Sektor MSP a bezpieczeństwo informatyczne

Przeczytaj także: Ataki hakerów na sektor MŚP nasilone

Proste błędy pracowników i administratorów IT powodują znaczne zagrożenie, nawet dla tych firm, które zdążyły zaopatrzyć się w najnowocześniejsze technologie. Oto najczęściej popełniane błędy oraz zaniechania, przez które rokrocznie firmy tracą swoje zyski, reputację i pozycję rynkową.

Brak polityki bezpieczeństwa lub niewłaściwe jej wdrożenie przyczynia się do większości najczęściej popełnianych błędów operacyjnych. Polityka bezpieczeństwa to dokument, który reguluje zasady korzystania i dostępu do systemów informatycznych, zasobów i narzędzi IT w całej organizacji. Jeśli firma pracuje w oparciu o systemy informatyczne, przetwarza informacje poufne, współdzieli pewne systemy i informacje z innymi użytkownikami przez Internet, to dla własnego bezpieczeństwa powinna opracować politykę bezpieczeństwa. Jednak samo spisanie zasad nie wystarczy. „Zdarza się, że firmy bardzo skrupulatnie opracowują politykę bezpieczeństwa, ale mają problem, by ją wdrożyć – to znaczy uświadomić swoich pracowników, dlaczego i w jaki sposób powinno się jej przestrzegać” – mówi Wolfgang Wimmer z firmy GFi Software, która specjalizuje się w rozwiązaniach do zapewnienia ochrony informatycznej. Do tego niezbędne są szkolenia, które zwrócą uwagę pracowników, że niektóre zachowania niosą ryzyko dla nich i dla pracodawcy. Wdrażanie polityki powinno być prowadzone z pełnym poparciem kierownictwa. „Dobrze jest, aby dokument potwierdzający zaznajomienie się z polityką bezpieczeństwa był podpisany przez pracowników. Jednocześnie naruszanie jego instrukcji może służyć pracodawcy do dyscyplinowania, a nawet zwolnienia pracownika w przypadku rażącego naruszenia zasad. Dlatego ważne jest, aby polityka bezpieczeństwa tworzona była w oparciu o obowiązujące w Polsce normy i regulacje prawne” – mówi Paula Januszkiewicz z firmy ISCG, która prowadzi audyty bezpieczeństwa.

Złe zarządzanie hasłami to jedno z największych zagrożeń naruszenia lub kradzieży danych. „W czasie audytów bezpieczeństwa diagnozujemy przypadki posługiwania się przez osobę tymi samymi lub niemal identycznymi hasłami, które dają dostęp do wielu aplikacji. Zdarza się, że nowi administratorzy serwerów popełniają ten sam błąd” – wylicza Paula Januszkiewicz. To jak zapraszanie intruzów do swobodnego wejścia przez otwarte drzwi. Zdaniem audytorów bezpieczeństwa lepiej generować hasła alfanumeryczne, jednak nie na tyle długie i skomplikowane, aby nie można było ich zapamiętać. Nie powinno się posługiwać wspólnymi hasłami dostępu do aplikacji firmowych i np. serwisów społecznościowych. Nie wolno też zapisywać haseł w łatwo dostępnych miejscach, ani dzielić się nimi ze znajomymi.

Otwórz załącznik w mailu, podaj hasło…

Większość ataków wymierzonych w infrastrukturę informatyczną pochodzi z Internetu. „Ruch internetowy to dwie bramy, których musimy szczególnie strzec: to połączenia z serwisami internetowymi oraz przychodząca poczta elektroniczna. W obu przypadkach na użytkowników czyhają potencjalne zagrożenia” – mówi Wolfgang Wimmer z GFi Software.

Naturalnie, dziś większość firm w sektorze MŚP jest odpowiednio zabezpieczona przed „tradycyjnymi atakami” czyli wirusami i robakami. Systemy antywirusowe codziennie aktualizują biblioteki wirusów, firewalle spełniają swoje funkcje. Jednak firmy są obecnie bardziej narażone na ataki oprogramowania szpiegującego oraz przypadki wyłudzania haseł (phishingu) poprzez fałszywe witryny internetowe lub maile rzekomo wysłane przez administratorów lub dostawców usług IT.