Zápisník IT manažéra: Zaistenie vyššej bezpečnosti nemusí stáť veľa peňazí

Ani jed­na z dvoch naj­vyš­ších bez­peč­nos­tných prio­rít náš­ho ma­na­žé­ra bez­peč­nos­ti na nad­chá­dza­jú­ci fiš­kál ne­bu­de pred­sta­vo­vať veľ­ké in­ves­tí­cie.

Je ob­do­bie roz­poč­tov, čo zna­me­ná, že som za­čal vy­tvá­rať zoz­nam svo­jich pria­ní oh­ľad­ne bez­peč­nos­tných špe­cia­lít, kto­ré by som chcel za­ob­sta­rať. Dá­vam pred­nosť te­ma­tic­ké­mu zoz­na­mu že­la­ní. Pred ro­kom to bo­la ochra­na úda­jov. Do pre­ven­cie stra­ty dát a šif­ro­va­nia sú­bo­rov sme vďa­ka to­mu vý­znam­ne in­ves­to­va­li.

Na nad­chá­dza­jú­ci rok mám dve té­my: Zvý­šiť od­ol­nosť náš­ho ochran­né­ho jad­ra a vzde­lá­vať pou­ží­va­te­ľov. A ne­bu­dem ani mu­sieť na žiad­ny z tých­to cie­ľov žia­dať ve­ľa pe­ňa­zí.

Za pos­led­ných pár ro­kov sme vy­bu­do­va­li cel­kom sluš­ný ar­ze­nál nás­tro­jov na za­bez­pe­če­nie dát. Má­me fi­rewal­ly, kto­ré nie­len ob­me­dzu­jú pre­vádz­ku, ale aj chrá­nia pred mal­vé­rom, za­is­ťu­jú pre­ven­ciu na­ru­še­nia, filtru­jú URL a ob­me­dzu­jú prís­tup na ap­li­kač­nej vrstve.

Má­me ta­kis­to pok­ro­či­lú pre­ven­ciu úni­ku dát, sprá­vu uda­los­tí za­bez­pe­če­nia, ochra­nu kon­co­vých bo­dov, šif­ro­va­nie sú­bo­rov, ria­de­nie prís­tu­pu k sie­ti atď.

Pretr­vá­va­jú­ce ri­zi­ká

Zra­ni­teľ­nos­ti v na­šej infra­štruk­tú­re však stá­le exis­tu­jú. Nap­rík­lad pra­vid­lá na­šich fi­rewallov mož­no sprís­niť. Sie­te by sa da­li viac seg­men­to­vať. Od­ol­nosť zá­kla­du bi­to­vej kó­pie náš­ho server­a mož­no ďa­lej zvý­šiť.

Mu­sí­me zlep­šiť aj ria­de­nie op­ráv a ochra­nu kon­co­vých bo­dov a je ne­vyh­nut­né ne­ja­ko zvlád­nuť aj tzv. ne­ma­na­žo­va­né za­ria­de­nia. Moh­li by sme sprís­niť aj filtre pre URL, za­blo­ko­vať ris­kan­tné ap­li­ká­cie a ro­biť viac kon­trol.

Chcel by som za­viesť aj úpl­né šif­ro­va­nie dis­ku pre všet­ky kon­co­vé bo­dy. To bu­de ľah­šie us­ku­toč­niť, pre­to­že za­ují­ma­vé rie­še­nie Mic­ro­soft Bit­Loc­ker je už sú­čas­ťou na­šej pod­ni­ko­vej li­cen­cie.

Na zvý­še­nie od­ol­nos­ti kľú­čo­vej infra­štruk­tú­ry by sme ma­li vy­užiť na­še sú­čas­né tech­no­ló­gie. Ďal­šie ús­po­ry mô­že­me do­siah­nuť roz­ši­ro­va­ním fun­kcií za­bez­pe­če­nia de­le­go­va­ných do za­hra­ni­čia.

Tech­no­ló­gie sú na za­is­te­nie bez­peč­nos­ti, sa­moz­rej­me, skve­lá po­moc, ale nik­dy sa im ne­po­da­rí eli­mi­no­vať všet­ky in­ci­den­ty. Me­dzi prob­le­ma­tic­ké pa­tria phis­hin­go­vé úto­ky, so­ciál­ne in­ži­nier­stvo, sťa­ho­va­nie ne­pria­teľ­ských prog­ra­mov mi­mo sie­te či ne­žia­du­ce úni­ky dát.

Čo má to všet­ko spo­loč­né? Pou­ží­va­te­ľov. Po­ve­dal by som, že by sa asi šty­ri pä­ti­ny na­šich bez­peč­nos­tných in­ci­den­tov ne­mu­se­li stať, ke­by niek­to mys­lel na bez­peč­nosť. To je aj dô­vod, pre­čo oča­ká­vam, že sa nám v nas­le­du­jú­com ro­ku op­la­tí väč­šie za­me­ra­nie na po­ve­do­mie a ško­le­nia o bez­peč­nos­ti.

