Kliknite tukaj, da namestite Silverlight*
SlovenijaSpremeni|Vsa Microsoftova spletna mesta
Microsoft Slovenija 
Center za podjetja 

6 pogostih napak varnosti IT in kako se jim izogniti

Pri upravljanju varnosti informacijske tehnologije (IT) je razlika med uspehom in neuspehom pogosto v tem, kako proaktivno organizacija ukrepa glede groženj.

Povzetek:

Postavite varnost na prednostno mesto in ji namenite določen del proračuna.

Pripravite pravilnike, postopke in načrte za ukrepanje pri varnostnih incidentih in upravljanje vsakodnevnih dogodkov.

S preskušanjem zagotovite, da je varnostno okolje kar najbolj zaščiteno.

Vse preveč podjetij se varnosti IT loteva nenačrtno, celo malomarno, posledica pa je, da imajo hekerji, tatovi in nezadovoljni zaposleni neoviran dostop do sistemov in podatkov. Predstavljamo nekaj najpogostejših napak organizacij in ukrepe, s katerimi zmanjšate tveganje:

1. Varnost ni določena kot prednostno področje. Kljub številnim poročilom o kršitvah varnosti in o odpovedih sistemov številna podjetja še vedno zanemarjajo varnost. »Varnost je draga in ne zdi se ključni del poslovanja,« pravi Matthew Green, analitik podjetja Independent Security Evaluators iz Baltimorja. »Odžira denar, ki ga direktorji raje porabljajo drugod v podjetju.«

Direktorji pogosto ne prepoznajo tveganja, dokler ni prepozno − ko na primer tat ukrade zapise o stranki ali poškoduje spletno mesto. Andrea Gallazzi, predsednik podjetja Krisopea, ki je lastnik potrdila Microsoft Certified Partner v severni Italiji in je specializirano za infrastrukturo in varnost, pravi, da so najpogostejši razlogi za odpovedi sistemov zanemarjanje posodabljanja s popravki, zastarele konfiguracije in splošno pomanjkanje varnosti.

Rešitev: Jemljite varnostne grožnje resno in namenite dovolj časa in denarja za zaščito svojega okolja IT. To pomeni preseganje najosnovnejših zahtev, kot je skladnost z vladnimi in drugimi predpisi. Čeprav mora vsaka organizacija sama ugotoviti, na katerem mestu je varnost med njenimi proračunskimi prioritetami, je bila po ugotovitvah svetovalnega podjetja za IT META GROUP v letu 2006 povprečna naložba v varnost 8 do 12 odstotkov proračuna za IT. Iznajdljiva podjetja izdelajo poslovno študijo varnostnih rešitev − s sodelovanjem različnih oddelkov − in skladno s tem določijo porabo.


*Za številna podjetja je izobraževanje drugotnega pomena ali pa se jim zdi zelo nestorilno ljudi odmikati od dela. *
Joseph Feiman,
podpredsednik za raziskave,
Gartner

2. Neustrezna strategija ukrepanja. Ko se pojavi varnostna grožnja in ni nikogar, ki bi ukrepal, lahko zapoznelo ukrepanje in neodločnost onemogočita učinkovit odziv. »Danes lahko številne organizacije prepoznajo varnostne incidente v svojem okolju IT, a se ne zmorejo učinkovito odzvati ­− še zlasti na nove grožnje,« pravi Ken Dunham, direktor oddelka za hitro ukrepanje v podjetju VeriSign iDefense iz Dullesa v Virginiji, ZDA.

Rešitev: Izpopolnjeno načrtovanje mora vključevati sodelujoče skupine, zunanje svetovalce in storitve varnostnega obveščanja, ki spremljajo najnovejše grožnje in podatke o njih pošiljajo strankam. Določite vodilno osebo − ki je seznanjena z varnostjo znotraj ali zunaj oddelka IT − ki bo ukrepala ob incidentih, sestavite skupino za ukrepanje v nujnih primerih, ki bo na voljo 24 ur na dan/sedem dni v tednu, ter določite jasne pravilnike in postopke za ravnanje v primeru varnostnih groženj ali incidentov. Skupino za ukrepanje naj sestavljajo posamezniki iz različnih oddelkov, vključno s kadrovskim, pravnim, finančnim in operativnim.

3. Slabo povezani varnostni sistemi. Ker se varnostne grožnje nenehno spreminjajo, morajo številne organizacije obvladovati kopico programov, konfiguracij strojne opreme, notranjih skrbnikov, programskih kod in svetovalcev − vse to pa lahko povzroči neobvladljivost in neučinkovitost. »Na določeni točki ves sistem odpove in podjetje se znajde v godlji,« pravi Gallazi.

