Raport Bezpieczna Firma. 10 narzędzi dla bezpiecznej firmy
fot. Adobe Stock.z miesięcznika „My Company Polska”, wydanie 1/2022 (76)
Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!
Jak wynika z nowych, przeprowadzonych na przełomie września i października badań firmy IPSOS, niemal każda firma w Polsce jest w jakiś sposób zabezpieczona przed cyberatakiem. Raport przygotowany na zlecenie Volkswagen Banku pokazuje, że aż 73 proc. przedsiębiorstw czuje potrzebę zwiększenia poziomu zabezpieczenia. Tylko 6 proc. uważa, że jest już teraz gotowa na każdy scenariusz. A mowa tu wyłącznie o cyberzagrożeniach. Bo bezpieczna firma to także firma, która nie musi borykać się z zatorami płatniczymi i nagłym brakiem pracowników.
Wszyscy wiemy, że nie istnieje coś takiego jak 100-procentowe zabezpieczenie. Zawsze może pojawić się nowy atak, który uderzy w nasze serwery. Zawsze nasz pracownik może popełnić błąd, przez co wyciekną dane naszych klientów. Zawsze możemy również zostać okradzeni w świecie offline. Z myślą o przedsiębiorcach, którzy chcą się w tym zakresie rozwijać, przygotowaliśmy zestawienie 10 narzędzi, które zwiększą poziom bezpieczeństwa w przedsiębiorstwie i mogą być wdrożone w każdej firmie, nie tylko w dużych korporacjach.
1. Monitoring stanu strony internetowej
Prowadzisz sklep internetowy? Każda chwila, w której sklep nie jest online, to realna strata dla firmy. Przyczyny awarii mogą być różne, ale niezależnie od nich powinieneś jak najszybciej otrzymać informację o możliwej awarii. Na szczęście są gotowe narzędzia, które pozwalają na szybką reakcję. Po ich wdrożeniu otrzymujemy np. e-mail, ale także SMS z informacją o problemie. Co więcej, wiele z nich jest w stanie wskazać przyczynę problemu, ale także monitorować stronę w różnym zakresie. Przykładowo, strona główna może się wyświetlać bezproblemowo, ale użytkownicy mogą nie być w stanie zrealizować zamówienia przez awarię przekierowań do bramki płatniczej.
Ile to kosztuje? Wszystko zależy od dwóch czynników – jaki zakres ochrony potrzebujemy i jak często chcemy „monitorować” stronę. Najczęściej narzędzia sprawdzają stan serwisu co kilka minut. Im szybciej to robią, tym trzeba zapłacić więcej. Są jednak darmowe rozwiązania, jak np. StatusCake czy Better Uptime.
2. Predykcja i monitoring awarii
Różnego rodzaju awarie są całkowicie normalne w przedsiębiorstwach, które zajmują się np. produkcją czy magazynowaniem. To także chleb powszedni dla właścicieli nieruchomości. Koszty wynikające z różnego rodzaju awarii są duże – bo obejmują nie tylko fizyczną naprawę sprzętu, ale także potencjalne przestoje w firmie. Stąd na rynku dostępne są rozwiązania, które radzą sobie z awariami… przewidując je zawczasu. W ten sposób przedsiębiorstwa mogą wymienić wadliwe urządzenie, zanim jeszcze narobi szkody.
Takie rozwiązanie ma polski startup ReliaSol. System, który stworzyła firma, potrafi na bieżąco monitorować stan maszyn, ale także biorąc pod uwagę historyczne awarie, potrafi ocenić, czy nadchodzą problemy. System ten rekomenduje podjęcie konkretnych działań w oparciu o sztuczną inteligencję. Rozwiązanie przetestował już np. Tauron czy PGNiG Termika.
Jeśli posiadamy jakąkolwiek nieruchomość, podobne rozwiązania można wdrożyć w ramach systemów BMS. Umożliwiają one bieżący monitoring nieruchomości i wskazanie miejsca, w którym występuje awaria.