Prí­nos­né ško­le­nia

Už te­raz má­me po­vin­né ško­le­nia na zvý­še­nie všeo­bec­né­ho po­ve­do­mia a všet­ci za­mes­tnan­ci sa na ňom mu­sia zú­čas­tniť raz roč­ne a mu­sia potvr­diť, že mu ro­zu­me­jú. Chcem však ten­to prog­ram poz­dvih­núť na vy­ššiu úro­veň.

Po pr­vé to bu­de zna­me­nať roz­ší­re­nie ob­sa­hu. Pou­ží­va­te­lia sa bu­dú s ma­te­riál­mi oboz­na­mo­vať po­mo­cou krát­kych in­for­ma­tív­nych kur­zov o kon­krét­nych té­mach z ob­las­ti za­bez­pe­če­nia aj dodr­žia­va­nia pred­pi­sov. Spo­lup­ra­co­vať chcem s vý­uč­bo­vým tí­mom na pos­ky­to­va­nie po­vin­né­ho dopl­nko­vé­ho ško­le­nia pre niek­to­rých za­mes­tnan­cov na zá­kla­de ich pra­cov­né­ho za­ra­de­nia.

Nap­rík­lad di­ví­zia vý­sku­mu a vý­vo­ja by ma­la mať ško­le­nie oh­ľa­dom za­bez­pe­če­nia ap­li­ká­cií, tech­ni­ci lin­ky tech­nic­kej pod­po­ry by sa za­se ma­li zú­čas­tniť na kur­zoch o so­ciál­nom in­ži­nier­stve a reak­cii na in­ci­den­ty.

Čle­no­via práv­ne­ho od­de­le­nia by, nao­pak, ma­li dos­tať kur­zy o tom, aké sú dôs­led­ky pred­pi­su PCI pre ob­las­ti súk­ro­mia a za­bez­pe­če­nia, a za­mes­tnan­ci ko­mu­ni­ku­jú­ci so zá­kaz­ník­mi by sa ma­li vzde­lať v ob­las­ti nak­la­da­nia s dá­ta­mi.

Bu­dem sa sna­žiť aj o to, aby sa po­ve­do­mie o bez­peč­nos­ti dos­ta­lo do náš­ho orien­tač­né­ho prog­ra­mu pre no­vých za­mes­tnan­cov, a ak to bu­de mož­né, bu­dem mať na svo­jich ces­tách po exter­ných pra­co­vis­kách pred­náš­ky o za­bez­pe­če­ní.

Ok­rem roz­ší­re­né­ho ško­le­nia by som rád pra­cov­ní­kov bom­bar­do­val pri­po­mien­ka­mi zvy­šu­jú­ci­mi ich zna­los­ti o bez­peč­nos­ti, pre­to­že čas­té pri­po­me­nu­tia po­sil­ňu­jú prí­nos ško­le­nia, kto­ré sa ko­ná len raz roč­ne.

Nap­rík­lad mám v plá­ne pre­sa­diť šet­ri­če ob­ra­zo­viek ob­sa­hu­jú­ce bez­peč­nos­tné té­my do všet­kých kon­co­vých bo­dov s ope­rač­ným sys­té­mom od fir­my Mic­ro­soft. V na­šich od­dy­cho­vých pries­to­roch má­me mo­ni­to­ry, kto­ré zob­ra­zu­jú pre­daj­né kvó­ty, mar­ke­tin­go­vé ma­te­riá­ly a ďal­šie ozná­me­nia spo­loč­nos­ti. Pre­čo k to­mu z ča­su na čas nep­ri­dať ob­ra­zov­ku s pri­po­me­nu­tím zá­sad ochra­ny dát?

Na­ko­niec hod­lám na vy­hod­no­co­va­nie efek­ti­vi­ty ško­le­nia raz za čas ro­zo­sie­lať e-mai­ly za­mas­ko­va­né ako phis­hin­go­vé úto­ky a po­tom ro­biť šta­tis­ti­ky, koľ­ko za­mes­tnan­cov sa na náv­na­du chy­ti­lo.

Ak bu­dem svo­ju prá­cu ro­biť dob­re, mal by sa ten­to po­čet ča­som zmen­šo­vať. Ten­to prís­pe­vok do Zá­pis­ní­ka ma­na­žé­ra pre bez­peč­nosť na­pí­sal sku­toč­ný ma­na­žér bez­peč­nos­ti, kto­rý tu vy­stu­pu­je ako Mat­hias Thur­man. Je­ho pra­vé me­no ani me­no za­mes­tná­va­te­ľa z po­cho­pi­teľ­ných dô­vo­dov neu­vá­dza­me.

Zdroj: Com­pu­terWorld


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter