Przygotowany przez Computerworld we współpracy z BCC Data Centers raport "Bezpieczeństwo infrastruktury IT w polskich organizacjach" to kompleksowy opis rzeczywistego stanu i perspektyw rozwoju infrastruktury krytycznej wśród kluczowych, największych przedsiębiorstw działających w Polsce. Zapoznając się z raportem, będą Państwo mieli okazję dowiedzieć się między innymi: - jakie elementy bezpieczeństwa infrastruktury teleinformatycznej działają najczęściej w polskich organizacjach, a które będą dopiero wdrażane, -jak kształtują się plany inwestycyjne polskich firm w zakresie rozwoju infrastruktury IT, - jakie priorytety biznesowe wiązane są z prawidłowym działaniem zaplecza infrastruktury krytycznej, - jak kształtują się powyższe czynniki w zależności od sektorów gospodarki oraz wielkości organizacji.

1. BEZPIECZEŃSTWO
INFRASTRUKTURY IT
W POLSKICH ORGANIZACJACH
PRIORYTETY • INWESTYCJE • WYZWANIA • ZAGROŻENIA
CZERWIEC2011
RAPORTMAGAZYNUMENEDŻERÓWIINFORMATYKÓWWWW.COMPUTERWORLD.PL
LUTY2015
PARTNER BADANIA

2. SPIS TREŚCI
Strona 3
ZAWARTOŚĆ RAPORTU BEZPIECZEŃSTWO INFRASTRUKTURY IT
Strona 4
UCZESTNICY BADANIA
Badane przedsiębiorstwa w ujęciu terytorialnym
Perspektywa branżowa
Strona 6
MODELE UTRZYMANIA
I WYKORZYSTANIA INFRASTRUKTURY IT
Zastosowania infrastruktury IT
Strona 10
PRIORYTETY BIZNESOWE I INWESTYCYJNE
Plany inwestycyjne
Sposoby modernizacji IT
Powody inwestycji w IT
Priorytety biznesowe
Know-how
Strona 16
ZAPLECZE INFRASTRUKTURY BEZPIECZEŃSTWA
W FIRMACH: STAN POSIADANIA I PLANY ROZWOJU
Audyty bezpieczeństwa
Poszukiwanie podatności
Polityki bezpieczeństwa w polskich organizacjach
Perspektywa branżowa
Archiwizacja i kopie bezpieczeństwa
Testy odtworzeniowe
Bezpieczny ruch sieciowy
Strona 24
ZAGROŻENIA I WYZWANIA
Hierarchia istotności zagrożeń
Kopie zapasowe
Zarządzanie kopiami
Ataki sieciowe
2 luty 2015

3. ZAWARTOŚĆ RAPORTU
Wielkie i małe firmy, poszczególne branże i cała gospodarka, a także
kolejne instytucje państwowe i samorządowe poprawiają swoją efek-
tywność i konkurencyjność przy wsparciu nowoczesnych technologii
informacyjnych. Ceną postępującego wzrostu znaczenia infrastruktu-
ry teleinformatycznej w tych wszystkich organizacjach jest koniecz-
ność zapewnienia jej wydajnego, nieprzerwanego działania, a także
bezpieczeństwa danych.
Przygotowany przez Computerworld we współpracy z BCC Data
Centers raport „Bezpieczeństwo infrastruktury IT w polskich orga-
nizacjach” to kompleksowy opis rzeczywistego stanu i perspektyw
rozwoju infrastruktury krytycznej wśród kluczowych, największych
przedsiębiorstw działających w Polsce.
W raporcie znajdą Państwo informacje na temat priorytetów
biznesowych i zaplecza, jakie stoją za krytyczną infrastrukturą IT
w polskich firmach, różnych modeli jej utrzymywania i wykorzy-
stywania, a także zagrożeń i wyzwań, z którymi muszą zmierzyć się
osoby odpowiedzialne za funkcjonowanie informatyki w firmach
i instytucjach.
Zapoznając się z raportem, będą Państwo mieli okazję dowiedzieć
się między innymi:
• jakie elementy bezpieczeństwa infrastruktury teleinformatycznej
działają najczęściej w polskich organizacjach, a które będą dopiero
wdrażane;
• jak kształtują się plany inwestycyjne polskich firm w zakresie
rozwoju infrastruktury IT;
• jakie priorytety biznesowe wiązane są z prawidłowym działaniem
zaplecza infrastruktury krytycznej;
• jak kształtują się powyższe czynniki w zależności od sektorów
gospodarki oraz wielkości organizacji.
BEZPIECZEŃSTWO
INFRASTRUKTURY IT:
FUNDAMENT FUNKCJONOWANIA
FIRM I INSTYTUCJI
PARTNER BADANIA
REDAKCJA
02—092 Warszawa, Żwirki i Wigury 18a,
tel. 22 3217800, faks 22 3217888
e-mail: cw@idg.com.pl, www.computerworld.pl
REDAKTOR NACZELNY
Tomasz Bitner – 22 3217807
ZESPÓŁ
Dorota Bogucka – 22 3217820
Konrad Karczewski – 22 3217997
Jerzy Krupiński – 22 3217731
Marcin Marciniak – 22 3217827
Piotr Pietruszyński – 22 3217725
Danuta Sass – 22 3217805
WSPÓŁPRACOWNICY
Andrzej Gontarz, Sławomir Kosieliński,
Piotr Kowalski, Artur Pęczak,
Bogdan Pilawski, Piotr Rutkowski
KONFERENCJE COMPUTERWORLD
Sebastian Watras – 22 3217798
Magdalena Szczodrońska – 22 3217935
Katarzyna Kania – 22 3217912
Łukasz Grabczyński – 22 3217988
Renata Grabowiec – 22 3217744
Aleksandra Zygarska – 22 3217872
CUSTOM PUBLISHING
Paweł Choiński – 22 3217711
OPRACOWANIE GRAFICZNE
Sławomir Krajewski
Piotr Rodzeń
BIURO REKLAMY I MARKETINGU
Recepcja 22 3217772
e-mail reklama@idg.com.pl
Marcin Renduda – 22 3217915
Włodzimierz Duszyk – 22 3217870
Agata Goździk – 22 3217830
Magdalena Mieczkowska – 22 3217890
Beata Michalak – 22 3217906
Grażyna Skibniewska – 22 3217895
Marcin Tyborowski – 22 3217854
Daniel Rosiczka – 22 3217899
PRODUKCJA
Marzena Samsel – kierownik – 22 3217860
Małgorzata Majer – 22 3217861
DZIAŁ PRENUMERATY
Tel. +48 22 3217777
e-mail: kontakt@idg.com.pl lub prenumerata@idg.com.pl
http://www.pcworld.pl/kiosk
Prenumerata realizowana przez: Garmond Press SA
Tel./faks – 22 837-30-08
Prenumerata.warszawa@garmondpress.pl
www.garmondpress.pl
Prenumerata realizowana przez RUCH SA
Zamówienia na prenumeratę w wersji papierowej
i na e-wydania można składać bezpośrednio,
na stronie: www.prenumerata.ruch.com.pl
e-mail: prenumerata@ruch.com.pl lub
kontaktując się z Telefonicznym Biurem Obsługi
Klienta pod numerem: 801 800 803 lub 22 717 59 59
– czynne w godzinach 7.00 – 18.00.
Tekstów niezamówionych redakcja nie zwraca,
zastrzegając sobie prawo ich skracania i opracowywania.
Redakcja nie ponosi odpowiedzialności za treść reklam.
Adresy poczty elektronicznej pracowników redakcji
i wydawnictwa IDG Poland SA tworzone są według wzoru:
Imię_Nazwisko@idg.com.pl
WYDAWNICTWO
International Data Group Poland SA
PREZES ZARZĄDU
Piotr Wtulich
WYDAWCA
Jerzy Michalski
COMPUTERWORLD

4. W badaniu Computerworld i BCC Data Centers udział wzięło 128 dyrektorów
IT i szefów firm z sektora dużych przedsiębiorstw i korporacji. Respondenci
reprezentowali największe firmy z kilkunastu różnych branż.
Uczestnicy badania
pojęcie „infrastruktury krytycznej”, wskazu-
jącej m.in. podmioty o kluczowym znaczeniu
z punktu widzenia funkcjonowania organów
państwa czy działania gospodarki.
Bezpieczeństwo infrastruktury IT jest
szczególnie kluczowe dla organizacji, których
działalność biznesowe oparta jest na dobrach
niematerialnych, takich jak polisy ubezpiecze-
niowe, kredyty, bazy kontaktów, czy też usług
związanych z gromadzeniem danych. Dla tego
rodzaju usług prawidłowe działanie zaple-
cza bazodanowego oraz aplikacyjnego jest
krytyczne. Niedostępność systemów IT może
sprawić, że klienci utracą zaufanie do przed-
siębiorstwa, a tym samym pozycja biznesowa
danej firmy osłabnie.
Zestawiając branże respondentów z wiel-
kością reprezentowanych przez nich firm,
można zauważyć, że największą reprezen-
tację firm powyżej 1 tys. pracowników mają
branże usług komunalnych oraz transportu
i spedycji. Ich zespoły są szczególnie duże,
biorąc pod uwagę skalę działalności oraz
zasięg, na jakim oferują usługi. W przypadku
sektora przemysłu, przetwórstwa oraz wydo-
bycia istotną niekiedy część pracy wykonują
maszyny, stąd wśród respondentów tej bran-
4 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Branża
>1000
pracowników
<1000
pracowników
brak danych
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 15 63% 9 38% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 15 71% 6 29% 0 0% 21
Przemysł/Produkcja/Wydobycie 8 50% 8 50% 0 0% 16
FMCG/Dystrybucja/Handel 9 64% 5 36% 0 0% 14
Transport/Spedycja/Logistyka 8 73% 3 27% 0 0% 11
Pozostałe sektory 27 64% 10 24% 5 12% 42
Razem odpowiedzi 82 64% 41 32% 5 4% 128
Badani wg wielkości firmy – ujęcie sektorowe
dominuje Gdańsk, zaś na Śląsku Wrocław, choć
z uwagą, że rozmieszczenie terytorialne przed-
siębiorstw jest tam bardziej równomierne niż
na Mazowszu. Łącznie respondentów wywodzą-
cych się z różnych rejonów Śląska było 12%.
Perspektywa branżowa
Respondenci zaliczani byli w poczet jednego
z trzynastu sektorów gospodarki. Największy
udział wśród ankietowanych mieli przedstawicie-
le sektorów, w których dominują duże przedsię-
biorstwa, a więc: energetyka i utilities, finanse,
bankowość i ubezpieczenia, a także przemysł
i produkcja oraz FMCG i handel. Stosunkowo
dużo uczestników badania wywodziło się także
z sektora transportu, spedycji i logistyki.
Zaplecze IT w poszczególnych branżach peł-
ni szereg funkcji, niekiedy różniących się dia-
metralnie, w zależności od charakteru i cech
oferowanych przez daną firmę produktów
i usług. Ogólna obserwacja wskazuje, że bez-
pieczeństwo infrastruktury teleinformatycznej
jest proporcjonalnie tym bardziej istotne, im
większe jest znaczenie danej organizacji dla
całości krwiobiegu gospodarczego. Materię
tę szerzej opisuje Ustawa z dnia 26 kwietnia
2007 r. o zarządzaniu kryzysowym, definiująca
Ponad połowa badanych wywodziła się z firm
zatrudniających ponad 2 tys. pracowników.
Kolejnych 45% badanych to przedstawiciele
przedsiębiorstw o zespołach pracowników li-
czących od 250 do 2 tys. osób. Pozostała grupa,
którą stanowiły firmy zatrudniające poniżej
250 pracowników, reprezentowała wynikającą
z rozporządzenia Komisji Europejskiej (WE)
800/2008 granicę (główną, choć nie jedyną),
oddzielającą przedsiębiorstwa określane jesz-
cze jako średnie od dużych.
Badane przedsiębiorstwa w ujęciu
terytorialnym
Ukazanie ankietowanych w perspektywie tery-
torialnej, w podziale na województwa i miasta,
oddaje charakterystyczne cechy geograficznego
rozmieszczenia podmiotów polskiej gospodarki,
potwierdzając właściwy dobór próby. Łatwo do-
strzec koncentrację badanych przedsiębiorstw
na Mazowszu, Śląsku (zwłaszcza Dolnym
Śląsku) oraz Pomorzu.
Najsilniejszym ośrodkiem na Mazowszu
pozostaje oczywiście Warszawa, skupiająca aż
37% wszystkich respondentów. Na Pomorzu