Z kolei polska firma KSM Vision stworzyła systemy do fizycznego monitoringu jakości. Dzięki układom optycznym i zaawansowanej automatyce są one w stanie sprawdzać, czy produkty wychodzące z linii produkcyjnych spełniają wszystkie wymagania. Sprawdzają, czy opakowania napojów mają dokładne zamknięcia (kontrola zgrzewów) czy kontrolują jakość wyprodukowanej kostki brukowej.
3. Szybki dostęp do finansowania
Brak środków na zapłatę faktur mogą być poważnym zagrożeniem w niepewnych czasach. W przypadku, kiedy stajemy przed tym wyzwaniem, w zasadzie niewiele już można zrobić. Proces pozyskania pożyczki trwa. Dlatego lepiej jest zabezpieczyć się przed taką sytuację już wcześniej. Najprostszym rozwiązaniem jest limit kredytowy na naszych rachunkach bankowych. Są także inne narzędzia, np. faktoring, który przyspiesza proces odzyskiwania należności kosztem ustalonej prowizji.
Przedsiębiorcy powinni jednak skorzystać z „dobrodziejstw XXI w.” i oferty, jaką mają fintechy, czyli startupy zajmujące się obszarem finansowym. Robią to np. Uncapped czy Booste. To firmy, które udzielają pożyczek głównie dla branży e-commerce na podstawie analizy wyników finansowych. Ich koszt jest generalnie większy niż finansowanie bankowe, ale jest znacznie prostsze do uzyskania i przede wszystkim jest to szybki, niemal automatyczny proces.
4. Dane w chmurze
Z pozoru trzymanie danych na własnych serwerach wydaje się bezpieczniejsze, bo mamy nad nimi całkowitą kontrolę. Jednak taka ochrona może nie być wystarczająca. Bo tak naprawdę dostępne powszechnie usługi chmurowe są nie mniej bezpieczne niż trzymanie danych „u siebie”. Co więcej, to właśnie usługi chmurowe są na bieżąco aktualizowane, a w dodatku nad tym, by były sprawnie bronione, dbają całe zastępy ekspertów. Czy nasz zespół IT może się z nimi mierzyć?
Chmurą może być korzystanie z usług Azure czy AWS, czyli przeniesienie całych serwisów lub też baz danych. Można także korzystać w mniejszym stopniu, chociażby współdzieląc pliki za pomocą aplikacji Dropbox lub dysku Google. Bo chmura charakteryzuje się jedną, wielką zaletą – mamy do niej dostęp niemal w każdym punkcie. Oznacza to, że jeśli nasz pracownik wyjeżdża służbowo, możemy zapewnić mu równy dostęp danych. Podobnie, kiedy pracuje w domu.
5. Zabezpieczenia… przed użytkownikami
Kryzys w social media może być utrapieniem dla każdego biznesu działającego w internecie. Wystarczy nawet najmniej racjonalny powód, by wśród fanów i antyfanów rozeszła się informacja, która bezpośrednio wpłynie na biznes. Przed samym kryzysem trudno się uchronić, bo najczęściej wynika on z błędu jednego z pracowników. Ratunek? Szkolenia i kontrola osób, które zajmują się bieżącą obsługą klientów i social mediami.
Z pomocą przychodzą także konkretne rozwiązania. Brand24 oferuje monitoring mediów społecznościowych, który można wykorzystać nie tylko by śledzić to, co o nas mówią klienci, ale także wyszukiwać potencjalne zarzewia kryzysów. Inna polska firma, Sentione, oferuje monitoring internetu pod kątem aktywności aktualnych i potencjalnych klientów. To narzędzie bazuje na sztucznej inteligencji, która pozwala na wychwycenie, jaki ton mają wypowiedzi użytkowników Facebooka czy Twittera. Narzędzie umożliwia także automatyzację obsługę klientów. Nieco inne rozwiązanie oferuje Samurai Labs. Firma ma narzędzie, które rozpoznaje „mowę nienawiści”, co może być sporym ratunkiem dla biznesów posiadających np. fora dyskusyjne czy udostępniających komentarze użytkowników.
