Jakie straty w zakresie bezpieczeństwa wejścia tak naprawdę kosztują Twoje centrum danych?
„Strata” w środowisku centrum danych zazwyczaj oznacza naruszenia, przestoje lub przestoje. Jednak niektóre z najbardziej znaczących strat spowodowanych słabościami bezpieczeństwa fizycznego w ogóle nie pojawiają się w tych raportach.
Zamiast tego narastają powoli poprzez niewielkie odchylenia od zdefiniowanych procedur kontroli dostępu, które same w sobie nie powodują incydentów, ale stale zwiększają koszty pracy, stwarzają ryzyko naruszenia przepisów i z czasem zmniejszają wydajność operacyjną.
Wejścia to systemy operacyjne, które mają bezpośredni wpływ na płynność i niezawodność codziennego funkcjonowania centrum danych.
Wejścia są często traktowane jako stałe elementy kontrolne, a nie jako dynamiczne punkty ryzyka
Systemy zasilania są redundantne. Chłodzenie jest monitorowane. Sieci są testowane pod kątem obciążenia, łatane i zabezpieczane przed zmieniającymi się zagrożeniami.
Wejścia rzadko są traktowane w ten sam sposób. Zbyt często są projektowane, wdrażane, a następnie zapominane i zwykle uważane za „wystarczająco dobre”, gdy czytniki identyfikatorów działają i dostęp wydaje się ograniczony.
Ostatecznie może to prowadzić do rozdźwięku pomiędzy sposobem, w jaki wejścia zostały zaprojektowane do działania, a tym, jak faktycznie działają w praktyce. W miarę zwiększania się poziomu zatrudnienia ludzie zaczynają optymalizować prędkość. Nic nie zawodzi. Ale proces ten nie działa już zgodnie z założeniami.
Wydajność operacyjna zaczyna spadać, początkowo powoli
Naruszenie bezpieczeństwa wejścia często zaczyna się od utraty wydajności operacyjnej.
Jeśli kontrola dostępu nie jest w stanie konsekwentnie wymusić wpisu jednej osoby na dane uwierzytelniające, odpowiedzialność spada na strażników i personel. Ktoś musi uważniej obserwować wejścia, kierować ludzi tam, gdzie powinni się udać i ręcznie zatwierdzać wyjątki dotyczące dostępu, na przykład gdy:
Pracownicy i strażnicy stają się policjantami ruchu drogowego, a nie oceniającymi ryzyko.
Ubezpieczenie strażnika staje się ukrytym wydatkiem
Wejścia wymagające intensywnego nadzoru człowieka są z natury nieprzewidywalne. Kiedy niezawodność wejścia zaczyna spadać, często kompensuje się to poprzez przydzielenie dodatkowej ochrony.
Przykłady obejmują przydzielanie dodatkowych strażników w godzinach szczytu ruchu, dodawanie przerw w pracy, gdy systemy wejściowe są wyłączone lub znajdują się w trybie konserwacji, zatwierdzanie pracy w godzinach nadliczbowych w celu obsługi napływu wykonawców lub przydzielanie personelu tymczasowego na czas audytów lub działań wysokiego ryzyka.
Aż pewnego dnia Twoje rachunki za pracę znacznie wzrosły z powodu ograniczeń kontroli wejść, a nie z powodu jakiegokolwiek rzeczywistego zdarzenia.
Twoje wejście wpływa na czas pracy bardziej, niż myślisz
A co z wtórnymi konsekwencjami, gdy kontrola dostępu nie zawsze jest egzekwowana przy wejściach? Na przykład technicy spóźniają się, gdy nie mogą od razu uzyskać dostępu do budynku w celu przeprowadzenia konserwacji zapobiegawczej, reakcja na incydenty trwa dłużej, ponieważ pracownicy czekają w kolejce przed drzwiami wejściowymi, pracownicy czują się zmuszeni do obchodzenia kontroli, aby zachować przewidywalny przepływ pracy, lub alarmy drzwiowe, integracje i sprzęt nie działają wtedy, gdy są najbardziej potrzebne.
Jeśli opóźnienia na wejściu zaczną wpływać na reakcję konserwacyjną, rozwiązywanie incydentów lub dostęp do krytycznego sprzętu, Twoje wejścia mają teraz wpływ na niezawodność czasu pracy.
Ryzyko braku zgodności może z czasem narastać
W wielu przypadkach narażenie na brak zgodności rozwija się na długo przed wystąpieniem oczywistego incydentu lub przestoju. Zasady bezpieczeństwa często wymagają, aby dostęp był ograniczony do upoważnionych osób, aby wejścia i wyjścia były rejestrowane i kontrolowane, dostęp był cofany, gdy nie był już potrzebny, a kontrole działały spójnie.
Jeżeli wejścia zależą od doraźnego egzekwowania przepisów, mogą występować duże rozbieżności między polityką a rzeczywistością w danym miejscu.
Przykładami mogą być sytuacje, gdy dostęp wykonawcy nie zostanie cofnięty w odpowiednim czasie, dane uwierzytelniające zostaną udostępnione lub ponownie wykorzystane, drzwi będą utrzymywane otwarte w celu przyspieszenia dostaw przez ochronę lub poziom aktywności alarmowej jest wysoki, ale regularnie ignorowany lub odrzucany.
Tymczasowe rozwiązania mogą stać się trwałą rzeczywistością
Prawie każdy problem z bezpieczeństwem wejścia zaczyna się od rozwiązania tymczasowego, np. zablokowanie drzwi do czasu zakończenia konserwacji przez techników, wejście zapasowe wykorzystywane do przyspieszenia dostaw lub próg alarmowy dostosowany w celu wyeliminowania fałszywych wyzwalaczy.
Ryzyko pojawia się, gdy rozwiązania te pozostają w użyciu dłużej niż pierwotnie planowano. Poziom bezpieczeństwa jest obecnie znacznie osłabiony.
Bezpieczeństwo wejścia nie zawodzi w większości przypadków
Zamiast szukać pojedynczego zdarzenia, które spowodowało utratę bezpieczeństwa lub wydajności operacyjnej, obserwuj trendy takie jak:
Jak dobrze radzą sobie Twoje wejścia?
Prawdziwe pytanie brzmi, czy Twoje wejścia nadal działają tak, jak działa Twój obiekt.
Zbyt często kontrole wejściowe, które były całkowicie wystarczające pięć lat temu, powoli stają się przestarzałe w miarę zmieniania się wokół nich środowiska operacyjnego. Tworzą słabe punkty i wyzwania operacyjne, które łatwo przeoczyć.
Diagnostyka operacyjna: Czy już ponosisz ukryte koszty wynikające z problemów z wejściem?
Wykorzystaj poniższe pytania jako prostą diagnostykę, aby ustalić, czy w Twojej placówce obowiązują już ukryte koszty wejścia.
Kiedy wygoda przeważyła nad egzekwowaniem dostępu jednej osoby/jednego uwierzytelnienia? Czy ochroniarze lub inne osoby często omijają kontrolę dostępu, zezwolenia na dostęp lub wyważanie drzwi? Czy pracownicy, kontrahenci, audytorzy i dostawcy wchodzą tymi samymi drzwiami? Wspólne wejścia tworzą wąskie gardła w przepustowości, które często zamieniają egzekwowanie prawa w osąd.
Jak często sprawdzasz działanie systemów wejściowych w typowych warunkach pracy? W niektórych placówkach sprawdzane są wyniki na wejściu jedynie po incydencie lub tuż przed audytem. Jak często widzisz alarmy o przytrzymaniu lub włamaniu do drzwi? Jeśli regularnie otrzymujesz te alarmy, czy są one sprawdzane, czy po prostu potwierdzane i usuwane? Czy regularnie sprawdzasz konfiguracje wejść, aby upewnić się, że odpowiadają bieżącym warunkom pracy? Należy wziąć pod uwagę takie czynniki, jak personel, działalność wykonawców i zmieniające się standardy zgodności.
W jakim stopniu Twoje wysiłki w zakresie dostępu odzwierciedlają Twoje codzienne operacje od udzielenia dostępu do rozwiązania umowy? Tymczasowy dostęp wykonawcy/dostawcy można szybko przyznać na potrzeby instalacji, aby uniknąć spowolnienia postępu projektu, ale czy zawsze jest on szybko usuwany? A co z tymczasowymi nadpisaniami, trybami obejścia i zatwierdzonymi wyjątkami od normalnej kontroli dostępu? Czy zawsze są one usuwane na czas? Czy zapisy dostępu i konfiguracja, które posiadasz dzisiaj, przeszły pomyślnie, gdyby audytor w magiczny sposób pojawił się u Twoich drzwi?
Czy wydajność wejścia zaczęła wpływać na Twoje codzienne operacje? Zatłoczenie na wejściach podczas zmian zmian, zamknięć konserwacyjnych lub dostaw do wykonawców może codziennie powodować drobne opóźnienia. Czy zauważyłeś, że z czasem musisz zwiększyć zasięg ochrony, aby zrekompensować problemy z dostępem, nawet jeśli nie wystąpiło żadne oczywiste zdarzenie inicjujące? Czy Twoje systemy wejściowe zapewniają ten sam poziom „zapewnionego dostępu” w okresach małej aktywności, jak w okresach zwiększonego ruchu (np. nocne zmiany, konserwacja awaryjna, sezonowe korzystanie z usług wykonawców)?
Jeśli odpowiedziałeś twierdząco na którekolwiek z tych pytań, nawet jeśli w przeszłości powodowało to tylko drobne problemy, dzisiaj możesz potencjalnie stracić pieniądze. Identyfikując i rozwiązując te problemy już teraz, możesz uniknąć zmniejszania wydajności swojego obiektu, jego zgodności z przepisami i możliwości polegania na wejściach, aby zapewnić sprawne działanie obiektu.
