Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Ошибки ИТ-безопасности, которых легко можно избежать

Ошибки ИТ-безопасности, которых легко можно избежать

Сколько бы мы про это не говорили, но пользователи (а иногда и ИТ-специалисты) допускают ряд ошибок, которых относительно легко можно избежать. Вот самые распространенные ошибки в сфере ИТ-безопасности и способы их исправить.

Используют небезопасные пароли. Когда-то люди думали, что пароль «пароль» — надежный способ защитить себя от хакеров и прочих злоумышленников. И хотя сегодня большинство пользователей понимают, что это не так, многие все еще используют банальные пароли. Например, пользователи часто используют в качестве пароля год рождения наряду с именем своего ребенка. Но и то, и другое легко найти ВКонтакте или где-то еще. Если пользователи будут использовать небезопасные пароли, может пострадать вся компания.
Как исправить: Не используйте в пароле очевидные последовательности. Замените цифру «1» восклицательным знаком (!), а «8» — амперсандом (&) и т.п. Чем больше разнообразия в пароле, тем труднее его взломать. Политика паролей должна предусматривать использование строчных и прописных букв, цифр и символов.

Никогда не меняют пароли. Пользователи редко меняют пароли, более того, они используют одинаковые пароли на разных сайтах. Даже в компаниях, политика ИТ-безопасности которых требует этого, не все меняют пароли на постоянной основе. Подобная ситуация недопустима и таким сотрудникам следует объявлять строгий выговор за нарушение политики ИТ-безопасности. К сожалению, очень многие используют одни и те же или очень похожие пароли на разных сайтах, а когда дело доходит до смены пароля, меняют только один символ.
Как исправить: Расскажите пользователям как важны безопасные пароли и почему их необходимо периодически менять. Рассмотрите возможность использования инструментов для создания надежных паролей и запрета похожих паролей.

Не устанавливают антивирусное ПО. Это еще одна распространенная проблема. Даже с самым лучшим брандмауэром нужно использовать антивирусное ПО. Концепция многослойной защиты по-прежнему актуальна. Все, что пропустит ваш брандмауэр, поймает антивирус.
Как исправить: Установите защиту от вредоносного ПО... прямо сейчас.

Не используют брандмауэр. Брандмауэр необходим и дома, и в офисе. Хотя в Windows и других операционных системах есть встроенные брандмауэры, в дополнение к ним стоит установить аппаратный брандмауэр. Кроме того, брандмауэр нужно еще и правильно настроить.
Как исправить: Установите аппаратный брандмауэр. Убедитесь, что правила брандмауэра не пропускают ненужный трафик во внутреннюю сеть.

Не устанавливают обновления. Обновления и патчи для операционных систем и приложений выпускают не просто так. Они не только добавляют новые функции, но и устраняют уязвимости в продуктах. Иногда в компаниях не обновляют приложения, полагаясь на брандмауэр. Это неправильная стратегия, поскольку даже проверенный трафик может использовать уязвимости.
Как исправить: Включите функцию автоматического обновления и периодически устанавливайте патчи.

Не заботятся о безопасности данных. Многие люди хранят важную информацию (персональные данные или рабочую информацию) на USB флэш-накопителях. Эти флэшки пользователи носят с собой, оставляют на столах, забывают, теряют и т.п. Незащищенные данные — это большая проблема. Один потерянный USB-диск, ноутбук, или iPad, и у вашей компании могут возникнуть финансовые или юридические проблемы.
Как исправить: Используйте шифрование для всех съемных устройств. Для защиты ноутбуков, USB-дисков и мобильных устройств стоит рассмотреть возможность использования специального ПО для шифрования и защиты особо важной информации.

Не ограничивают доступ. Доступ ограничивает возможности сотрудников. Но если дать всем пользователям права администратора, работу компании очень быстро охватит хаос. Поэтому в большинстве компаний действует политика ограниченного доступа, когда пользователь получает определенные разрешения, связанные с его работой. К сожалению, имеет место «расползание» доступа, когда не удаляются старые или временные разрешения.
Как исправить: Убедитесь, что в вашей компании есть четкая политика доступа. Она должна предусматривать периодический пересмотр и удаление разрешений.

Игнорируют защиту Wi-Fi. Всем известны риски, связанные с Wi-Fi сетями, но еще опаснее, если сеть является полностью открытой и незащищенной. И хотя WEP-шифрование, как механизм защиты, не считается криптостойким, поскольку может быть взломан менее чем за четыре секунды, это все же лучше, чем полное отсутствие шифрования.
Как исправить: Реализуйте WPA-шифрование или, еще лучше, WPA2. Это современный стандарт беспроводной безопасности, которая поддерживается большинством современных операционных систем. При этом важно выбрать безопасный пароль, иначе все ваши усилия будут напрасны.

Игнорируют безопасное использование мобильных устройств. Мобильные устройства — настоящий подарок для хакеров. Они содержат незашифрованные личные данные и доступны в любой момент. Их можно потерять или украсть. Не храните критически важные данные на мобильных устройствах или установите на них специальное ПО, которое защитит конфиденциальную информацию. Кроме того, никогда не оставляйте мобильные устройства без присмотра.
Как исправить: Установите пароли на мобильные устройства пользователей, имеющих доступ к важной информации. Пусть это не спасет от хакеров, но может защитить от случайного проникновения.

Не тестируют резервные копии. Если ваша система безопасности дала сбой, ИТ-системы вышли из строя, а данные повреждены, единственный выход — восстановить операционную среду из резервной копии. Тем не менее, при попытке восстановления иногда обнаруживается, что резервные копии файлов повреждены, стримерные ленты размагничены или сохраненные данные неактуальны. А вот это уже действительно проблема.
Как исправить: Внедрите политику, которая предусматривает регулярную проверку резервных копий. Рассмотрите вопрос о внедрении многоуровневой системы резервного копирования, когда данные с диска копируются на другой диск с операционной системой, а оттуда — на магнитную ленту или в хранилище данных вне офиса, которое не пострадает в случае атаки.

По материалам techrepublic.com

Дополнительные материалы

Комментарии (3)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 11 декабря 2012, 12:44

    0
    Вообще-то все эти меры (и многие другие) входят в политику безопасности. Если ее нет или она не соблюдается, то и суда нет.
  • Аватар

    Ланцев Андрей [Sansey], 11 декабря 2012, 17:32

    0
    А положа руку на сердце - у многих ли из нас имеются отдельные пароли на все? И мы сами то часто их меняем?
    • Аватар

      Яковлев Андрей Михайлович [swtws], 11 декабря 2012, 23:00

      0
      Нет, конечно - просто есть схемы типа пароль+смарткарта и проч. Потом пароль не панацея - криптофункции имеют проблему, хотя и лавинообразные, но хэш-функции. То есть коллизии всегда возможны (что такой же хэш имеет другая последовательность символов) вопрос в алгоритме поиска коллизий - не бесконечность же перебирать.