6. Zabezpiecz pracowników
Najlepszym argumentem dla przyciągnięcia i utrzymania pracownika jest oczywiście wysoka pensja. Jak wynika z badań Grupy Pracuj, powodem poszukiwania nowego miejsca pracy są wyższe zarobki (ponad 70 proc. wskazań), ale także chęć awansu i niedocenianie obecnego pracodawcy. Z kolei aby pozostać w miejscu pracy, obok wyższych zarobków Polacy chcieliby dobrej atmosfery, korzystnej lokalizacji i dobrych relacji z szefem.
O większość tych punktów przedsiębiorca może zadbać sam. Ale w wielu aspektach może zapewnić bezpieczeństwo swojej firmy, inwestując w narzędzia, dzięki którym będzie mógł lepiej zadbać o pracowników. Firma Mindgram stworzyła wirtualną platformę, której celem jest wsparcie pracowników pod względem psychicznym. Klientem może zostać przedsiębiorca, a jego pracownicy obok porad psychologów mogą wziąć udział w warsztatach. Z kolei Samelane stworzył narzędzie do automatyzacji obsługi pracowników, w tym szkoleń oraz onboardingu. Przedsiębiorcy mogą także poszukać różnych rozwiązań jeśli chodzi o szkolenia. Chociażby Englibot, który umożliwia naukę języka angielskiego poprzez Facebook.
7. Bezpieczne dokumenty
Podstawowe zasady bezpieczeństwa związane z dokumentami papierowymi są oczywiste. Trzymamy je w zamkniętych miejscach, nie zostawiamy dokumentów na biurkach itd. W internecie sprawa jest znacznie trudniejsza. Po pierwsze, trzeba zabezpieczyć same komputery. Tu sprawdzają się zarówno programy antywirusowe, jak i chociażby zabezpieczenia fizyczne, np. blokady na kamerki internetowe. Po drugie, trzeba także zabezpieczyć systemy informatyczne, np. zaporami na serwerach. Trzeci element to szkolenie pracowników. Nawet najlepsze zabezpieczenie może nic nam nie dać, jeśli nasz pracownik wyśle e-mail z ważnymi dokumentami do niewłaściwego odbiorcy. Takie szkolenia można bezproblemowo znaleźć w internecie. Chodzi tu zarówno o szkolenie, które pozwoli na uniknięcie typowego wycieku danych, jak i celowe ataki podmiotów zewnętrznych – np. próbę wyłudzenia informacji lub dokumentów.
Takie ryzyko ograniczają także konkretne narzędzia. Obok zainstalowania dodatków do skrzynek pocztowych, które np. oznaczają e-maile pochodzące od adresatów spoza firmy, można np. wykorzystać chmurę (odpowiednio zabezpieczoną), do której dostęp będzie wymagał podania hasła.
Na rynku istnieją jednak narzędzia upraszczające te procedury. DoxyChain stworzył system umożliwiający przechowywanie dokumentów w internecie, ale z bardzo silnym zabezpieczeniem. Ponadto można stopniować uprawnienia użytkowników do różnych dokumentów. Startup posiada także podpis wirtualny zgodny z eIDAS, co umożliwia wymianę dokumentów z innymi firmami.
Alternatywny pomysł ma Autenti. Firma stworzyła narzędzie do wirtualnego podpisywania i przesyłania umów. Już dziś z jej rozwiązań korzystają np. banki czy instytucje płatnicze.
8. Czy ktoś cię okrada?
Jeśli nie uda ci się odpowiednio zabezpieczyć przed atakami czy próbami wyłudzeń, trzeba posiadać także plan awaryjny. Ważne jest chociażby dysponowanie kontaktem do kancelarii prawnej, która może nam pomóc w trudnej sytuacji albo do ubezpieczycieli, u których mamy produkty chroniące w takich sytuacjach. Ważna rada – wszystkie najważniejsze kontakty powinniśmy posiadać w formie papierowej, ponieważ w przypadku włamania na nasze serwery bardzo prawdopodobne jest zablokowanie wszystkich komputerów służbowych.
Czasem jednak atak jest dużo trudniejszy do wykrycia i zanim otrzymamy informację od kogoś, kto się o nim dowiedział, możemy żyć w błogiej nieświadomości. Z pomocą przychodzą narzędzia DLP – Data Loss Prevention – czyli systemy, które mają zapobiegać utracie i monitorować ewentualne problemy. Na rynku znajdziemy rozwiązania techniczne, które monitorują aktywność komputerów pracowników. Jeśli ktoś zgrywa ważne dane na dysk zewnętrzny, dostajemy taki sygnał.
Kradzież może dotyczyć także bardziej przyziemnych rzeczy, jak np. opisu aukcji na Allegro czy fragmentu materiału wideo. Ten drugi możemy zabezpieczyć znacznikami wodnymi. Na rynku działają także firmy monitorujące duplikaty treści. W ten sposób możemy zabezpieczyć się przed nieuprawnionym wykorzystaniem naszej własności intelektualnej.
9. Uwierzytelnianie dwuskładnikowe
Pod tym tajemniczym hasłem kryje się rozwiązanie, które bardzo często może nas uratować przed utratą dużych pieniędzy. Uwierzytelnianie dwuskładnikowe znane jest wszystkim, którzy np. korzystają z bankowości internetowej. Obok danych logowania musimy np. potwierdzić naszą tożsamość za pomocą kodu wysłanego SMS-em. Takie rozwiązanie można stosować także w firmie w różnym zakresie.
Popularną formą ataku jest podanie się przez przestępcę za bezpośredniego przełożonego lub też kontrahenta i przekazanie prośby o wypłacenie określonej kwoty na określone konto bankowe. W takim przypadku przestępcy posługują się albo podrobionym adresem e-mailowym albo adresem niemal identycznym z posiadanym przez teoretycznego nadawcę. Co wtedy? Tworzymy procedurę w firmie, zgodnie z którą osoba wykonująca przelew musi potwierdzić tożsamość, np. dzwoniąc do osoby zlecającej przelew. Proste?
Uwierzytelnianie dwuskładnikowe można także wprowadzić na skrzynki pocztowe albo by uzyskać dostęp do dokumentów. Tu z pomocą przychodzą narzędzia stworzone przez dostawców usług, np. Google czy Microsoft. Na rynku są także systemy do wdrożenia „na własną rękę”.
Można także wykorzystać to, że żyjemy w XXI w. Startup Digital Fingerprints stworzył narzędzie z biometrii behawioralnej. Bada ono, jak dany użytkownik zachowuje się w sieci. Jeśli w jakiś sposób to zachowanie jest podejrzane, istnieje ryzyko, że jego konto zostało przejęte. Z rozwiązania Digital Fingerprints korzystają chociażby banki ING czy mBank. Inny pomysł ma firma IDENTT. Startup stworzył technologię odczytującą dokumenty, takie jak dowody tożsamości i porównuje je z użytkownikami. Oznacza to, że niemożliwe staje się kradzież dokumentu i wykorzystanie go np. do kradzieży pieniędzy.
10. VPN
VPN, czyli Virtual Private Network, to rozwiązanie, które zyskało wielką popularność w czasie pandemii. W dużym uproszczeniu jest to wewnętrzna sieć, która w bardzo dużym stopniu jest zabezpieczona przed osobami zewnętrznymi. To idealne rozwiązanie przy pracy zdalnej lub hybrydowej, ewentualnie w ramach współpracy z wykonawcami zewnętrznymi.