5. 5luty 2015
Badani wg wielkości firmy
Ankietowani w ujęciu sektorów
gospodarki
Ankietowani w ujęciu
terytorialnym wg miast
Warszawa 47 37%
Kraków 8 6%
Gdańsk 7 5%
Wrocław 6 5%
Łódź 5 4%
Katowice 3 2%
Pozostałe miasta 44 34%
Brak danych 8 6%
Suma końcowa 128 1
Finanse/Bankowość/
Ubezpieczenia
24 19%
Energia/Gaz/Woda/Ciepło/
Oczyszczanie
21 16%
Przemysł/Produkcja/
Wydobycie
16 13%
FMCG/Dystrybucja/Handel 14 11%
Transport/Spedycja/Logistyka 11 9%
Farmacja/Służba zdrowia/
Opieka społeczna
7 5%
Administracja publiczna/Służby
mundurowe
6 5%
Media/Reklama/Wydawnictwa/
Drukarnie
6 5%
Telekomunikacja/Internet/TV
kablowa
5 4%
Edukacja/Szkolenia/Nauka 4 3%
Budownictwo/Nieruchomości 4 3%
Konsulting/Doradztwo/Prawo/
Audyt
4 3%
IT – firmy informatyczne 2 2%
Brak danych 4 3%
Suma końcowa 128 100%
ży udział zespołów powyżej 1 tys. pracowni-
ków był niższy. Wskazania deklarujące powy-
żej 2 tys. pracowników w ramach tej branży
pochodziły od respondentów bardzo dużych
firm, szeroko eksportujących swoje wyroby
poza granice Polski.
Dobrana próba pozwoliła sprawdzić, jak do
kwestii bezpieczeństwa infrastruktury telein-
formatycznej i koniecznych do jej zapewniania
nakładów podchodzą największe polskie
organizacje. Mają one największe możliwości
inwestycyjne, dzięki czemu są w stanie spraw-
dzić, jakie technologie znajdują autentyczne
zastosowania i zrozumienie na rynku. 
Ankietowani w ujęciu terytorialnym wg województw

6. Modele utrzymania firmowej
infrastruktury IT
96% dużych przedsiębiorstw utrzymuje własną
infrastrukturę centrum danych do uruchamiania
aplikacji biznesowych oraz przechowywania
danych i kopii zapasowych. 33% wspomaga się
outsourcingiem, wynajmując część zasobów IT od
zewnętrznych dostawców.
Modele utrzymania
i wykorzystania infrastruktury IT
dostawców, natomiast całościowe przej-
ście do modelu outsourcingu deklaruje 6%
ankietowanych. Pokazuje to, że spośród
ankietowanych stosunkowo niewielka grupa
przedsiębiorstw w całości powierza swo-
je systemy i infrastrukturę zewnętrznym,
specjalizowanym dostawcom. Można z tego
wnioskować, że rynek dla świadczenia usług
outsourcingowych w naszym kraju nie jest
jeszcze nasycony.
Wyniki badania pokazują, że wynajem in-
frastruktury IT w modelu outsourcingu cieszy
się większą popularnością wśród firm za-
trudniających do 1000 osób niż największych
przedsiębiorstw i korporacji działających
na polskim rynku. W pierwszej grupie firm
55% utrzymuje infrastrukturę IT w całości po
stronie organizacji, a pozostałe 45% korzysta
w części lub całości z zasobów wynajmo-
wanych u zewnętrznych dostawców. Z kolei
w drugiej grupie przedsiębiorstw proporcje
te kształtują się w stosunku 66% do 34% na
rzecz własnej infrastruktury IT.
Wystarczająca liczba uzyskanych odpo-
wiedzi pozwoliła nam na przygotowanie mia-
rodajnych statystyk, dotyczących sposobów
utrzymania infrastruktury IT w przedsiębior-
stwach w ujęciu według sektorów gospodarki.
Z zebranych informacji wynika, że wśród bada-
6 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Większość przedsiębiorstw, które wzię-
ły udział w badaniu, dysponuje własnym
centrum danych, w którym składuje dane
i uruchamia swoje aplikacje. Spośród 128
ankietowanych przedsiębiorstw 80 utrzymuje
własną firmową infrastrukturę IT. Dalsza 1/3
organizacji wspomaga się outsourcingiem,
wynajmując część zasobów od zewnętrznych

7. 7luty 2015
nych z własnego centrum danych najczęściej
korzystają firmy z branży transportowo-logi-
stycznej (73%) oraz energetycznej i mediów
komunalnych (71%), podczas gdy wynajmem
Tomasz Wawrzonek,
wicedyrektor IT, BCC Data Centers
Warto zwrócić uwagę, że badanie pokazuje, iż z outsourcingu infra-
struktury IT najczęściej korzystają przedsiębiorstwa z sektorów, które
mają najwyższe wymagania dotyczące bezpieczeństwa i dostępności
systemów centralnych. W takim modelu łatwiej jest określić odpowie-
dzialność kontraktową i jasne warunki SLA niż w przypadku współpracy
z własnym zespołem IT.
Modele utrzymania firmowej infrastruktury IT — ujęcie według wielkości przedsiębiorstw
W całości po stronie
organizacji — we własnym
data center
Częściowo po stronie
organizacji, częściowo
w modelu outsourcingu
Outsourcing — hosting lub
kolokacja
Outsourcing w modelu
chmury obliczeniowej
poniżej 1000 55% 38% 7% 0%
powyżej 1000 66% 29% 4% 1%
Modele utrzymania firmowej infrastruktury IT — ujęcie według sektorów gospodarki
W całości po stronie
organizacji — we własnym
data center
Częściowo po stronie
organizacji, częściowo
w modelu outsourcingu
Outsourcing — hosting lub
kolokacja
Outsourcing w modelu
chmury obliczeniowej
Energia/Gaz/Woda/Ciepło/Oczyszczanie 71% 14% 14% 0%
Finanse/Bankowość/Ubezpieczenia 42% 54% 4% 0%
FMCG/Dystrybucja/Handel 43% 50% 7% 0%
Przemysł/Produkcja/Wydobycie 56% 38% 6% 0%
Transport/Spedycja/Logistyka 73% 27% 0% 0%
Pozostałe firmy 73% 23% 2% 2%
dodatkowych zasobów IT w modelu outsourcin-
gu najczęściej wspomagają się przedsiębior-
stwa z sektora finansowo-ubezpieczeniowego
(54%) oraz handlu i dystrybucji (50%).

8. 8 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Zastosowania infrastruktury IT
Spośród 122 firm, które utrzymują infrastruktu-
rę IT w całości lub w części po stronie organiza-
cji, aż 91% robi to w celu utrzymywania na niej
krytycznych aplikacji biznesowych, a kolejne
74% (ankietowani mogli tutaj wskazać kilka
odpowiedzi) wykorzystuje własne centra danych
również do dostarczania pozostałych aplikacji,
o mniejszym znaczeniu z perspektywy zachowa-
nia ciągłości działania przedsiębiorstwa.
Firmowe zasoby IT wykorzystywane są także
do składowania danych (68 odpowiedzi) i prze-
chowywania kopii zapasowych (84 odpowiedzi).
Co warte odnotowania, mniej więcej połowa
przedsiębiorstw dysponuje własnym zapaso-
wym centrum danych oraz stosuje redundantne
zabezpieczenia systemów IT po stronie organi-
zacji.
52% respondentów, którzy korzystają z out-
sourcingu infrastruktury IT, robi to, aby utrzy-
mywać w niej krytyczne aplikacje biznesowe,
podczas gdy 63% z nich wykorzystuje zewnętrz-
ne zasoby informatyczne do uruchamiania po-
zostałych aplikacji biznesowych. To pokazuje,
że firmy wciąż utrzymują kluczowe aplikacje we
własnej serwerowni, jednocześnie przenosząc
Jakub Żurek,
menedżer ds. sprzedaży, BCC
Nasze doświadczenia
pokazują, że najczęściej
„przygodę” z outsourcingiem
IT firmy rozpoczynają
od korzystania z usług
zewnętrznego dostawcy
serwisu www. Klienci oceniają
jakość i niezawodność usług,
z czasem nabierając do nich
zaufania. W naszym przypadku
większość należących
do klientów systemów,
utrzymywanych w BCC Data
Centers to systemy centralne,
krytyczne dla działania
przedsiębiorstw. Zapewnienie
podobnego poziomu
bezpieczeństwa na własnej
infrastrukturze często okazuje
się kosztowo nieuzasadnione.
Sposoby wykorzystania infrastruktury IT posiadanej po stronie organizacji
Liczba wskazań
Procent respondentów,
którzy wskazali taką
odpowiedź
Utrzymywanie krytycznych aplikacji biznesowych 111 91%
Utrzymywanie aplikacji innych niż krytyczne 90 74%
Przechowywanie kopii zapasowych 84 69%
Storage 68 56%
Redundantne zabezpieczenia 63 52%
Zapasowe data center 56 46%
Świadczenie usług w modelu chmurowym (IaaS,
PaaS, SaaS)
19 16%
Inne 4 3%

