Bezpieczeństwo IT: najczęstsze błędy
2010-05-25 11:36
Przeczytaj także: Jak zabezpieczyć przetwarzanie w chmurze?
Błędy administratorów i managerów wynikają z zaniedbań, niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na ryzyko strat. Co więcej, gdyby ich nie popełniano, z przedstawionej powyżej listy udałoby się wyeliminować wszystkie punkty.
-
Brak polityki bezpieczeństwa
Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje strategiczne informacje w systemach informatycznych, wiele z nich ma kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa – jasnych zasad, które określają reguły dostępu do urządzeń infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad. Brak takich zapisów rozmywa odpowiedzialność i sprzyja niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej zawartych. Zaniedbania w tym obszarze w dłuższym terminie zwiększają ryzyko informatyczne i podatność na ataki we wszystkich obszarach systemu bezpieczeństwa. -
Brak szkoleń
Innym grzechem zaniechania jest brak szkoleń, których celem jest edukowanie pracowników i uwrażliwianie ich na skutki błędów, jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia są nieodzownym elementem wdrażania polityki bezpieczeństwa, działań, które powinny być wspierane przez zarząd firmy. -
Rutyna administratorów
Administratorów, którzy stoją na straży bezpieczeństwa firm, najczęściej gubi zwykła rutyna. Wciąż często obserwuje się brak ingerencji w modyfikowanie domyślnych parametrów zabezpieczeń i ustawień serwerów. Także i tu zdarza się nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w monitorowaniu ruchu w sieci, nieautoryzowanych instalacji oprogramowania, a także np. pozostawienie ustawień zabezpieczeń po zmianie na stanowisku administratora.
Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy cały czas czujnie rozglądają się dookoła. Warto więc być świadomym użytkownikiem sieci.
Komentarze do raportu:
Maciej Zaborowski, Konsultant ds. IT Security w Edge Solutions Sp. z o.o.:
W systemie bezpieczeństwa informatycznego każdej organizacji najsłabszym ogniwem pozostaje człowiek i jego proste, banalne błędy. Dotyczy to zarówno administratorów, jak i samych pracowników, którzy mają kontakt z komputerami z dostępem do sieci. Potencjalnych zagrożeń jest mnóstwo i żaden system oparty na rozwiązaniach sprzętowych i oprogramowaniu nie zapewni skutecznego poziomu bezpieczeństwa. Odpowiedzialność za ochronę informatyczną firmy ponosi zarząd, którego rolą jest wspieranie wdrażania zasad bezpieczeństwa i troska o ich przestrzeganie przez cały zespół pracowników. To pozornie proste wyzwanie w praktycznej realizacji jest bardzo trudne, ponieważ błędy są wpisane w naturę ludzką, a ryzyko informatyczne jest często niedoszacowane lub niezauważane. W tym kontekście na liście priorytetów powinno postawić się porządnie opracowaną i wdrożoną politykę bezpieczeństwa, następnie szkolenia dla pracowników oraz systematyczne audyty bezpieczeństwa.
Grzegorz Tworek. Dyrektor Działu Bezpieczeństwo w ISCG, jedna z dwóch osób w Polsce wyróżnionych tytułem Microsoft Security Trusted Advisor:
Jeżeli chodzi o bezpieczeństwo informatyczne, to ogólnie zdrową radą jest nie poddawanie się ciekawości i traktowanie za zagrożenie wszystkiego, co nie pochodzi z bezwzględnie zaufanego źródła. Brzmi to jak zachęcanie do paranoi, ale w sytuacji, kiedy w Internecie są setki milionów użytkowników, naprawdę nie ma innego wyjścia jak założyć, że wielu z nich jest całkiem niegłupich i żywotnie zainteresowanych zrobieniem nam krzywdy. Użytkowników należy edukować: pokazywać sposoby ochrony, uzmysłowić potencjalne konsekwencje nieostrożnego zachowania, przeprowadzać audyty, sprawdzać czujność. Tak jak w wielu firmach zupełnie naturalne są ćwiczenia przeciwpożarowe, tak naturalne być powinny ćwiczenia dotyczące ochrony informacji. Nie jest to bardzo drogie a może uchronić przed poważnymi stratami. Warto też pamiętać, że wyszkolony w pracy użytkownik zacznie używać tej wiedzy w domu i będzie przekazywać ją innym dookoła.
