątpliwie praca zdalna jest związana ze zwiększonym ryzykiem. Konieczna jest szczegółowa analiza zastosowanych rozwiązań i istniejących zabezpieczeń w oparciu o Common Criteria. Warto także wyciągnąć wnioski z incydentów jakie miały miejsce u innych i prowadzić badania śledcze (Computer Forensics).

Tuż przed pierwszą przerwą, Janusz Kurowski (Dyrektor do spraw Prawno-Korporacyjnych, Macrologic S.A.) wystąpił z casem "Być w kontakcie, kiedy tylko to konieczne...". Zaprezentowane zostały rzeczywiste działania pracowników we własnej, wewnętrznej chmurze informacyjnej. Prezentacja została poprzedzona referatem porządkującym pojęcia telepracy, zdalnego dostępu i bezpieczeństwa. Sprawne wykonywanie zadań w organizacji rozproszonej terytorialnie wymaga rozumienia i przestrzegania przez członków tejże organizacji procedur, opisujących zasady komunikacji i instrukcji użycia programów komputerowych lub urządzeń. Dopiero w następnej kolejności jest zadbanie o odpowiednią technikę do realizacji zadań. Zawsze należy mieć tu na uwadze, że technika i procedury mają służyć wytwarzaniu wartości i nie mogą utrudniać ludziom wykonywania obowiązków. W kwestii bezpieczeństwa należy zadawać sobie pytanie, które pozwala na wybór działań pożądanych: czy działanie to zapewni bezpieczeństwo zasobom (ochrona aktywów), czy tylko bezpieczeństwo decydentowi (ochrona… stanowiska)?

Drugą część seminarium otworzył Krzysztof Młynarski (specjalista) wykładem "OpenVPN - czyli inne spojrzenie na VPN". Wirtualne Sieci prywatne to w pewnym uproszczeniu system tzw. tuneli sieciowych, utworzonych na bazie rzeczywistych sieci teinformatycznych. Do najbardziej popularnych rozwiązań, zaimplementowanych w większości powszechnie używanych systemów operacyjnych, należą: PPTP, L2TP, TLS/SSL VPN, SSTP, OpenVPN. Ten ostatni wspiera szereg metod uwierzytelniania poszczególnych urządzeń w sieci oraz umożliwia uwierzytelnianie username/password zarówno z użyciem certyfikatów, jak i bez użycia certyfikatów. Zaprojektowano go z uwzględnieniem szczególnego nacisku na bezpieczeństwo nie tylko tworzonych tuneli sieciowych, ale także środowiska pracy samego oprogramowania. OpenVPN działa w tzw. userspace, dzięki czemu nie pracuje na poziomie modułów/sterowników jądra systemowego. Nie wymaga uprawnień superużytkownika podczas pracy (po inicjalizacji), wykorzystuje mechanizm uniemożliwiający umieszczanie wrażliwych danych w pamięci wymiany itp.cJego ważną cechą jest stabilność, wysoka odporność na nieprawidłowości w pracy sieci oraz wieloplatformowość. W efekcie pozwala to na tworzenie wirtualnych sieci prywatnych w środowiskach heterogenicznych. Istotnym elementem jest brak konieczności dokonywania zmian w sprzęcie, czy też konieczności modyfikacji konfiguracji istniejącej sieci.

Następnie, Marcin Grygielski (Interactive Intelligence) przedstawił "Wielofunkcyjny system komunikacji IP (z funkcjami kontroli, raportowania i zarządzania personelem - niezależnie od lokalizacji)". Uczestnicy zapoznali się z pułapkami technologicznymi, których warto unikać jak i zapewnieniem bezpieczeństwa w systemie IP. Przedstawiona została konfiguracja systemu IP dla firm wielooddziałowych, zatrudniających pracowników zdalnych i mobilnych, a co za tym idzie - niezbędne funkcje kontroli i raportowania.

Trzecią część seminarium otworzył case Andrzeja Chmielowiec (Centrum Modelowania Matematycznego Sigma) pt. "Kontrola zdalnego dostępu do zasobów cyfrowych firmy", podczas którego przedstawiono m.in. jak zabezpieczyć i zapewnić zdalny dostęp. Pokazany został "zielony pasek", który pojawia się w przeglądarce, gdy połączenie jest szyfrowane, a witryna posługuje się certyfikatem wydawanym przez określone centrum certyfikacji. Podkreślono, iż VPN umożliwia nam bezpieczne przesyłanie danych pomiędzy firmą a pracownikiem oraz stwarza możliwość wyboru odpowiedniego sposobu uwierzytelniania klientów.

Podczas ostatniego wykładu mec. Anny Kobylańskiej "Wybrane aspekty prawne mobilnych technologii dostępowych", omówione zostały zasady przetwarzania danych w technologiach mobilnych oraz podstawowe ograniczenia w możliwości wykorzystania zdalnego dostępu do zasobów firmy. Przepisy prawa nie przewidują szczególnych uregulowań prawnych dotyczących zdalnego dostępu do zasobów przedsiębiorstw. Zastosowanie mogą jednak mieć ustawy regulujące ochronę poszczególnych kategorii informacji, do których zapewniany jest zdalny dostęp. Kluczową regulacją, znajdującą najszersze zastosowanie, będzie ustawa o ochronie danych osobowych. Mogą to być także inne akty regulujące tajemnice ustawowo chronione, w szczególności przepisy ustaw o ochronie informacji niejawnych. W zakresie pozostałych informacji nie podlegających ustawowej ochronie, przedsiębiorcy powinni we własnym zakresie ustalić zasady oraz procedury zabezpieczające ich interesy przed naruszeniem tajemnicy przedsiębiorstwa. Na administratorze danych spoczywa odpowiedzialność za właściwy dobór oprogramowania oraz ustalenie procedur. Właściwe opisanie procedury powinno nastąpić w dokumentacji opisującej przetwarzanie danych osobowych tj. Polityce bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

  
e-mailkontakt Na górę strony
Copyright © 2002 Centrum Promocji Informatyki Sp. z o.o. | ul. Miedzyborska 50 | tel. (0-22) 870 69 10, 870 69 78