ISO 22301 w samorządzie – nagła nieobecność administratora systemów informatycznych (ASI) i ryzyko dla ciągłości działania urzędu

Urząd uzależniony od jednego informatyka – co naprawdę przestaje działać

Nagła nieobecność informatyka bardzo szybko pokazuje, jak mocno codzienne funkcjonowanie urzędu zależy od infrastruktury IT. W praktyce administrator systemów informatycznych (ASI) nie odpowiada wyłącznie za serwery czy sieć – bardzo często zarządza również dostępem do wszystkich kluczowych systemów wykorzystywanych w działalności urzędu lub jednostki organizacyjnej.

Ryzyko związane z nieobecnością ASI to utrata dostępu nie tylko do infrastruktury technicznej, ale także do podstawowych narzędzi pracy urzędników.

Czasowa niedostępność informatyka w urzędzie a dostęp do systemów i programów dziedzinowych

Administrator systemów informatycznych zarządza kontami administratorów w systemach wykorzystywanych przez poszczególne referaty i działy. Dotyczy to szczególnie programów dziedzinowych, które obsługują kluczowe procesy administracyjne.

W przypadku braku dostępu do kont administracyjnych mogą pojawić się problemy z:

• systemami księgowymi,
• systemami kadrowo-płacowymi,
• programami dziedzinowymi wykorzystywanymi w urzędzie,
• systemami elektronicznego zarządzania dokumentacją (EZD),
• systemami głosowania radnych,
• systemami publikacji zarządzeń i uchwał.

Jeżeli urząd nie posiada dokumentacji ani procedury odzyskania dostępu do tych systemów, przywrócenie pełnej funkcjonalności może zająć wiele dni, a nawet tygodni. W skrajnych przypadkach konieczne może być ponowne budowanie części środowiska informatycznego od podstaw.

Nieobecność ASI a brak dostępu do pakietu Office, poczty i usług chmurowych

Coraz więcej urzędów korzysta z usług takich jak Microsoft 365 czy Google Workspace. Administrator systemów informatycznych odpowiada wówczas za konfigurację kont użytkowników, zabezpieczeń oraz dostępów administracyjnych, a także za zarządzanie licencjami na pakiet Microsoft Office. W przypadku problemów z licencjami programy biurowe mogą w skrajnych sytuacjach przestać się uruchamiać lub działać w trybie ograniczonej funkcjonalności.

W przypadku nieobecności lokalnego informatyka może pojawić się brak możliwości zarządzania:

• kontami użytkowników,
• licencjami Microsoft,
• pocztą elektroniczną,
• dyskami współdzielonymi,
• politykami bezpieczeństwa,
• konsolami programów antywirusowych,
• bieżącymi zmianami haseł logowania do systemu Windows oraz tworzeniem nowych kont użytkowników.

Nawet chwilowy brak administratora w tych systemach może oznaczać brak możliwości przywrócenia dostępu pracownikom lub odzyskania danych.

Brak dostępu do routerów, switchy, Wi-Fi, firewalli i monitoringu

Administrator systemów informatycznych bardzo często posiada wyłączny dostęp do urządzeń sieciowych. Dotyczy to szczególnie infrastruktury lokalnej odpowiadającej za funkcjonowanie całej sieci w urzędzie i jednostkach podległych.

Bez dostępu administracyjnego mogą pojawić się problemy z zarządzaniem:

• routerami,
• switchami,
• punktami dostępowymi Wi-Fi,
• rejestratorami systemów monitoringu,
• urządzeniami UTM i firewallami.

W przypadku awarii urządzenia brak danych dostępowych może uniemożliwić szybką reakcję i przywrócenie działania sieci.

Brak informatyka a centrala telefoniczna, VoIP i komunikacja w urzędzie

Coraz częściej urzędy korzystają z central telefonicznych IP oraz systemów VoIP. Również w tym przypadku administracja systemem często pozostaje w gestii jednego informatyka.

Brak ASI może powodować problemy z:

• konfiguracją numerów wewnętrznych,
• przekierowaniami połączeń,
• obsługą infolinii,
• bilingami niezbędnymi do rozliczeń,
• dostępem do nagrań rozmów.

Drukarki, kopiarki, skanery i urządzenia biurowe też wymagają dostępu administracyjnego

Urządzenia biurowe są dziś pełnoprawną częścią infrastruktury IT. Dotyczy to między innymi drukarek, kopiarek, skanerów czy telefonów systemowych w kancelarii.

Administrator systemów informatycznych często zarządza:

• kontami administratorów urządzeń,
• konfiguracją sieciową drukarek i kopiarek,
• dostępem do dysków w urządzeniach wielofunkcyjnych,
• integracją z systemami obiegu dokumentów.