Maciej Ziarek, Analityk Zagrożeń w Kaspersky Lab:
W kontekście ochrony informacji bardzo ważne jest zabezpieczenie nie tylko stacji roboczych, ale także samej sieci. W Polsce około 25% sieci bezprzewodowych nie korzysta z żadnej formy szyfrowania. Dane, jakie w nich są przesyłane, są jawne. To oznacza, że formularze czy strony wymagające logowania mogą być bez trudu podsłuchanie, a informacje przejęte. Bez uświadamiania użytkowników o niebezpieczeństwie pozostawiania otwartych sieci, problem ten będzie się pogłębiać z racji rosnącej popularności sieci WiFi. Obecnie jednym z największych niebezpieczeństw jest używanie inżynierii społecznej przez cyberprzestępców. O ile kilka lat temu skupiali się oni głównie na infekowaniu komputerów, obecnie o wiele skuteczniej żerują na niewiedzy i łatwowierności ludzi. Firmy powinny dziś koncentrować się na bezpieczeństwie swoich danych. Zalecane jest rozsądne ograniczenie użytkownika nie tylko co do konta, ale także w stosunku do programów i plików, jakie może on uruchamiać w pracy. Niemniej ważne jest prowadzenie szkoleń dla pracowników. Tak jak zostało to powiedziane na początku, najsłabszym ogniwem jest człowiek. Powinien być zatem pouczony, jakie praktyki mogą być szkodliwe i niewskazane, czego ma unikać. Niezastąpiony jest także administrator, który na bieżąco kontroluje sytuację i nie dopuszcza do łamania systemu zabezpieczeń.
Przeczytaj także:
![Przetwarzanie w chmurze 2012-2017]( "Przetwarzanie w chmurze 2012-2017 [© rangizzz - Fotolia.com]")
Przetwarzanie w chmurze 2012-2017
Przetwarzanie w chmurze 2012-2017
1 2
oprac. : Katarzyna Sikorska / eGospodarka.pl
Przeczytaj także
-
![Przetwarzanie w chmurze 6 razy większe]( "Przetwarzanie w chmurze 6 razy większe [© bloomua - Fotolia.com]")
Przetwarzanie w chmurze 6 razy większe
-
![Usługi cloud computing wymagają poprawy]( "Usługi cloud computing wymagają poprawy [© rvlsoft - Fotolia.com]")
Usługi cloud computing wymagają poprawy
-
![Trendy w branży IT w 2012r.]( "Trendy w branży IT w 2012r. [© stoupa - Fotolia.com]")
Trendy w branży IT w 2012r.
-
![Bezpieczeństwo IT: trendy 2012]( "Bezpieczeństwo IT: trendy 2012 [© stoupa - Fotolia.com]")
Bezpieczeństwo IT: trendy 2012
-
![Przetwarzanie w chmurze zdominuje ruch sieciowy]( "Przetwarzanie w chmurze zdominuje ruch sieciowy [© Scanrail - Fotolia.com]")
Przetwarzanie w chmurze zdominuje ruch sieciowy
-
![Bezpieczeństwo IT w chmurze]( "Bezpieczeństwo IT w chmurze [© Scanrail - Fotolia.com]")
Bezpieczeństwo IT w chmurze
-
![Symantec: bezpieczeństwo IT w 2011r.]( "Symantec: bezpieczeństwo IT w 2011r. [© stoupa - Fotolia.com]")
Symantec: bezpieczeństwo IT w 2011r.
-
![PandaLabs: bezpieczeństwo IT w 2011r.]( "PandaLabs: bezpieczeństwo IT w 2011r. [© stoupa - Fotolia.com]")
PandaLabs: bezpieczeństwo IT w 2011r.
-
![Kaspersky Anti Targeted Attack Platform dla ochrony przed atakami ukierunkowanymi]( "Kaspersky Anti Targeted Attack Platform dla ochrony przed atakami ukierunkowanymi [© sdecoret - Fotolia.com]")
Kaspersky Anti Targeted Attack Platform dla ochrony przed atakami ukierunkowanymi
![Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]](https://s3.egospodarka.pl/grafika2/rynek-pracy/Chinskie-firmy-zatrudniaja-w-Polsce-Jacy-to-pracodawcy-259418-50x33crop.jpg "Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]")
Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy?