9. 9luty 2015
do zewnętrznego centrum danych (hosting, ko-
lokacja) systemy i dane o mniejszym znaczeniu
biznesowym. 1/5 firm z tej grupy wykorzystuje
outsourcing w zakresie zapasowego centrum
danych.
Z badania wyłania się umiarkowane zain-
teresowanie przedsiębiorstw dostarczaniem
biznesowi usług i zasobów w modelu chmury
obliczeniowej. Usługi chmurowe (IaaS, PaaS,
SaaS) świadczy jedynie 16% firm mających
własne centrum danych i 17% przedsiębiorstw
korzystających z outsourcingu zasobów IT.
Własne centra danych wykorzystywane są
przez przedsiębiorstwa w szerszym zakresie niż
zasoby wynajmowane w modelu outsourcingu.
Dariusz Drożdż,
menedżer Obszaru Technologii SAP, BCC
Niezależnie od sposobu utrzy-
mania infrastruktury IT, z punktu
widzenia biznesu najważniejszy
jest nieprzerwany dostęp do in-
formacji, które w systemach są
przetwarzane i przechowywane,
czyli dostępny i wydajny system.
Narzędzia, jakie nas w tym wspo-
magają, to rozwiązania zapew-
niające zarówno wysoką dostęp-
ność bieżących danych (klastry,
konfiguracje na poziomie sieci,
urządzeń i całych środowisk
wirtualnych), odpowiednią wy-
dajność (wydajna infrastruktura,
przetwarzanie w pamięci), sys-
temy kopii zapasowych, które
szybko i bez nadmiernego ob-
ciążenia (np. dzięki deduplikacji)
pozwalają wykonać kopie danych
nawet do fizycznie odległych
CPD, jak i zapasowe centra da-
nych wraz z mechanizmami i pro-
cedurami DR (Disaster Recovery).
W BCC Data Centers zapewniamy
redundancję na różnych pozio-
mach, korzystając z infrastruk-
tury dwóch fizycznie odległych
serwerowni.
Na pytanie, do czego używana jest infrastruktu-
ra posiadana po stronie organizacji, responden-
ci podawali przeciętnie cztery odpowiedzi, pod-
czas gdy średnia liczba odpowiedzi na pytanie
dotyczące sposobów wykorzystania zasobów
wynajmowanych na zewnątrz wyniosła 2,4.
Wyniki badania nasuwają wniosek,
że większość procesów biznesowych
przedsiębiorstw realizowana jest
z wykorzystaniem własnych centrów danych,
podczas gdy systemy i dane wynoszone są na
zewnątrz w przypadku, gdy ma to uzasadnienie
ekonomiczne lub gdy firma nie dysponuje da-
nym zasobem, np. zabezpieczeniami nadmiaro-
wymi. 
Sposoby wykorzystania infrastruktury IT wynajmowanej w modelu outsourcingu
Liczba wskazań
Procent respondentów,
którzy wskazali taką
odpowiedź
Utrzymywanie aplikacji innych niż krytyczne 30 63%
Utrzymywanie krytycznych aplikacji biznesowych 25 52%
Przechowywanie kopii zapasowych 17 35%
Redundantne zabezpieczenia 13 27%
Storage 12 25%
Zapasowe data center 10 21%
Świadczenie usług w modelu chmurowym (IaaS,
PaaS, SaaS)
8 17%
Inne, jakie? 1 2%

10. Kluczem do sukcesu przedsiębiorstw jest zrozumienie strategicznej roli działów
IT w kreowaniu trwałej przewagi konkurencyjnej. To może być główny powód, dla
którego 89,1% ankietowanych firm zamierza unowocześnić swoje centra danych
w najbliższej przyszłości, przy czym ponad połowa z nich planuje to zrobić w ciągu
nadchodzących 12 miesięcy.
Priorytety biznesowe
i inwestycyjne
Z roku na rok rosną wymagania biznesu
formułowane wobec IT. Odpowiedzią na
te wyzwania w dużej mierze są najnow-
sze technologie i trendy w informatyce,
takie jak: wirtualizacja, infrastruktura
definiowana programowo, chmury ob-
liczeniowe oraz systemy analityczne
i Big Data. W tym kontekście szczegól-
nego znaczenia nabiera hasło „stała
jest tylko zmienność”. Pewne jest, że
firmy i instytucje publiczne, które nie
znajdą środków na inwestycje w IT, zo-
staną daleko w tyle za konkurencją.
Ta część raportu poświęcona jest
priorytetom przedsiębiorstw w za-
kresie inwestycji w obszarze IT. Na
kolejnych stronach spróbujemy odpo-
wiedzieć na pytania: czy i kiedy firmy
planują prowadzenie zmian w infra-
strukturze centrów danych, jakie są
powody, dla których zamierzają podjąć
się tych wyzwań oraz z jakimi wyzwa-
niami, kierowanymi ze strony biznesu
muszą zmagać się szefowie działów IT
ankietowanych organizacji?
Plany inwestycyjne
Spośród 128 przedsiębiorstw, które
wzięły udział w badaniu, 89,1% planuje
inwestycje w infrastrukturę teleinfor-
matyczną związaną z bezpieczeństwem
i dostępnością danych oraz systemów
IT. Ponad połowa z nich deklaruje chęć
podjęcia inwestycji w ciągu najbliż-
szych 12 miesięcy, podczas gdy kolejne
10 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT

11. 11luty 2015
46,5% firm wyraźnie wskazuje na ko-
nieczność modernizacji swoich centrów
danych nie później niż za dwa lata.
Uwagę zwraca aż 14 firm, których
przedstawiciele jawnie zadeklarowa-
li brak inwestycji w infrastrukturę IT
w najbliższej przyszłości. Zaprzestanie
rozwoju środowisk IT w dłuższym hory-
zoncie czasowym prowadzi do sytuacji,
w której mamy do czynienia z przesta-
rzałymi systemami i technologiami, któ-
re wydatnie ograniczają lub uniemożli-
wiają szybkie i efektywne reagowanie
na zmieniające się otoczenie i wyma-
gania biznesu. Z jednej strony może to
oznaczać pewną krótkowzroczność oraz
brak świadomości osób zarządzających
tymi firmami co do roli IT w funkcjono-
waniu współczesnych przedsiębiorstw.
Z drugiej strony możliwe jest, że dekla-
racje wskazujące na brak planowanych
inwestycji w infrastrukturę IT są wyni-
kiem niedawno zakończonych projek-
tów modernizacyjnych w tym zakresie.
Brak inwestycji w infrastrukturę IT
zadeklarowały zarówno duże firmy, za-
trudniające do 1000 osób (17% z nich
nie będzie inwestować), jak i najwięk-
sze przedsiębiorstwa oraz korporacje,
w których pracuje ponad 1000 osób
(9% odpowiedzi na nie).
Najwięcej organizacji planujących
inwestycje w IT możemy zauważyć
w sektorze usług transportowych i logi-
stycznych (100% odpowiedzi: tak), do-
stawców energii i mediów komunalnych
(95%) oraz w przemyśle (94%). To zde-
cydowanie więcej niż średnia dla pozo-
stałych sektorów gospodarki łącznie,
innych niż wymienione w tabeli, która
wyniosła zaledwie 83%. W przypadku
branży transportowo-logistycznej po-
wodem tak wysokiego zaangażowania
w inwestycje w obszarze IT może być
ogromna konkurencja. Na rynku utrzy-
mają się tylko te firmy, które będą
w stanie jak najlepiej wykorzystać
posiadane zasoby, np. flotę pojazdów,
oraz usprawnią wymianę informacji
z kontrahentami, wdrażając i rozwijając
swoje systemy EDI.
Sposoby modernizacji IT
Inwestycje w IT to konieczność, a nie
alternatywa. Pytanie brzmi więc nie
tylko czy, ale i jak przedsiębiorstwa
zamierzają modernizować posiadaną
infrastrukturę IT?
Na tak zadane pytanie 69,3% de-
cydentów, którzy planują inwestycję
w infrastrukturę IT, odpowiedziało,
że zamierza rozbudowywać istniejącą
serwerownię. Z kolei prawie co ósma
z ankietowanych firm zamierza zbudo-
wać nowe centrum danych – niekiedy
łatwiej i efektywniej kosztowo jest
zaprojektować i wdrożyć infrastrukturę
Czy planują państwo inwestować w infrastrukturę teleinformatyczną
związaną z bezpieczeństwem i dostępnością danych oraz systemów IT?
W jakim czasie prowadzona będzie
inwestycja?
Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem
i dostępnością danych oraz systemów IT? — ujęcie według rozmiaru przedsiębiorstwa
Liczba zatrudnionych w przedsiębiorstwie Tak Nie
poniżej 1000 83% 17%
powyżej 1000 91% 9%

12. centrum danych (klasa Tier). Dotyczy to
samej konstrukcji budynku (zewnętrz-
nej i wewnętrznej), możliwości stwo-
rzenia dróg transportowych i doprowa-
dzenia systemów telekomunikacyjnych,
ale także wdrożenia wymaganych sys-
temów chłodzenia i wentylacji, energe-
tycznych i ppoż.
Jeszcze kilka lat temu outsourcing,
czyli wydzielenie wybranych funkcji
ze struktury organizacyjnej w celu
przekazania ich do wykonania innym,
zewnętrznym podmiotom, traktowany
był jako jeden ze szczególnie wartych
uwagi sposobów na obniżenie kosztów
i umożliwienie skupienia na firmowym
core business. Współczesne IT daje
większe możliwości, np. przeniesienia
nawet całej infrastruktury przedsię-
biorstwa na zewnątrz, w tym do do-
stępnej z dowolnego miejsca na świe-
cie chmury obliczeniowej (model IaaS).
O ile gotowość na całkowite skorzy-
stanie z usług zewnętrznych wyraża je-
dynie 3 spośród 114 firm, o tyle możli-
wość wsparcia własnych rozwiązań po-
przez outsourcing aplikacji krytycznych
rozważa już blisko 9% przedsiębiorstw
planujących inwestycje w infrastruk-
turę IT. Mówimy tutaj o firmach, które
nie zdecydowały się modernizować lub
budować nowej infrastruktury dla swo-
jego centrum danych (w pytaniu badani
mogli wybrać tylko jedną odpowiedź).
Wynik ten pokazuje, że outsourcing
usług i aplikacji nadal cieszy się spo-
rym zainteresowaniem, a firmy gotowe
są oddać swoje krytyczne dane i aplika-
cje w ręce zewnętrznych podmiotów.
Powody inwestycji w IT
Konieczność podniesienia wydajności
firmowych aplikacji oraz wyczerpywa-
nie się posiadanych zasobów IT (np.
dyskowych) to dwa najczęściej wy-
mieniane powody planowanych inwe-
stycji w infrastrukturę IT. Problem ten
dotyczy odpowiednio 41,2% i 26,3%
respondentów.
Można wskazać kilka powodów ta-
kiej sytuacji. Wyraźnie zwiększa się
liczba transakcji wykonywanych w sys-
temach informatycznych. Przykładem
tego jest wzrost liczby użytkowni-
ków bankowości elektronicznej, jaki
można zaobserwować na przestrzeni
12 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
IT od podstaw, niż modernizować jej
przestarzałe elementy.
W szerszej perspektywie moderniza-
cja istniejącej infrastruktury może być
trudna lub niemożliwa do przeprowa-
dzenia, jeśli chcemy zapewnić wymaga-
ny poziom dostępności i niezawodności
Czy planują Państwo inwestować w infrastrukturę teleinformatyczną związaną z bezpieczeństwem
i dostępnością danych oraz systemów IT? — ujęcie według sektorów gospodarki
Branża Tak Nie
Energia/Gaz/Woda/Ciepło/Oczyszczanie 95% 5%
Finanse/Bankowość/Ubezpieczenia 92% 8%
FMCG/Dystrybucja/Handel 79% 21%
Przemysł/Produkcja/Wydobycie 94% 6%
Transport/Spedycja/Logistyka 100% 0%
Pozostałe firmy 83% 17%
Planowane sposoby modernizacji infrastruktury IT w przedsiębiorstwach
Rozbudowa już istniejącej serwerowni/data center 69,3%
Budowa nowej infrastruktury data center 12,3%
Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji krytycznych 8,8%
Wsparcie własnej infrastruktury IT poprzez outsourcing aplikacji innych niż krytyczne 3,5%
Całkowite przejście na usługi outsourcingowe 2,6%
Inne 3,5%
Powody planowania inwestycji w infrastrukturę IT
Konieczne jest podniesienie wydajności firmowych aplikacji 41,2%
Obecnie posiadane zasoby (np. storage) są na wyczerpaniu 26,3%
Obecnie posiadane systemy nie zapewniają dostatecznego poziomu dostępności 23,7%
Obecnie posiadane systemy nie zapewniają dostatecznego poziomu bezpieczeństwa 19,3%
Poprzez inwestycję chcemy ograniczyć koszty po stronie TCO 18,4%
Posiadamy przestarzałe systemy, które utraciły wsparcie producenta 14,9%
Inne 4,4%

13. 13luty 2015
ostatnich kilku lat. Dodatkowo, przed-
siębiorstwa coraz częściej mają do
czynienia z nowym typem (nieustruktu-
ryzowanych) danych, których przetwa-
rzanie wymaga sporej mocy obliczenio-
wej serwerów.
Zapotrzebowanie na przestrzeń dys-
kową rośnie w dwucyfrowym tempie,
a to oznacza konieczność zapewnienia
nie tylko coraz większych pojemności
dysków, ale także wydajniejszych,
bardziej inteligentnych i niezawodnych
systemów pamięci masowych, zdolnych
obsłużyć coraz większe obciążenia ge-
nerowane w centrach danych.
Wielu decydentów zwraca uwagę na
kwestie dostępności i bezpieczeństwa
posiadanej infrastruktury IT. 23,7%
ankietowanych osób stwierdziło, że
obecnie wykorzystywane systemy nie
spełniają wymagania dotyczącego
poziomu dostępności. Niewielu mniej,
bo 19,3% respondentów uważa, że
to samo dotyczy kwestii związanych
ze stosowanymi zabezpieczeniami.
Wśród innych powodów inwestycji
w infrastrukturę IT respondenci
wymieniali konieczność budowy
zapasowego centrum danych (Disaster
Recovery) oraz dywersyfikacji dostępu
do usług i zasobów.
Z kolei co 7 ankietowany zauważa
konieczność modernizacji infrastruktu-
ry IT z uwagi na fakt posiadania prze-
starzałych systemów, które utraciły
wsparcie producenta. Dla przykładu,
14 lipca 2015 r. Microsoft zakończy
wsparcie platformy Windows Server
2003, a to oznacza, że od tego mo-
mentu nie będą wydawane nowe ak-
tualizacje zabezpieczeń; zaprzestane
zostanie również świadczenie wsparcia
technicznego dla produktów z tej ro-
dziny. Dla działów IT oznacza to także
konieczność porzucenia przestarzałej
32-bitowej architektury, co wiąże się
z zakupem nowych serwerów i oprogra-
mowania.
W ujęciu według sektorów gospodar-
ki da się zauważyć, że oprócz koniecz-
ności podniesienia wydajności apli-
kacji drugim największym problemem
Jakie są powody, dla których zamierzają Państwo podjąć inwestycje w infrastrukturę IT? — ujęcie według sektorów gospodarki
Etykiety wierszy
Posiadamy
przestarzałe
systemy, które
utraciły wsparcie
producenta
Obecnie po-
siadane systemy
nie zapewniają
dostatecz-
nego poziomu
dostępności
Obecnie po-
siadane systemy
nie zapewniają
dostatecz-
nego poziomu
bezpieczeństwa
Konieczne jest
podniesienie
wydajności fir-
mowych aplikacji
Poprzez
inwestycję chce-
my ograniczyć
koszty po stronie
TCO
Obecnie
posiadane
zasoby
(np. storage) są
na wyczerpaniu
Inne
Administracja publiczna/Służby mundurowe 0% 20% 20% 30% 20% 10% 0%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 3% 10% 16% 29% 23% 16% 3%
Finanse/Bankowość/Ubezpieczenia 16% 19% 13% 29% 6% 13% 3%
FMCG/Dystrybucja/Handel 21% 7% 7% 29% 21% 14% 0%
Przemysł/Produkcja/Wydobycie 19% 24% 5% 43% 0% 10% 0%
Transport/Spedycja/Logistyka 6% 6% 11% 28% 11% 28% 11%
Pozostałe firmy 7% 20% 16% 18% 11% 25% 2%
Priorytety biznesowe formułowane przez biznes wobec IT

14. z samej infrastruktury IT, jak i czyn-
ników zewnętrznych (np. ataki sie-
ciowe) bezpośrednio przekładają się
na straty finansowe i niefinansowe,
rozumiane np. jako spadek zaufania
klientów do firmy. Sam fakt, że pyta-
liśmy o priorytety biznesowe formuło-
wane oficjalnie bądź w praktyce, może
być powodem przewagi argumentu
najwyższej dostępności systemów nad
optymalizacją kosztową nakładów na
bezpieczeństwo.
Na drugim miejscu najczęściej wska-
zywanych odpowiedzi znalazła się opty-
malizacja kosztowa między nakładami
na bezpieczeństwo, a jego faktycznym
poziomem (28,1% odpowiedzi). Biznes
liczy koszty i trudno spodziewać się, że
kwestie ograniczania kosztów i kontroli
wydatków ominą działy IT. W praktyce
nie da się wprost określić, ile pieniędzy
powinniśmy wydać na zapewnienie bez-
pieczeństwa danych. Z tego względu
ważne jest, aby każda złotówka została
wydana właściwie, a poziom ochrony
systemów i aplikacji został dostoso-
wany do skali i wymagań konkretnego
przedsiębiorstwa.
Na uwagę zwraca fakt stosunkowo
niewielkiej liczby respondentów, dla
których najważniejszym prioryte-
tem biznesowym jest zachowanie jak
najdalej posuniętej koncentracji na
podstawowej działalności przedsię-
biorstwa. W ten sposób odpowiedziało
tylko 10 ze 128 przepytanych osób. Dla
przedsiębiorstw bardziej znaczące są
kwestie związane z dostępnością sys-
temów i bezpieczeństwem danych, co
14 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
z jakim borykają się przedsiębiorstwa
przemysłowe i wydobywcze jest brak
dostatecznego poziomu dostępności
systemów IT (24% sumy odpowiedzi
udzielonych przez reprezentantów firm
z danego sektora). Z kolei potrzebę
wymiany przestarzałych systemów,
które utraciły wsparcie producenta,
zauważają dodatkowo respondenci
reprezentujący sektor dóbr szybko zby-
walnych i handlu, przemysł oraz sektor
finansowy (odpowiednio 21, 19 i 16%),
podczas gdy administracja publiczna,
branża FMCG oraz dostawcy energii
i mediów komunalnych przez inwesty-
cje w infrastrukturę IT chcą ograniczyć
całkowite koszty utrzymania centrum
danych.
Priorytety biznesowe
Na przestrzeni lat zmieniła się rola
IT jako działu, który wyznacza kie-
runki rozwoju i pozwala osiągać cele
biznesowe przedsiębiorstwa. Osoby
odpowiedzialne za informatykę coraz
częściej wchodzą w skład zarządów,
a rolą menedżerów IT jest przekładanie
wymagań biznesowych na wdrożenia
technologiczne oraz możliwości tech-
nologii na potencjał biznesowy.
Dostępność danych i aplikacji biz-
nesowych to najważniejszy priorytet
formułowany przez biznes w stosunku
do IT. Taką opinię wyraża ponad jedna
trzecia menedżerów i dyrektorów IT
uczestniczących w badaniu. Po pierw-
sze, systemy IT muszą zagwarantować
ciągłość działania przedsiębiorstw,
a każde przestoje wynikające zarówno
Priorytety biznesowe formułowane przez biznes wobec IT — ujęcie według sektorów gospodarki
Branża
Bezpieczeństwo
przechowywanych
danych
Optymalizacja kosztowa
między nakładami na
bezpieczeństwo a jego
faktycznym poziomem
Jak najwyższa
dostępność
danych i aplikacji
biznesowych
Wydajność
i skalowalność
zasobów
Możliwość zachowania
jak najdalej posuniętej
koncentracji na core
businessie organizacji
Inny
Energia/Gaz/Woda/Ciepło/Oczyszczanie 10% 48% 19% 14% 10% 0%
Finanse/Bankowość/Ubezpieczenia 17% 21% 46% 8% 4% 4%
FMCG/Dystrybucja/Handel 0% 14% 36% 14% 36% 0%
Przemysł/Produkcja/Wydobycie 19% 38% 44% 0% 0% 0%
Transport/Spedycja/Logistyka 0% 27% 27% 18% 0% 27%
Pozostałe firmy 7% 24% 43% 14% 5% 7%
Inne (5)
Nie mamy takich informacji
po stronie firmy – będziemy musieli
ją pozyskać lub uzupełnić (11)
Przeznaczeni do tego zadania
pracownicy są wysyłani na
odpowiednie kursy i/lub
szkolenia (48)
Odpowiednie know-how mamy
po stronie firmy (53)
Całościową ofertę budowy
otrzymaliśmy od dostawcy IT (12)
Skąd czerpią Państwo wiedzę
na temat projektowania centrum
przetwarzania danych?

15. 15luty 2015
wskazuje realne oczekiwania biznesu,
pokazując zarazem dostawcom, na co
ich klienci zwracają uwagę podczas wy-
boru oferty rozwoju zaplecza IT.
Mimo że respondenci zostali popro-
szeni o wskazanie pojedynczej odpo-
wiedzi (w domyśle: najważniejszego
priorytetu), wielu z nich zwracało uwa-
gę, że presja na IT ze strony biznesu
wynika ze wszystkich przedstawionych
w odpowiedziach możliwości – częścio-
wo lub w całości.
Gdyby na kwestie priorytetów spoj-
rzeć przez pryzmat firm działających
w poszczególnych branżach, to okaże
się, że poza kwestiami związanymi
z dostępnością danych i aplikacji biz-
nesowych najwięcej uwagi firmy po-
święcają zapewnieniu bezpieczeństwa
przechowywanych danych (przemysł,
finanse) oraz optymalizacji kosztowej
nakładów na bezpieczeństwo (ener-
getyka i media komunalne, przemysł).
Z kolei branża FMCG i dystrybucji, jako
jedyna z całego zestawienia, duży na-
cisk kładzie na możliwość skupienia
się na prowadzonym biznesie zamiast
na stosowanych rozwiązaniach i syste-
mach informatycznych.
Know-how
57% respondentów, którzy zdecydowali
się odpowiedzieć na nasze pytanie,
twierdzi, że wiedzę na temat projekto-
wania centrum danych ma po stronie
firmy, a kolejne 51,6% ankietowanych
uważa natomiast, że gdy nadejdzie
czas na modernizację infrastruktury
firmy, wyznaczeni do tego zadania pra-
cownicy zostaną wysłani na szkolenia
lub kursy, aby samodzielnie planować
i wdrażać projekty rozwoju IT w przed-
siębiorstwie.
Wśród innych odpowiedzi respon-
denci jako sposób na pozyskiwanie
wiedzy wskazywali internet, konsul-
tacje z dostawcami, wyniki zapytań
ofertowych (RFP) oraz dokumenty
opisujące najlepsze praktyki rynkowe
pochodzące od dostawców sprzętu
i oprogramowania.
W ujęciu według sektorów gospodar-
ki największą wiedzą swoich pracowni-
ków szczyci się branża finansowa (60%
z sumy odpowiedzi udzielonych przez
respondentów wywodzących się z tego
sektora), podczas gdy gotowość prze-
szkolenia pracowników w największym
stopniu deklarują osoby reprezentują-
ce sektory energetyczne i komunalne
(54% odpowiedzi) oraz produkcji prze-
mysłowej (50% odpowiedzi).
Mniej niż 10% firm deklaruje, że
całościową ofertę budowy centrum da-
nych otrzymali od dostawcy IT. Czyżby
przedsiębiorstwa chciały – i co waż-
niejsze – były gotowe tworzyć infra-
strukturę samodzielnie? W odniesieniu
do systemów konwergentnych, które
w jednej szafie łączą moc obliczenio-
wą, pamięć masową i sieć, wcale nie
wydaje się to nierealne. 
Skąd czerpią Państwo wiedzę na temat projektowania centrum przetwarzania danych? — ujęcie według sektorów gospodarki
Branża
Odpowiednie
know-how
mamy po stronie firmy
Wyznaczeni do tego zadania
pracownicy są wysyłani
na odpowiednie kursy i/lub
szkolenia
Całościową ofertę
budowy otrzymaliśmy od
dostawcy IT
Nie mamy takiej wiedzy po
stronie firmy — będziemy
musieli ją pozyskać lub
uzupełnić
Finanse/Bankowość/Ubezpieczenia 60% 24% 12% 0%
FMCG/Dystrybucja/Handel 38% 23% 23% 15%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 33% 54% 8% 0%
Przemysł/Produkcja/Wydobycie 21% 50% 7% 14%
Transport/Spedycja/Logistyka 42% 33% 8% 17%
Pozostałe firmy 41% 37% 5% 12%

16. Priorytetem działów IT dużych polskich organizacji jest zapewnienie
maksymalnego poziomu dostępności danych i aplikacji biznesowych. To wymaga
posiadania bezpiecznego zaplecza infrastrukturalnego i jego stałego rozwijania.
Zaplecze infrastruktury
bezpieczeństwa w firmach:
stan posiadania i plany rozwoju
nakładów finansowych i organizacyjnych do
uzyskiwanego w efekcie poziomu dostępności
oraz bezpieczeństwa aplikacji i danych.
Audyty bezpieczeństwa
Pozytywnie należy ocenić fakt, że aż 86%
dużych firm prowadzi audyty bezpieczeństwa
w różnych odstępach czasu: regularnie, po
wdrożeniu nowych elementów infrastruktury IT
bądź bez sprecyzowanych terminów.
Patrząc na powyższe dane w ujęciu bran-
żowym, wyraźnie widać, że prym w zakresie
badania własnego zaplecza wiedzie sektor
finansów, bankowości i ubezpieczeń – wszyscy
jego przedstawiciele zadeklarowali prowa-
dzenie audytów bezpieczeństwa IT, przy czym
zdecydowana większość (92%) realizuje je
regularnie. Drugą grupą respondentów szcze-
gólnie często podejmujących regularne audyty
bezpieczeństwa swej infrastruktury bezpie-
czeństwa IT są przedsiębiorstwa sektora usług
publicznych – utilities, zwłaszcza te spełniają-
ce kryteria zdefiniowanej ustawowo infrastruk-
tury krytycznej. Wysokie wymogi w kwestiach
bezpieczeństwa biorą się z kluczowej roli, jaką
pełnią te organizacje, zapewniając możliwość
działania całej gospodarki. Trudno sobie np.
wyobrazić przerwy w dostawach wody czy
prądu – straty wywołane wyłączeniami linii
produkcyjnych, chłodni czy pieców hutniczych
byłyby ogromne.
Odnotować należy, że aż 12% organizacji
w ogóle nie prowadzi działań audytorskich
16 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Mając na względzie konieczność realizacji
podstawowych celów, np. wspomnianego we
wstępie maksymalnego poziomu dostępności
do danych, szczelności czy optymalizacji kosz-
towej funkcjonujących w firmie systemów tele-
informatycznych, organizacje prowadzą audyty
bezpieczeństwa IT. To procedury niezbędne,
aby racjonalnie i rzeczowo ocenić adekwatność

17. 17luty 2015
w stosunku do swojego zaplecza IT. Niechlubny
prym w ramach tej grupy wiodą przedstawicie-
le sektora przemysłu i produkcji – aż 8 na 15
wskazań deklarujących brak realizowania au-
dytów bezpieczeństwa pochodziło od respon-
dentów tej branży.
Przedstawiciele przedsiębiorstw, które
wskazały odpowiedź przeczącą na pytanie
o prowadzenie audytów bezpieczeństwa IT,
zostali następnie zapytani o plany dotyczące
ich wprowadzenia. Nieco ponad połowa (53%)
wskazała, że będzie zmierzała do wdrożenia
tego rodzaju działań w swoich organizacjach.
Wart odnotowania jest fakt, że wśród powyż-
szych znalazła się tylko jedna firma z branży
przemysłowej.
Poszukiwanie podatności
Oprócz audytów bezpieczeństwa, mających
przynieść odpowiedzi na pytania o wydajność,
oszczędność i stabilność firmowej infrastruk-
tury, organizacje podchodzące kompleksowo
do kwestii bezpieczeństwa IT podejmują dzia-
łania na rzecz sprawdzania jej odporności na
bezpośrednie ataki. Prowadzone testy penetra-
cyjne mają na celu sprawdzenie, na ile skutecz-
nie firmowe zabezpieczenia bronią dostępu do
firmowych danych.
Jak się okazuje, testy penetracyjne firmo-
wych sieci, serwisów i innych systemów IT są
dość powszechnie stosowane przez polskie
organizacje, choć w zdecydowanie mniej regu-
larnych odstępach czasu niż w przypadku au-
dytów bezpieczeństwa. W różnych odstępach
czasu przeprowadza je w sumie 78% ankieto-
wanych.
19% respondentów zadeklarowało, że nie
przeprowadza żadnych testów penetracyj-
nych firmowego zaplecza IT. W ramach tej
grupy ok. 2/3 (67%) zadeklarowało jednak
Czy Państwa firma prowadzi audyty bezpieczeństwa?
Czy Państwa firma zamierza prowadzić audyty bezpieczeństwa?
Czy Państwa firma prowadzi audyty bezpieczeństwa? – ujęcie sektorów gospodarki
Branża Tak, regularnie
Tylko po wdrożeniu
nowych mechanizmów
bezpieczeństwa
Tak, ale
nieregularnie
Nie Nie wiem
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 22 92% 0 0% 2 8% 0 0% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 13 62% 2 10% 5 24% 0 0% 1 5% 21
Przemysł/Produkcja/Wydobycie 3 19% 2 13% 3 19% 8 50% 0 0% 16
FMCG/Dystrybucja/Handel 5 36% 1 7% 5 36% 2 14% 1 7% 14
Transport/Spedycja/Logistyka 3 27% 0 0% 6 55% 1 9% 1 9% 11
Pozostałe sektory 20 48% 1 2% 16 38% 4 10% 1 2% 42
Razem odpowiedzi 66 52% 6 5% 37 29% 15 12% 4 3% 128

18. plany wprowadzenia tego elementu bezpie-
czeństwa do katalogu stosowanych przez
siebie metod.
Podobnie jak wcześniej zauważalny jest dy-
stans między sektorami finansów, bankowości
i ubezpieczeń oraz utilities a branżą przemy-
słową. W pierwszym z sektorów aż 92% ba-
danych wskazało stosowanie testów penetra-
cyjnych. W drugim z nich było to odpowiednio
9 na 10 ankietowanych, przy większej liczbie
wskazań nieregularnych testów. W przypadku
przedstawicieli przemysłu wskaźnik ten spada
o połowę – do 44%
Polityki bezpieczeństwa w polskich
organizacjach
Stosowane w firmach rozwiązania i polityki
bezpieczeństwa danych są bardzo różnorodne,
a ich rodzaje zależą przeważnie od specyfi-
ki występujących w danej branży zagrożeń.
Polityki bezpieczeństwa informacji i danych
opisują zarówno przeciwdziałanie ich utracie
i wyciekowi poza organizację, jak i niespo-
dziewane przerwy w dostępie do kluczowych
aplikacji.
Jak wskazują wyniki omawianego badania,
największą popularnością w macierzystych
organizacjach respondentów cieszą się rozwią-
zania backupowe (ma je 73% firm), monitoring
systemów IT (69%) oraz wirtualizacja (71%).
Stosunkowo popularne (59%) okazały się
również redundantne (nadmiarowe) systemy
wspierające pracę centrów przetwarzania da-
nych: dodatkowe moduły zasilania, chłodzenia,
połączenia sieciowe itp.
Uczestnicy badania odpowiedzieli także na
pytanie o plany rozwijania firmowej infrastruk-
tury bezpieczeństwa IT. Pytanie to odnosiło się
do zamiarów uzupełniania bądź zastąpienia
pewnych elementów istniejących
18 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów
i systemów IT?
Czy Państwa firma zamierza prowadzić testy penetracyjne sieci, serwisów
i systemów IT?
Czy Państwa firma prowadzi testy penetracyjne firmowych sieci, serwisów i systemów IT? — ujęcie sektorów gospodarki
Branża Tak, regularnie
Tylko po wdrożeniu
nowych mechanizmów
bezpieczeństwa
Tak, ale
nieregularnie
Nie Nie wiem
Razem
odpowiedzi
Finanse/Bankowość/Ubezpieczenia 18 75% 0 0% 4 17% 0 0% 2 8% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 6 29% 2 10% 11 52% 1 5% 1 5% 21
Przemysł/Produkcja/Wydobycie 2 13% 1 6% 4 25% 9 56% 0 0% 16
FMCG/Dystrybucja/Handel 6 43% 2 14% 3 21% 2 14% 1 7% 14
Transport/Spedycja/Logistyka 2 18% 0 0% 7 64% 1 9% 1 9% 11
Pozostałe sektory 14 33% 4 10% 13 31% 11 26% 0 0% 42
Razem odpowiedzi 48 38% 9 7% 42 33% 24 19% 5 4% 128

19. 19luty 2015
Posiadane elementy polityki bezpieczeństwa informacji i danych — ujęcie sektorów gospodarki
Branża
Normy
bezpieczeństwa
danych i biznesu,
takie jak ISO
27001
Plany
ciągłości
działania/
BCP
Rozwiązania
typu Backup
Recovery
Redundantne systemy
zasilania, chłodzenia,
połączeń sieciowych
i inne zabezpieczenia
firmowej infrastruk-
tury IT
Redundantne
centrum
przetwarzania
danych na
własnych
zasobach
Wykupione
zasoby
w centrum
danych out-
sourcera
Monitoring
systemów
IT
Wirtu-
alizacja
systemów
Rozwiązania
bezpieczeństwa
w obszarze sieci
komputerowych
i dostępu do
danych
Inne
Razem
respon-
dentów
Razem
odpowiedzi
Finanse/
Bankowość/
Ubezpieczenia
42% 83% 71% 71% 67% 21% 79% 63% 54% 0% 24 132
Energia/Gaz/
Woda/Ciepło/
Oczyszczanie
33% 38% 86% 48% 29% 5% 71% 71% 33% 0% 21 87
Przemysł/
Produkcja/
Wydobycie
13% 13% 56% 44% 31% 6% 50% 69% 38% 6% 16 52
FMCG/
Dystrybucja/
Handel
14% 43% 71% 43% 21% 21% 50% 79% 43% 7% 14 55
Transport/
Spedycja/
Logistyka
9% 36% 64% 64% 55% 0% 73% 45% 36% 0% 11 42
Pozostałe
sektory
31% 40% 76% 67% 38% 5% 74% 81% 57% 2% 42 198
Razem
odpowiedzi
27% 45% 73% 59% 41% 9% 69% 71% 47% 2% 128 566
Planowane do wdrażania elementy infrastruktury bezpieczeństwa IT
Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%
Plany ciągłości działania/BCP 42 33%
Nowe rozwiązania typu Backup Recovery bądź ich wymiana 43 34%
Redundantne systemy zasilania, chłodzenia, połączeń siecio-
wych i inne zabezpieczenia firmowej infrastruktury IT
15 12%
Redundantne centrum przetwarzania danych na własnych
zasobach
11 9%
Wykupione zasoby w centrum danych outsourcera 13 10%
Monitoring systemów IT 22 17%
Wirtualizacja systemów 25 20%
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych
i dostępu do danych
28 22%
Inne 14 11%
Posiadane elementy polityki bezpieczeństwa informacji i danych
Normy bezpieczeństwa danych i biznesu, takie jak ISO 27001 35 27%
Plany ciągłości działania/BCP 57 45%
Rozwiązania typu Backup Recovery 93 73%
Redundantne systemy zasilania, chłodzenia, połączeń siecio-
wych i inne zabezpieczenia firmowej infrastruktury IT
75 59%
Redundantne centrum przetwarzania danych na własnych
zasobach
52 41%
Wykupione zasoby w centrum danych outsourcera 12 9%
Monitoring systemów IT 88 69%
Wirtualizacja systemów 91 71%
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych
i dostępu do danych
60 47%
Inne 3 2%

20. Wśród deklaracji dotyczących rozwijania
firmowej infrastruktury bezpieczeństwa IT naj-
większa liczba wskazań przypadła odpowiedzi
„Nowe rozwiązania typu Backup Recovery
bądź ich wymiana”. To sugeruje, że przedsię-
biorstwa będą rozwijać zaplecze konieczne dla
archiwizacji i przeprowadzania kopii bezpie-
czeństwa przyrastających w istotnym tempie
wolumenów danych.
Należy to wiązać także z coraz częściej za-
znaczającą się koniecznością wymiany najstar-
szych podstawowych elementów infrastruktury
bezpieczeństwa. Systemy backupowe są naj-
powszechniej występującymi elementami tej
infrastruktury, a ich średni wiek jest stosunko-
wo wysoki. Ubiegłoroczne badanie firmy BCC
wskazywało, że ok. połowa będących w posia-
daniu polskich firm macierzy dyskowych miała
ponad trzy lata.
Uwagę zwraca stosunkowo wysoki udział
odpowiedzi wskazujących na zamiar wdrażania
planów ciągłości działania (Business Continuity
Planning) oraz norm bezpieczeństwa, takich
jak ISO 27001. Obecnie szerszym udziałem
tych elementów w ramach swoich polityk bez-
pieczeństwa mogą pochwalić się w zasadzie
jedynie przedstawiciele sektora finansów,
20 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
już zasobów, stąd łączna liczba udzielonych
na nie odpowiedzi była o ok. połowę mniejsza
(248) niż w przypadku wcześniejszego pytania,
dotyczącego już posiadanych przez organiza-
cję, niejednokrotnie rozwijanych przez lata,
rozwiązań (566). Łatwo zaobserwować, że in-
westycje w rozwiązania infrastruktury IT mają
charakter ciągły i odbywają się stopniowo.
Posiadane elementy polityki bezpieczeństwa informacji i danych
w ujęciu branżowym – średnia liczba wskazań
Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji — ujęcie sektorów gospodarki liczba wskazań
Branża
Normy
bezpieczeń-
stwa danych
i biznesu,
takie jak ISO
27001
Plany ciągło-
ści działania/
BCP
Nowe
rozwiązania
typu Backup
Recovery
bądź ich
wymiana
Redundantne systemy
zasilania, chłodzenia,
połączeń sieciowych
i inne zabezpieczenia
firmowej infrastruk-
tury IT
Redundantne
centrum
przetwarza-
nia danych
na własnych
zasobach
Wykupione
zasoby
w centrum
danych
outsourcera
Moni-
toring
systemów
IT
Wirtualizacja
systemów
Rozwiązania
bezpie-
czeństwa
w obszarze sie-
ci komputero-
wych i dostępu
do danych
Inne
Razem
responden-
tów
Razem
odpowie-
dzi
Finanse/
Bankowość/
Ubezpieczenia
42% 29% 21% 4% 0% 4% 8% 13% 21% 21% 24 39
Energia/Gaz/
Woda/Ciepło/
Oczyszczanie
29% 38% 24% 0% 10% 5% 14% 14% 19% 5% 21 33
Przemysł/
Produkcja/
Wydobycie
19% 19% 56% 25% 0% 0% 25% 38% 13% 6% 16 32
FMCG/
Dystrybucja/
Handel
14% 29% 29% 21% 14% 7% 21% 14% 29% 21% 14 28
Transport/
Spedycja/
Logistyka
45% 55% 36% 9% 0% 9% 27% 36% 27% 0% 11 27
Pozostałe sektory 21% 33% 38% 14% 17% 21% 17% 17% 24% 10% 42 89
Razem
odpowiedzi
27% 33% 34% 12% 9% 10% 17% 20% 22% 11% 128 248

21. 21luty 2015
archiwizacji i kopii bezpieczeństwa było aż
o 45% więcej niż odpowiedzi wskazujących
posiadanie wdrożonych norm bezpieczeństwa
oraz 28% więcej niż systemów BCP.
bankowości i ubezpieczeń. Widać, że także
organizacje wywodzące się z pozostałych
branż planują sukcesywnie poszerzać wachlarz
firmowych polityk bezpieczeństwa o nowe ele-
menty, będące uzupełnieniem i wypełnieniem
już posiadanych rozwiązań.
Perspektywa branżowa
Analiza posiadanych przez polskie organizacje
elementów infrastruktury bezpieczeństwa IT
w ujęciu sektorów gospodarki pozwala do-
strzec liderów wśród poszczególnych branż.
Szczególnie szeroki wachlarz rozwiązań bez-
pieczeństwa IT występuje wśród przedstawicie-
li branży finansowej, ubezpieczeniowej i ban-
kowej. Większość (aż 7 na 10) wymienionych
rozwiązań uzyskało powyżej 60% wskazań ze
strony tej grupy respondentów.
Uczestnicy badania wskazywali średnio
4,4 odpowiedzi na 10 możliwych. Uśredniony
wskaźnik dla sektora finansów i bankowości
wyniósł 5,5, zaś dla przemysłu – 3,3.
Jak wspomniano, uczestnicy badania odpo-
wiadali także na pytanie o plany rozwijania fir-
mowej infrastruktury bezpieczeństwa IT. Ujęcie
branżowe na tak postawione pytanie wskazuje
kilka ciekawych obserwacji.
Po pierwsze, sporą popularnością cieszyć
się będą wdrożenia planów ciągłości działa-
nia oraz norm bezpieczeństwa. Zestawienie
sektorowych tabel dotyczących posiada-
nych i planowanych do wdrażania systemów
wskazuje generalny trend, że na tego rodzaju
rozwiązania będą zwracać uwagę polskie
przedsiębiorstwa – z zaznaczeniem jednak,
że po uśrednieniu przewaga wskazań na rzecz
systemów Backup Recovery nad dwiema
ww. pozycjami wynosi 7% (porównując do
norm bezpieczeństwa) oraz 1% (systemy cią-
głości działania). W przypadku rozwiązań już
wdrożonych i działających różnica była znacz-
nie większa: deklaracji posiadania rozwiązań
Czy wykonują Państwo testy odtworzeniowe firmowych systemów IT?
Zamiary wdrażania kolejnych elementów polityki bezpieczeństwa informacji
i danych w ujęciu branżowym – średnia liczba wskazań
Rodzaje rozwiązań Backup Recovery stosowane w firmach
Taśmy magnetyczne
Specjalizowane
rozwiązania dyskowe
Kopie w zapasowym
centrum przetwarza-
nia danych
Outsourcing
(np. usługi
chmurowe)
Nie wiem
Razem re-
spondentów
Razem
odpowiedzi
58 59 44 4 5
93 170
62% 63% 47% 4% 5%
W planowanych do realizacji elementach
infrastruktury bezpieczeństwa w badaniu po-
zytywnie odznacza się sektor przemysłowy.
Widząc zapóźnienie względem innych branż,

22. przedstawiciele tego sektora wskazali średnio
o 0,1 więcej odpowiedzi, niż wyniosła średnia
deklaracji dla wszystkich ankietowanych.
Przedstawiciele branży przemysłowej zamie-
rzają podejmować inwestycje w rozwiązania
Backup Recovery – tę odpowiedź wskazała
ponad połowa z nich: 57%.
Jeszcze większą uwagę zwracają szeroko
zakrojone plany inwestycyjne firm wywodzących
się z sektora transportu, spedycji i logistyki.
Średnia wskazań wyniosła w ich przypadku 2,5,
tj. o 0,6 punktu więcej niż średnia wynosząca 1,9.
Archiwizacja i kopie bezpieczeństwa
Systemy Backup Recovery to najpowszech-
niej występujące rozwiązania bezpieczeństwa
IT wśród polskich organizacji. Są to zarazem
najczęściej wskazywane systemy wśród pla-
nowanych do rozwijania elementów firmowej
infrastruktury bezpieczeństwa.
Jakie rodzaje rozwiązań do archiwizacji
i kopii bezpieczeństwa są najczęściej sto-
sowane w polskich organizacjach? Na tak
postawione pytanie odpowiadały firmy, które
wcześniej wskazały posiadanie podobnych
rozwiązań pośród wdrożonych u siebie ele-
mentów polityk bezpieczeństwa informacji
i danych.
22 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
Rozwiązania bezpieczeństwa w obszarze sieci komputerowych i dostępu
do danych stosowane w firmach
Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez
SSL, zdalny dostęp przez VPN) 39 65%
Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 23 38%
Jednorazowe klucze dostępowe (np. RSA) 14 23%
Jednokrotne logowanie (SSO) 25 42%
Systemy antyspamowe 33 55%
Inne 2 3%
Nie wiem 1 2%
Odmowa odpowiedzi 17 28%
Razem respondentów 60 100%
Razem odpowiedzi 154
Testy odtworzeniowe w ujęciu sektorowym
Branża Tak, regularnie
Tylko po wdrożeniu
nowego systemu typu
Backup Recovery
Tak, ale nieregularnie Nie Nie wiem
Razem re-
spondentów
Finanse/Bankowość/Ubezpieczenia 21 88% 1 4% 2 8% 0 0% 0 0% 24
Energia/Gaz/Woda/Ciepło/Oczyszczanie 6 29% 0 0% 12 57% 1 5% 2 10% 21
Przemysł/Produkcja/Wydobycie 5 31% 0 0% 10 63% 1 6% 0 0% 16
FMCG/Dystrybucja/Handel 8 57% 0 0% 5 36% 1 7% 0 0% 14
Transport/Spedycja/Logistyka 3 27% 0 0% 5 45% 2 18% 1 9% 11
Pozostałe sektory 16 38% 2 5% 22 52% 2 5% 0 0% 42
Razem odpowiedzi 59 46% 3 2% 56 44% 7 5% 3 2% 128
Rodzaje rozwiązań Backup Recovery, które zamierzają wdrażać firmy
Taśmy
magnetyczne
Specjalizowane rozwiązania
dyskowe
Kopie w zapasowym centrum
przetwarzania danych
Outsourcing (np.
usługi chmurowe)
Nie wiem
Razem
respondentów
Razem
odpowiedzi
5 19 14 4 5
43 47
12% 44% 33% 9% 12%

23. 23luty 2015
Wśród badanych ważną rolę odgrywają
wciąż starsze, dziedziczone technologie
– w przypadku rozwiązań Backup Recovery
są to stosowane od szeregu lat taśmy magne-
tyczne. Rozwiązanie to będzie jednak ustępo-
wać specjalizowanym rozwiązaniom dyskowym
– coraz wydajniejszym macierzom, a także
kopiom w zapasowych centrach danych, bądź
wręcz usługom chmurowym zupełnie zdejmu-
jącym z organizacji konieczność zajmowania
się kwestiami archiwizowania i zabezpieczania
kopii firmowych danych.
Testy odtworzeniowe
Niezależnie od stosowanej do prowadzenia
backupów technologii, pozytywnie należy
ocenić fakt, że aż 92% badanych przedsię-
biorstw wykonuje regularnie lub nieregularne
testy odtworzeniowe. Podobnie jak wcześniej
występują tutaj różnice w zależności od branży,
w której działają respondenci.
Prowadzenie testów odtworzeniowych zade-
klarowali wszyscy (100% wskazań) przedstawi-
ciele sektora finansów, bankowości i ubezpie-
czeń, przy czym aż 88% z nich wykonuje takie
testy regularnie.
Testy odtworzeniowe prowadzi 94% organi-
zacji wywodzących się z branży przemysłowej
i wydobywczej, jednak tutaj aż 63% wskazań
pada na testy prowadzone w nieregularnych
odstępach czasu.
Co ciekawe, największą liczbę deklaracji
wskazujących na zupełne pomijanie testów
odtworzeniowych w firmowej architekturze
bezpieczeństwa zanotowano w sektorze trans-
portu, spedycji i logistyki – wyniosła ona 18%.
Bezpieczny ruch sieciowy
Na pytanie dotyczące rodzajów posiadanych
rozwiązań z dziedziny bezpieczeństwa sieci od-
powiadali respondenci, którzy najpierw wskaza-
li je pośród posiadanych przez siebie elementów
polityk bezpieczeństwa informacji i danych.
Najczęściej wskazywana odpowiedź doty-
czyła dostępu na poziomie aplikacji. Te stan-
dardowe, najpowszechniejsze zabezpieczenia
ma 65% respondentów. Stosunkowo dużą
popularnością cieszą się ułatwiające dostęp
do danych rozwiązania Single-Sign-On (42%),
zaś mechanizmy optymalizacji wykorzystania
zasobów sieciowych (np. OSPF, BGP) wskazało
38% ankietowanych.
Warto zaznaczyć, że zasadniczo po-
nad połowa respondentów ma najwyżej
jeden (35% przypadków) bądź dwa (18%)
z omawianych tutaj systemów. Jedynie 32%
wskazań deklarowało posiadanie czterech lub
więcej z nich.
Przekładając to na uśrednioną liczbę odpo-
wiedzi w ujęciu branżowym, widać wyraźnie
sektory, których przedstawiciele są szczególnie
dobrze zabezpieczeni w obszarze sieci i dostępu
Planowane do wdrożenia rozwiązania bezpieczeństwa w obszarze sieci komputerowych
i dostępu do danych
Kontrola dostępu na poziomie aplikacji (rozwiązania UAC, dostępy przez
SSL, zdalny dostęp przez VPN)
10 36%
Dynamiczny routing w sieci wewnętrznej i zewnętrznej (np. OSPF, BGP) 3 11%
Jednorazowe klucze dostępowe (np. RSA) 4 14%
Jednokrotne logowanie (SSO) 4 14%
Systemy antyspamowe 3 11%
Inne 5 18%
Nie wiem 3 11%
Odmowa odpowiedzi 6 21%
Razem respondentów 28 100%
Razem odpowiedzi 38
Rozwiązania w obszarze sieci komputerowych i dostępu do danych
w ujęciu sektorowym
24
4
6
6
7
13
57
9
20
14
12
42
2,4
2,3
3,3
2,3
1,7
3,2
Finanse/BankowoϾ/
Ubezpieczenia
Energia/Gaz/Woda/
Ciep³o/Oczyszczanie
Przemys³/Produkcja/
Wydobycie
FMCG/Dystrybucja/
Handel
Transport/Spedycja/
Logistyka
Pozosta³e sektory
Œrednia liczba
wskazañ
ROZWI¥ZANIA W OBSZARZE SIECI KOMPUTEROWYCH I DOSTÊPU
DO DANYCH W UJÊCIU SEKTOROWYM
Liczba respondentów Liczba odpowiedzi
do danych. Liderami są sektory finansów i ban-
kowości oraz FMCG i handlu, uzyskując średnią
liczbę odpowiedzi na poziomie odpowiednio 3,2
i 3,3, przy średniej na poziomie 2,6. Najsłabiej
uplasowała się branża utilities, co z pewnością
wymagać będzie szybkiej interwencji. 

24. Wyniki badania Computerworld i BCC Data Centers pokazują, że przestoje
w dostępie do firmowych aplikacji oraz danych, a także kradzieże tych ostatnich,
to najistotniejsze z punktu widzenia dużych firm i korporacji zagrożenia
bezpieczeństwa.
Zagrożenia i wyzwania
Katalog zagrożeń jest bardzo szeroki; obejmuje
naruszenia bezpieczeństwa pochodzące z we-
wnątrz firmy (np. niewłaściwe posługiwanie się
kopiami zapasowymi, czynniki ludzkie) oraz
z jej otoczenia, rozumiane głównie jako ataki
sieciowe na systemy informatyczne przedsię-
biorstw.
Hierarchia istotności zagrożeń
Trzy na cztery ankietowane osoby jako szczegól-
nie istotne zagrożenie bezpieczeństwa dla ich
przedsiębiorstw wymieniły przestoje w dostępie
do firmowych danych lub aplikacji. Z przeprowa-
dzonego badania wynika, że dla firm nierzadko
ważniejsze okazuje się zachowanie ciągłości
działania niż dbałość o przechowywane i prze-
twarzane dane. Mniej niż połowa respondentów
wskazała bowiem kradzież wrażliwych danych
(np. klientów) jako najważniejsze zagrożenie dla
funkcjonowania ich firmy.
To właśnie zapewnienie ciągłości działania
stanowi obecnie największe wyzwanie dla
osób zarządzających pionami IT w przedsię-
biorstwach. Brak dostępu do danych i aplikacji,
spowodowany awarią, atakiem sieciowym lub
celowym działaniem pracowników, prowa-
dzi do przestojów firmy, co przekłada się na
realne starty spowodowane utratą klientów
lub niezrealizowanymi zamówieniami. Można
więc wysnuć wniosek, że ankietowane osoby
uznały, że łatwiej jest zapewnić właściwy po-
ziom ochrony danych przed ujawnieniem, niż
zapewnić nieprzerwany dostęp do wszystkich
systemów, usług i aplikacji uruchamianych
w przedsiębiorstwach.
Dopiero na kolejnych miejscach ankietowa-
ni jako poważne zagrożenie bezpieczeństwa
24 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT

25. 25luty 2015
wymieniali nieuwagę lub brak świadomości
zagrożeń ze strony pracowników (18%), utratę
danych wskutek wypadku losowego (18%) oraz
kradzież know-how (10%). Każde z tych zagro-
żeń dość łatwo można zidentyfikować i wyeli-
minować przez prowadzenie szkoleń pracow-
ników, wdrażanie systemów kopii zapasowych
(o tym szerzej za chwilę) oraz stosowanie do-
datkowych zabezpieczeń technicznych i pro-
ceduralnych, takich jak: szyfrowanie dysków,
zabezpieczanie dokumentów przekazywanych
w korespondencji mailowej, blokowanie nośni-
ków przenośnych, czy też wdrażanie procedur
postępowania ze zwalnianymi pracownikami.
Najwięcej uwagi na zagrożenia związane
z przestojami w dostępie do danych i apli-
kacji zwracają przedstawiciele firm z branży
transportowo-logistycznej (59%), sektora
przemysłowego i produkcji (50%) oraz handlu
i dóbr szybko zbywalnych (50%). Dla tych firm
ciągłość działania systemów IT oznacza przede
wszystkim możliwość realizowania zleceń i za-
mówień klientów w ustalonym terminie.
Z kolei kradzież wrażliwych danych jako naj-
ważniejsze zagrożenie dla ich firm najczęściej
wymieniali menedżerowie IT z branży finan-
sowej i ubezpieczeniowej (44%) oraz ochrony
zdrowia (42%). To zrozumiałe w kontekście
danych, które zbierają, przechowują i przetwa-
rzają tego typu organizacje.
Kopie zapasowe
Aż 58% przedsiębiorstw napotyka trudności
związane z wykonywaniem kopii zapasowych,
choć jednocześnie trudno nie zauważyć, że
42% firm doskonale radzi sobie z zabezpie-
czaniem firmowych danych. Występuje więc
wyraźny podział na przedsiębiorstwa, w któ-
rych stosowane rozwiązania backupu wyma-
gają modernizacji, oraz te, które wdrożyły
u siebie nowoczesne systemy tworzenia kopii
zapasowych i archiwizacji danych.
Z badania wynika, że trudności związane
z zabezpieczaniem danych dotyczą najczęściej
kilku obszarów. 68% respondentów, którzy nie
są w pełni zadowoleni ze stosowanych w ich
organizacji rozwiązań backupu, zwraca uwagę
na długi czas tworzenia kopii zapasowych,
podczas gdy 58% z nich dostrzega problemy
także z odtwarzaniem danych z kopii.
Obie te trudności można pokonać, stosując
nowoczesne systemy backupu w warstwie
sprzętowej i programowej. Każde z takich
rozwiązań znacznie ogranicza czas tworzenia
kopii zapasowych, np. przez kopiowanie tyl-
ko tych części danych, które uległy zmianie,
oraz sprawia, że proces ich odtwarzania jest
bardziej efektywny. Obecnie wykorzystywane
rozwiązania backupu umożliwiają przywraca-
nie danych na dowolnym poziomie granulacji
(maszyna wirtualna, wolumen dyskowy, fol-
der, plik) oraz odtwarzanie plików do kilku
wcześniejszych wersji, także samodzielnie
przez pracowników.
Co czwarta ankietowana osoba za najwięk-
szą trudność z zabezpieczaniem danych uzna-
ła ograniczone zasoby dyskowe (storage).
Problemy te wydają się uzasadnione
Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw
Michał Strzyżewski,
menedżer Obszaru IT, BCC Data Centers
Zagrożenia z obszaru bezpieczeń-
stwa informacji wskazane przez
ankietowanych jako najważniejsze
są zgodne z naszymi doświadcze-
niami. Do tego zagadnienia warto
podejść kompleksowo: zaczynając
od audytów, w których wyniku zo-
staną wdrożone odpowiednie roz-
wiązania chroniące przed atakami
i porządkujące obszary dostępu
do danych, poprzez wykorzystanie
procedur i najlepszych spraw-
dzonych praktyk (np. zebranych
w bibliotece ITIL), aż do zapew-
nienie redundancji na różnych
poziomach, włącznie z zapasowym
CPD. Dlatego zapewniamy naszym
klientom zarówno bezpieczną in-
frastrukturę CPD, jak i usługi zwią-
zane z wdrożeniem, utrzymaniem
bądź audytem istniejących rozwią-
zań bezpieczeństwa – dzielimy się
naszymi eksperckimi kompetencja-
mi i doświadczeniem.

26. presji, stosowanie mechanizmów deduplikacji
oraz wynajem przestrzeni dyskowej w chmu-
rze obliczeniowej.
Chmura umożliwia składowanie kopii
w bezpiecznym centrum danych poza siedzibą
przedsiębiorstwa, zapewniając praktycznie
nieograniczoną przestrzeń dyskową na wła-
sne archiwa, brak konieczności inwestycji
w pamięć masową oraz unikalny model rozli-
czeń oparty na płaceniu wyłącznie za faktycz-
nie wykorzystane zasoby.
Zarządzanie kopiami
Wyniki badania przeprowadzonego przez
Computerworld we współpracy z BCC Data
Centers pokazują wysoką świadomość osób
odpowiedzialnych za systemy IT dużych
przedsiębiorstw i korporacji w obszarze
zarządzania kopiami zapasowymi. Aż 87%
ankietowanych deklaruje, że kopie zapasowe
wykonywane w firmie przechowywane są
w innym miejscu niż powstały, choć 13% osób
z tej grupy jasno wskazuje, że dotyczy to wy-
łącznie danych o znaczeniu krytycznym.
Z drugiej strony, w co dziesiątej firmie ko-
pie zapasowe przechowywane są w tym sa-
mym miejscu, w którym powstają. Podejście
to jest sprzeczne z ogólnymi zasadami zarzą-
dzania backupem i archiwizacją danych, a za
głównego winowajcę uznaje się standardowo
„brak możliwości technicznych”.
Z uwagi na fakt, że przewożenie taśm do in-
nej lokalizacji jest kłopotliwe, menedżerowie
IT muszą poszukać takich rozwiązań technolo-
gicznych, które zautomatyzują
26 luty 2015
BEZPIECZEŃSTWO INFRASTRUKTURY IT
w kontekście dynamicznego wzrostu ilości da-
nych przetwarzanych w przedsiębiorstwach,
ale także konieczności ich przechowywania
przez długi czas (np. logi). Sposobem na wy-
eliminowanie tych trudności może być wdra-
żanie nowych, bardziej pojemnych macierzy
dyskowych i nowoczesnych technologii kom-
Czy firma napotyka trudności w związku z zabezpieczaniem danych?
Trudności przedsiębiorstw związane z zabezpieczaniem danych
Zagrożenia bezpieczeństwa istotne z punktu widzenia przedsiębiorstw — ujęcie według sektorów gospodarki
Branża
Kradzież wrażliwych
danych (np. klientów)
Kradzież know-how
Przestoje w dostępie
do firmowych danych
bądź aplikacji
Nieuwaga i/lub
brak świadomości
zagrożeń ze strony
pracowników
Utrata danych
wskutek wypadku
losowego
Administracja publiczna/Służby mundurowe 18% 0% 45% 18% 18%
Energia/Gaz/Woda/Ciepło/Oczyszczanie 28% 6% 47% 6% 13%
Farmacja/Służba zdrowia/Opieka społeczna 42% 0% 33% 17% 8%
Finanse/Bankowość/Ubezpieczenia 44% 7% 42% 2% 5%
FMCG/Dystrybucja/Handel 20% 5% 50% 10% 15%
Media/Reklama/Wydawnictwa/Drukarnie 33% 8% 33% 25% 0%
Przemysł/Produkcja/Wydobycie 14% 7% 50% 14% 14%
Transport/Spedycja/Logistyka 12% 0% 59% 12% 18%
Pozostałe firmy 24% 11% 41% 14% 11%

27. 27luty 2015
procesy zarządzania kopiami w organizacji.
Do tych rozwiązań należą m.in. replikacja da-
nych do zapasowego centrum lub składowa-
nie kopii i archiwów w chmurze obliczeniowej.
W każdym przypadku zarządzanie kopiami
zapasowymi powinno być elementem szer-
szej strategii zapewnienia ciągłości działania
przedsiębiorstwa, która obejmuje również
systemy wysokiej dostępności oraz zapasowe
centra danych gotowe do przejęcia funkcji
podstawowego centrum podczas awarii.
Ataki sieciowe
Kwestie związane z atakami sieciowymi
na przedsiębiorstwa i instytucje publiczne
niezmiennie pozostają tematem tabu. 40%
ankietowanych osób odmówiło odpowiedzi na
pytanie, czy w ciągu ostatniego roku ich firma
miała do czynienia z naruszeniem bezpie-
czeństwa ze strony hakerów. Kolejnych 31%
respondentów swoją wypowiedź zakończyło
lakonicznym: „nie wiem”. Z pewnością w tej
grupie menedżerów IT znajdują się osoby,
które rzeczywiście nie mają wystarczającej
wiedzy na temat występujących w firmie in-
cydentów bezpieczeństwa, np. z racji na inny
obszar czy charakter pracy, choć dla części
z nich stwierdzenie: „nie wiem”, mogło być
również sposobem na uniknięcie odpowiedzi
na tak postawione pytanie.
Wśród osób, które zdecydowały się
odpowiedzieć na pytania dotyczące naruszeń
bezpieczeństwa w swych organizacjach,
najczęstsze wskazania padały na ataki so-
cjotechniczne (35% respondentów) oraz ataki
mające zaburzyć pracę firmy (32%).
Wiadomo, że najsłabszym ogniwem
każdego systemu zabezpieczeń pozostaje
człowiek, a zależność ta jest powszechnie
wykorzystywana przez atakujących – czasem
bezpośrednio, ale także jako pomost do bar-
dziej wyrafinowanych ataków na techniczne
zabezpieczenia aplikacji i danych.
Drugą kategorię zagrożeń stanowią ataki
mające na celu zaburzyć pracę firmy. Ataki
typu DDoS są relatywnie łatwe do przeprowa-
dzenia w porównaniu z łamaniem zabezpieczeń
systemów IT stosowanych w dużych przedsię-
biorstwach i korporacjach. Ataki skierowane
na unieruchomienie usługi lub ograniczenie
dostępu do zasobów IT wykorzystywane są do
szantażowania firm w celu wyłudzenia okupu.
Mogą być także stosowane do zdyskredytowa-
nia firmy w oczach jej kontrahentów i klientów.
Wyniki ankiety wskazują na częste naru-
szenia bezpieczeństwa za strony hakerów
próbujących dokonać kradzieży danych
(30%) oraz kradzieży tożsamości (24%).
W ostatnim roku najmniej ataków związa-
nych było ze szpiegostwem przemysłowym
(5%) oraz z naruszeniami bezpieczeństwa
spowodowanymi chęcią sprawdzenia się
atakujących (19%). Stanowi to potwierdze-
nie tezy, że obecne ataki skierowane są
przede wszystkim na uzyskanie korzyści
finansowych, choć równie dobrze mogą być
inspirowane działaniami agencji rządowych
(wykradzenie danych Sony Pictures, ataki
na instalacje przemysłowe Iranu), czy też
oddolnymi inicjatywami prowadzonymi przez
grupy pokroju Anonymous, sprzeciwiające
się ograniczaniu wolności obywatelskich
i korupcji. 
Czy w ciągu ostatnich 12 miesięcy
Państwa firma miała do czynienia
z naruszeniami bezpieczeństwa
ze strony hakerów?
Czy tworzone przez Państwa kopie
zapasowe odseparowane są od
miejsca, w którym powstały (np.
replikacja, przewożenie taśm)?
Typy naruszeń bezpieczeństwa w firmach
Próby kradzieży
danych
Próby kradzieży
tożsamości
Szpiegostwo
przemysłowe
Ataki socjotech-
niczne
Ataki mające
zaburzyć pracę
firmy
Złamanie firmowych
zabezpieczeń dla
sprawdzenia się
Liczba wskazań 11 9 2 13 12 7
Procent respondentów, który
wskazał taką odpowiedź
30% 24% 5% 35% 32% 19%