Rešitev: Najboljša praksa je ocenjevanje okolja IT vsaj enkrat letno, nato pa redno integriranje, posodabljanje in preskušanje sistemov. Številne novejše rešitve, kot so Microsoft ForeFront (ang) integrirani varnostni programi, lahko poenotijo in poenostavijo skrbništvo ter povečajo splošno zaščito. Čeprav sta lahko cena in zahtevnost upravljanja in preskušanja varnostnih posodobitev precejšnji, se organizacije, ki ubirajo »bližnjice«, srečajo s še višjimi stroški, če pride do večje varnostne kršitve. Takšen incident lahko škoduje njihovemu ugledu, razjezi delničarje ter prinese morebitne kazni zaradi neupoštevanja predpisov in izgube dohodkov.

4. Pomanjkanje izobraževanja zaposlenih. Čedalje več groženj je zasnovanih tako, da izkoriščajo najšibkejši varnostni član v verigi: zaposlene. Še zlasti tehnike socialnega inženiringa, kot sta »lažno predstavljanje« in »usmerjeno lažno predstavljanje« (slednje je usmerjeno na določeno osebo ali manjšo skupino), so zelo nevarne. »Za številna podjetja je izobraževanje drugotnega pomena ali pa se jim zdi zelo nestorilno ljudi odmikati od dela,« pravi Joseph Feiman, podpredsednik za raziskave pri podjetju za IT-raziskave in svetovanje Gartner iz Stamforda v Connecticutu, ZDA.

Rešitev: Osnovno izobraževanje o upravljanju gesel, varnemu spletnemu brskanju, neposrednemu sporočanju in uporabi e-pošte lahko veliko pripomore k varnosti sistemov. Ne ukvarjajte se s podrobnostmi o požarnih zidovih in sistemih za zaznavanje vdorov, osredotočite se na prakso varne uporabe računalnika in druge teme v zvezi z delovnimi mesti. Deset- do dvajsetminutne predstavitve v podjetju ali obvezna mesečna spletna izobraževanja (ali daljša izobraževanja vsako četrtletje) pogosto zadoščajo. Uvedite tudi redne e-poštne nasvete ali mesečne e-novice.

5. Neučinkovita pravila in postopki. Na grožnjo se je preprosto odzvati z blokiranjem neposrednega sporočanja ali s prepovedjo uporabe bliskovnih pogonov Universal Serial Bus (USB),s katerimi je mogoče prenašati podatke zunaj fizičnih zidov pisarne. Videz večje varnosti lahko ustvarite tudi tako, da od zaposlenih zahtevate, naj vsak mesec spremenijo geslo. Žal pa lahko nadležna pravila zmanjšajo storilnost − ali celo spodbudijo zaposlene, da jih zaobidejo. »Neustrezni pravilniki lahko postanejo ovira za delovno storilnost in dejansko povečajo varnostno tveganje,« pravi Dunham.

Rešitev: Uravnovesite varnost in storilnost. Medtem ko je po eni strani nujno vzpostaviti močne zaščitne ukrepe − na primer šifriranje občutljivih podatkov v prenosnih računalnikih, je treba po drugi strani legitimnim uporabnikom omogočiti preprost dostop do sistemov podjetja. Nekateri računalniki so na primer opremljeni z biometričnim branjem prstnih odtisov, ki samodejno prijavi uporabnika ali dešifrira datoteko. In končno, ne zanemarjajte pravilnikov in postopkov, ko v naglici lovite roke. Zahtevajte doslednost in določite sankcije za neupoštevanje.

6. Notranje grožnje. Kljub vsemu govorjenju o hekerjih in vdiralcih se številne varnostne kršitve dogajajo znotraj podjetja. Nezadovoljni ali nepošteni zaposleni so stalna grožnja in neprevidnost ima lahko hude posledice − še zlasti jo lahko izkoristijo nepridipravi s prenosnimi računalniki in dlančniki. Osebja na visokih položajih in skrbnikov s praktično neomejenimi pooblastili za dostop skoraj ni mogoče zaustaviti. Dodatna skrb so tudi dostavno osebje, začasni delavci in celo vratarji, ki jim je pogosto dovoljeno nemoteno gibanje po prostorih podjetja.

Rešitev: Čeprav ni mogoče doseči popolne zaščite, lahko z nekaterimi ukrepi bistveno zmanjšate tveganje. Prvič, porazdelite sisteme in pooblastila tako, da nihče nima prevelikega nadzora. Drugič, imejte nadzor nad tem, kjer so shranjeni varnostne kopije, arhivi in kopije zbirk podatkov, uporabljene za preskušanje in popravljanje programske opreme. Tretjič, vzdržujte natančne evidence o tem, kdo uporablja mobilne računalniške naprave, in poskrbite, da bodo zaposleni razumeli, kako zaščititi naprave in podatke na poti. In končno, ne dovolite zunanjim obiskovalcem, da se nenadzorovano gibljejo po pisarnah podjetja.


Samuel Greengard

Samuel Greengard je pisatelj iz mesta West Linn v ameriški zvezni dražavi Oregon, in je strokovnjak na področju gospodarstva ter tehnologije.



©2014 Microsoft Corporation. Vse pravice pridržane. Pišite nam |Pogoji uporabe |Blagovne znamke |Vaša zasebnost
Microsoft