Bezpieczeństwo IT w firmie: jak je zwiększyć?

Przeczytaj także: Bezpieczeństwo IT: błędy administratorów

Jednak o jakim poziomie bezpieczeństwa IT myślą ankietowani? Ankieta i doświadczenia Mediarecovery wskazują, że jest to pryzmat podstawowych zabezpieczeń, takich jak program antywirusowy (25% skuteczności wg. ich producentów!) i urządzenie typu router, mające chronić organizacje przed atakami z zewnątrz. Niewielu menedżerów zdaje sobie sprawę jak wiele się zmieniło od czasu kiedy John McAfee napisał w 1986 roku pierwszy program antywirusowy.

27 lat ewolucji doprowadziło nas do czasów w których informacja jest jednym z najważniejszych aktywów, narażonych na zagrożenia, w których wirus jest tylko jednym z elementów działania sprawcy. Współczesny „hacker” równie sprawnie pisze złośliwe oprogramowanie, jak używa socjotechniki aby mailem przekonać nas do odwiedzenia jego strony lub otwarcia załącznika. Przełamanie zabezpieczeń i kradzież dowolnej informacji lub unieruchomienie naszej działalności to już potem dziecinna zabawa.

Jak zatem powinniśmy myśleć o współczesnym bezpieczeństwie IT?

Główne obszary bezpieczeństwa IT

Jeśli przyjrzymy się normom związanym z bezpieczeństwem systemów informatycznych, takim jak na przykład ISO27001, spostrzeżemy cztery główne obszary, które dotyczą każdej organizacji i w których należy rozważać problemy bezpieczeństwa:

Bezpieczeństwo użytkowników. Wyniki badania ankietowego wskazują, że 79% wszystkich osób biorących udział w ankiecie pokłada ogromne zaufanie w pracownikach i nie dopuszcza możliwości, że to oni mogą być źródłem wycieku danych. Niestety ponad 4500 ekspertyz przeprowadzonych przez Mediarecovery świadczy o tym, że nie zawsze tak jest. Wystąpienie zagrożenia wewnętrznego jest w równym stopniu prawdopodobne, jak wystąpienie zagrożenia z zewnątrz. Dodatkowo cybeprzestępcy właśnie przez pracowników próbują uzyskać dostęp do informacji poufnych. Stosują do tych celów zarówno klasyczną socjotechnikę, jak i próby infekcji pojedynczych stacji roboczych, które mają być ich sposobem dostępu do reszty infrastruktury.

Zatem działania pracowników, zarówno te nieświadome, jak i wykonywane z rozmysłem są dużym zagrożeniem dla bezpieczeństwa. Z badania Mediarecovery w 2012 roku wynika, iż 49% polskich firm miało do czynienia z przypadkami nielojalności pracowniczej. Ponadto w 2012 roku znaczna część wartych miliony dolarów strat w następstwie ataków została przeprowadzona z „użyciem” nieświadomych pracowników (np. Sony).

Ochrona w tym obszarze powinna opierać się o kontrolę uprawnień, ochronę przed uruchamianiem niedozwolonego oprogramowania (BIT9) oraz systemy podstawowego monitoringu zachowań pracowników (np. AuditPro). Korzyścią jest również fakt, iż stosując podstawowe rozwiązania możemy uzyskać wystarczający poziom rozliczalności pracowników na wypadek postępowań przed sądem.

Bezpieczeństwo danych - 90% wszystkich ankietowanych postrzega wyciek danych jako realne zagrożenie prowadzenia działalności biznesowej. Właśnie dane są głównym celem cyberprzestępców. Często nie zdajemy sobie sprawy z ich wartości do czasu kiedy ich nie utracimy.

Aby wiedzieć jakie dane chronić należy w pierwszej kolejności zastanowić się jaka informacja jest dla nas najcenniejsza. Bez wiedzy gdzie i jakie dane posiadamy oraz przetwarzamy, zapewnienie ich bezpieczeństwa nie będzie możliwe. Porządkowanie informacji ułatwiają usługi typu „sprawdź, gdzie żyją Twoje dane” oraz rozwiązania typu DLP (Data Leakage Prevention).

Tego typu rozwiązania, chronią nawet przed przypadkowym wyciekiem danych. Zapewniają również ciągłą kontrolę, wymuszają respektowanie przez wszystkich pracowników wewnętrznych zasad regulujących kwestie przepływu i dostępu do danych, dając równocześnie pełną wiedzę dotyczącą prób złamania polityki bezpieczeństwa danych.

Wprowadzenie tego typu rozwiązań powinno wiązać się również ze szkoleniami dotyczącymi bezpieczeństwa danych. W analizowanych przez Mediarecovery incydentach często nieświadomość pracowników jest ich przyczyną. Aspekt świadomości jest szalenie istotny w ew. postepowaniach odszkodowawczych kiedy pracownik mówi – nie wiedziałem.