– Jeszcze kilkanaście lat temu tylko duże firmy posiadały serwerownie, a w większości mniejszych firm serwer stał gdzieś w pomieszczeniu biurowym – zauważa Jan Zalewski, kierownik działu informatyki spółki Aster, dostawcy m.in. telewizji kablowej i dostępu do internetu. – Mało kto myślał wtedy o kwestiach bezpieczeństwa serwera czy danych w nim zawartych w kategoriach innych niż okresowe robienie backupu podstawowych danych.
Dzisiaj jesteśmy już o krok dalej i głównym powodem, dla którego firmy dbają o swoje serwery, jest bezpieczeństwo. Zachowanie ciągłości działania wiąże się bowiem bezpośrednio z uzależnieniem od systemów informatycznych i aplikacji biznesowych działających na serwerach.
– Serwerowni dotyczy pełne spektrum zagrożeń – wyjaśnia Wojciech Darłowski, dyrektor centrum systemów informatycznych w spółce Itelligence. – Począwszy od ataku terrorystycznego, poprzez powodzie i inne zdarzenia siły wyższej, aż do trywialnych, wynikających z nieodpowiedzialności pracowników. Żeby zrujnować przedsiębiorstwo, naprawdę nie musimy mieć do czynienia z wybuchem bomby, wystarczy proste uszkodzenie infrastruktury trwające kilka godzin. Weźmy przykładowo pod uwagę przerwanie ciągłości działania dużej firmy logistycznej o zasięgu światowym wywołane zniszczeniem infrastruktury serwerowej. W pewnych przypadkach może to oznaczać straty nie do odrobienia lub wręcz bankructwo. Dlatego ochrona serwerowni i skuteczna polityka bezpieczeństwa są kluczowe w biznesie.

Określone zagrożenia
Zabezpieczenie serwerowni jest w istocie zabezpieczeniem informacji zawartych w systemach informatycznych. Dostęp do serwerowni zabezpiecza się po to, aby ograniczyć możliwość utraty danych czy to przez celową kradzież, czy też zniszczenie nośników informacji. W serwerowniach obecnie zlokalizowane są również centra komunikacyjne przedsiębiorstwa, centrale telefoniczne czy węzły sieci przesyłu danych. Awaria sprzętu komputerowego lub telekomunikacyjnego paraliżuje firmę: uniemożliwia świadczenie usług, sprzedaż produktów, jak i obsługi klientów, czyli zmniejsza przychody i pogarsza wizerunek przedsiębiorstwa. Cel kontroli dostępu do serwerowni jest prosty. Zapewnienie, że tylko autoryzowany personel ma do niej dostęp.
– Łatwo sobie wyobrazić, że osoba postronna uzyskująca fizyczny dostęp do serwerów może nie tylko dokonać aktów wandalizmu, ale np. ukraść dyski twarde, które teraz można usunąć z macierzy bez większego problemu (tzw. hot swap) – stwierdza Michał Ceklarz, szef zespołu internet security systems w IBM Polska. – Dostęp do serwerowni powinien być monitorowany również z przyczyn czysto technicznych, czyli kto i kiedy uzyskał dostęp oraz jakie czynności wykonał. Brak takiego monitoringu może doprowadzić do sytuacji, w której firma nie będzie w stanie stwierdzić, kto zmienił dane w bazie danych czy wyłączył serwer .
Jednym z aspektów bezpieczeństwa fizycznego jest kontrola dostępu do zasobów IT, w szczególności do pomieszczeń, w których znajdują się systemy przetwarzające dane krytyczne. W profesjonalnych centrach przetwarzania danych wydziela się specjalne strefy dostępu, które wymagają odpowiedniego poziomu autoryzacji.
– Ogólna zasada jest prosta. Im mniej osób ma dostęp do najbardziej newralgicznych stref dostępu, tym lepiej – stwierdza Wojciech Darłowski. – Do serwerowni powinni mieć wejście tylko ci, którzy naprawdę tego potrzebują. Istotne jest określenie ról w organizacji i związanych z nimi uprawnień. Ważna jest też zasada, że uprawnienia takie rosną wraz ze stażem pracy. Chodzi głównie o to, by np. nowy pracownik przeszedł pewnego rodzaju weryfikację. Dlatego też w naszej firmie, która zajmuje się opieką nad serwerami, jedynie ok. 30% pracowników ma dostęp do najbardziej newralgicznych obszarów data center. (...)

Marek Złoch