Bezpieczeństwo informatyczne mikrofirm w 5 krokach

Przeczytaj także: Bezpieczeństwo IT: trendy 2013

1. Niezbędne podstawy

Zaczynając opracowywanie planu skutecznej ochrony sytemu informatycznego firmy należy skupić uwagę na podstawowych zasadach bezpieczeństwa, takich jak:

• Ograniczenie użytkownikom uprawnień systemowych do tych, które są im niezbędne do pracy – ograniczenie ochroni nie tylko w przypadku przejęcia kontroli nad systemem przez atakującego, ale także przed (często nieświadomym) działaniem samego użytkownika – np. wyłączeniem zabezpieczeń czy zainstalowaniem złośliwego oprogramowania.
• Instalacja i regularna aktualizacja oprogramowania antywirusowego.
• Regularna instalacja poprawek systemowych oraz najnowszych wersji programów – najlepiej wszędzie gdzie to możliwe, włączyć automatyczną instalację poprawek. Złośliwe oprogramowanie wykorzystuje często luki (tzw. backdoory) w oprogramowaniu (nawet tym niepozornym, jak np. programy do przeglądania zdjęć), a poprawki zwykle łatają wspomniane „dziury” w oprogramowaniu.
• Przechowywanie istotnych danych na współdzielonym dysku sieciowym – tu również należy pamiętać o ograniczeniach dostępu i uprawnień dla poszczególnych użytkowników oraz o przemyślanym mechanizmie tworzenia kopii zapasowej dysku.
• Wyeliminowanie przypływu spamu, który jest najczęstszym nośnikiem niebezpiecznych treści, a także niepotrzebnie zapycha łącze internetowe. W tym celu należy zainstalować dobry filtr antyspamowy – warto pomyśleć o tym przed dokonaniem wyboru dostawcy poczty elektronicznej. Dla firm o ograniczonym budżecie wystarczającym narzędziem może okazać się Gmail.
• Zabezpieczenie sieci Wi-Fi – najlepiej stworzenie osobnej sieci o ograniczonych uprawnieniach dla gości oraz osobnej z szerszymi uprawnieniami dla pracowników.
• Permanentne szkolenie użytkowników z zakresu najnowszych zagrożeń, takich jak phishing, scamming, zjawisko podglądania przez wbudowane w laptopach kamery czy zagrożenia mobilne.

2. Eliminacja łatwych haseł

Bezpieczne korzystanie z sieci oraz rozmaitych usług zależy między innymi od poziomu trudności odgadnięcia wykorzystywanych przez pracownika haseł dostępowych. Mimo to, coroczne rankingi najpopularniejszych, najgorszych haseł potwierdzają, jak często upraszczamy sobie proces uwierzytelniania poprzez generowanie łatwych do odgadnięcia fraz, takich jak „qwerty” czy „12345”. Istnieją rozwiązania, które wspierają proces zarządzania hasłami, a korzystanie z takich systemów nie jest trudne. Warto rozważyć zakup narzędzi do zarządzania hasłami, takich jak np. LastPass (którego koszt to ok. kilkanaście dolarów rocznie) czy instalacji darmowego elektronicznego portfela, jak KeePass. Tego typu narzędzia biorą na siebie zadanie centralnego przechowywania haseł (nie ma przeszkód, aby były to długie i skomplikowane frazy) i wprowadzania ich do aplikacji i systemów podczas fazy uwierzytelniania.

– Idealną sytuacją jest, gdy hasło nadrzędne jest bardzo trudne do odgadnięcia – od prawdopodobieństwa jego załamania zależy los pozostałych. Elektroniczny portfel można z powodzeniem uruchomić w telefonie komórkowym, można także przenosić go między urządzeniami. Narzędzia zarządzania hasłami wspomagają także proces okresowej wymiany haseł oraz stanowią ochronę przed niebezpiecznymi keyloggerami – wyjaśnia Paweł Żal, lider zespołu Testów Unizeto Technologies.

Dobrym sposobem na poprawienie bezpieczeństwa jest budowanie haseł na zasadzie akronimów (tzw. hasła mnemoniczne) na podstawie ulubionych cytatów, słów piosenek lub wymyślonych zdań, np. „Wczoraj na obiad zjadłem dwa hamburgery i wypiłem trzy szklanki soku. Za wszystko zapłaciłem 7 dolarów.” – można zapisać jako „Wnoz2hiw3ss.Zwz7$.” – nie zapominając o znakach specjalnych oraz interpunkcyjnych.