Narzędzia, które tworzą VPN sprawiają, że użytkownicy nie pozostawiają „cyfrowego śladu”. Dlatego rośnie poziom zabezpieczenia danych czy też komunikacji między pracownikami. To dodatkowe zabezpieczenie zwłaszcza tam, gdzie działy IT nie mogą zbyt wiele zrobić – np. w domach pracowników albo podczas ich podróży służbowych. Oczywiście VPN nie uratuje nas w każdej sytuacji, ale jest dodatkowym elementem budowy bezpieczeństwa w firmie. Ile to kosztuje? Niewiele, zazwyczaj kilkadziesiąt złotych miesięcznie.
---
Majątek firmy czy majątek prezesa
Autorem komentarza jest Grzegorz Waszkiewicz, broker ubezpieczeniowy, członek zarządu Krajowego Biura Obsługi Roszczeń Ubezpieczeniowych, twórca marki: BezpieczenstwowBiznesie.pl
Na czym polega różnica pomiędzy polisą OC działalności firmy a polisą OC jej zarządu tzw. (D&O)? Coraz częściej zarządzający poszukują polis odpowiedzialności cywilnej dla prowadzonych przez siebie firm. W dużej mierze są to jednak osoby, które będąc właścicielami myślą o zabezpieczeniu swojego majątku. Co zatem ubezpieczymy? Majątek firmy czy majątek prezesa? Właśnie tak postawione pytanie pozwoli nam zrozumieć różnicę.
Polisa OC firmy ma zabezpieczyć przedsiębiorstwo przed roszczeniami osób trzecich w związku z prowadzoną przez nie działalnością lub posiadanym mieniem. Wzrost świadomości odszkodowawczej powoduje, że jak ktoś coś komuś zrobi, zaniecha lub zwyczajnie się pomyli, to poszkodowana firma czy osoba żąda odszkodowania, zwrotu poniesionych kosztów lub zadośćuczynienia właśnie od „odpowiedzialnej” za to firmy.
Czasem posiadanie OC to obowiązek wynikający z przepisów prawa dla zdefiniowanych zawodów, dla innych wymóg kontraktowy, a dla jeszcze innych przezorność. Firmą jednak ktoś zarządza. Czasem pod wpływem emocji, przy sprawach pracowniczych zarząd może popełnić błąd lub zaniedbanie. Innym razem, pismo od komornika w sprawie zajęcia pensji pracownika może nie doczekać się stosownej terminowej odpowiedzi. A to już pociągnie za sobą grzywnę. Komornik nakłada karę, którą szef musi zapłacić z własnej kieszeni. Można zaniedbać przepisy BHP, podpisać całkowicie nierentowny kontrakt lub wypełnić i podpisać błędną deklarację podatkową. Można się odwołać, złożyć skargę, można zapłacić, ale to wszystko kosztuje czas, pieniądze i emocje. Przede wszystkim też trzeba zawsze odnieść się do zarzutów, a to od razu kosztuje, bo prawnicy nic nie robią za darmo.
Zatem aby zapewnić ochronę prywatnego majątku decydentów w firmie przed konsekwencjami błędów lub zaniechań w działaniach służbowych, praktycznym rozwiązaniem jest ubezpieczenie odpowiedzialności cywilnej członków władz spółki tzw. (D&O). W momencie wpływu roszczenia do firmy nie ma potrzeby z automatu angażować prawnika, który ma potwierdzić lub oddalić naszą odpowiedzialność. Ubezpieczyciel działając w imieniu swoim, ale również w interesie przedsiębiorstwa, przeprowadzi analizę odpowiedzialności i wycenę szkód.
Podsumowując – OC firmy i D&O to dwa komplementarne ubezpieczenia odpowiedzialności cywilnej, które łącznie zabezpieczają odpowiednio majątek firmy i majątek prywatny osób zarządzających.
Więcej możesz przeczytać w 1/2022 (76) wydaniu miesięcznika „My Company Polska”.