W przypadku utraty dostępu administracyjnego nawet prosta zmiana konfiguracji urządzenia może okazać się trudnym problemem.

Szyfrowanie laptopów i urządzeń przenośnych a ryzyko utraty dostępu do danych

Przepisy dotyczące bezpieczeństwa informacji, w tym wymagania wynikające z ustawy o KSC, wskazują, że urządzenia przenośne powinny być zabezpieczone poprzez szyfrowanie dysków. Jest to standardowa praktyka zwiększająca bezpieczeństwo danych.

Jednocześnie oznacza to, że odzyskanie danych z takiego urządzenia wymaga posiadania odpowiednich kluczy odzyskiwania lub haseł administracyjnych.

Jeżeli jedyna osoba posiadająca te informacje nie jest dostępna, dostęp do danych zapisanych na urządzeniu może zostać utracony.

Systemy on-premise w urzędzie – serwery lokalne, bazy danych i obieg dokumentów

Nadal funkcjonują systemy instalowane lokalnie na serwerach znajdujących się w siedzibie jednostki. Są to między innymi:

• serwery plików,
• systemy archiwizacji danych,
• systemy obiegu dokumentów,
• lokalne bazy danych,
• serwery wirtualizacji,
• serwery DNS, SAMBA czy kontroler domeny,
• serwery aplikacyjne.

Brak wiedzy o konfiguracji takich systemów znacząco wydłuża czas potrzebny na ich przywrócenie w przypadku awarii lub incydentu.

Cyfrowa Gmina i Cyberbezpieczny Samorząd – nowy sprzęt nie rozwiązuje problemu organizacyjnego

W ostatnich latach urzędy znacząco rozbudowały swoją infrastrukturę IT dzięki projektom takim jak Cyfrowa Gmina czy Cyberbezpieczny Samorząd. Zakupiono nowoczesne serwery, urządzenia sieciowe, systemy backupu oraz rozwiązania zwiększające bezpieczeństwo.

Sam zakup sprzętu nie rozwiązuje jednak problemu organizacyjnego. W części jednostek nadal cała wiedza o tej infrastrukturze znajduje się w rękach jednej osoby.

Często wsparcie IT realizowane jest przez jednego administratora lub niewielką firmę jednoosobową (JDG). W praktyce oznacza to, że urząd uzależniony jest od jednej osoby lub bardzo małego podmiotu.

Dlaczego dokumentacja infrastruktury IT w urzędzie jest tak ważna

Wszystkie opisane sytuacje mają wspólny element – brak dokumentacji i centralnego zarządzania dostępami.

Dlatego w urzędach wdrażających standardy bezpieczeństwa, takie jak ISO 27001 czy ISO 22301, szczególną uwagę zwraca się na:

• rejestr systemów informatycznych,
• szczegółową dokumentację infrastruktury IT,
• procedury odzyskiwania dostępu do systemów,
• zarządzanie kontami administracyjnymi.

Ciągłość działania urzędu zależy także od organizacji pracy i dokumentacji

Infrastruktura IT może być nowoczesna, stabilna i dobrze zabezpieczona. Jednak jeżeli cała wiedza o jej działaniu znajduje się w rękach jednej osoby, urząd pozostaje narażony na poważne ryzyko operacyjne.

W praktyce coraz więcej urzędów decyduje się na wykonanie niezależnego przeglądu infrastruktury IT oraz przygotowanie pełnej dokumentacji technicznej środowiska informatycznego.

Taka dokumentacja pozwala:

• uporządkować wiedzę o systemach,
• zidentyfikować ryzyka organizacyjne,
• zapewnić ciągłość działania urzędu zgodnie z kontrolą zarządczą C12 oraz C15,
• spełnić wymagania bezpieczeństwa wynikające z nowelizacji KSC.

W praktyce jest to jeden z najważniejszych elementów zarządzania bezpieczeństwem informacji w jednostkach administracji publicznej.

Potrzebujesz przeglądu infrastruktury IT, analizy ryzyka lub dokumentacji do ISO 22301?

Jeżeli chcesz sprawdzić, czy urząd lub jednostka organizacyjna jest przygotowana na brak dostępności ASI, utratę dostępu do systemów oraz problemy z ciągłością działania, skontaktuj się w sprawie niezależnego przeglądu infrastruktury IT, dokumentacji technicznej i oceny gotowości organizacji.

Kontakt:

• Napisz do nas: kri@audytor.bialystok.pl
• Zadzwoń: 85 6881418