Duomenys prarandami ne tik tuomet, kai nesirūpinama sistemų apsauga. Svarbų vaidmenį atlieka ir žmogiškasis veiksnys. Bet situacija nėra beviltiška – CIO.com apklausti IT profesionalai identifikavo didžiausią verslo saugumo riziką ir patarė, kaip su ja kovoti.
Pavojus įmonės viduje
Anot „Green House Data“ vadovo Cortney Thompsono, vidinės atakos kelia didžiausią grėsmę įmonės informacijai ir sistemoms. Tie darbuotojai, kurie turi priėjimą prie įmonės vidinio tinklo, duomenų centrų, administratorių paskyrų, įmonei kelia didžiausią pavojų. Po atakos prieš „Sony Pictures Entertainment“, sklido kalbos, jog tai ne Šiaurės Korėjos programišių, o pačios įmonės darbuotojų nusikalstama veika.
Sprendimas – atidžiau prižiūrėti svarbiausias darbuotojų paskyras, nedelsiant atjungti tuos, kurie nebėra įmonės darbuotojai. Įmonėms būtina plėtoti infrastruktūrą, kad būtų galima sekti ir įrašinėti svarbiausių darbuotojų veiksmus, perspėti vadovus, kai pastebima įtartina veikla. Taip būtų galima užkirsti kelią įsilaužimui, imtis veiksmų dar esant pačiai pirminei stadijai ir sumažinti galimą žalą.
Neatidūs ir neinformuoti
„SafeLogic“ vadovas Ray Potteris pažymi, jog neatidus darbuotojas, kuris pamiršta slaptažodžiu neapsaugotą „iPhone" telefoną taksi automobilyje, yra toks pat pavojingas verslui kaip ir darbuotojas, kuris bando įsilaužti į sistemas ir nutekinti informaciją. Neturintys įgūdžių saugoti informaciją darbuotojai gali turėti per mažai saugius slaptažodžius, lankytis neįgaliotuose puslapiuose, paspausti nuorodas įtarimą keliančiuose laiškuose arba atidaryti užkrėstus elektroninių laiškų prisegtukus.
Vienintelė galimybė jūsų verslui – užsiimti darbuotojų mokymu. „RoboForm“ rinkodaros vadovas Billas Carey siūlo išmokyti darbuotojus suprasti, kokie pavojai tyko internete, nes kai kurie jų gali nebūti net pagalvoję apie sukčiavimo atvejus, kai norėdami išgauti informaciją piktadariai gali profesionaliai apsimesti kitais asmenimis arba kompanijomis. Ir tai tik vienas iš daugelio pavojų internete. Pasirūpinkite, kad darbuotojai naudotų sunkiai atspėjamus slaptažodžius, sudarytus iš didžiųjų ir mažųjų raidžių, skaičių bei simbolių. Slaptažodžiai turėtų būti keičiami kas 30 ar 60 dienų.
Mobilieji įrenginiai
Anot „BT Americas“ saugumo viceprezidento Jasono Cooko, įmonės atlikto tyrimo metu paaiškėjo, jog per praėjusius metus mobiliųjų įrenginių saugumo spragos paveikė net 68 procentus pasaulio organizacijų. Jo nuomone, rizika itin išauga, kai darbuotojai naudojasi savo į darbą atsineštais įrenginiais – telefonais, planšetiniais ar nešiojamaisiais kompiuteriais. Ypač jei per savo įrenginius dalijasi įmonės duomenimis ar prisijungia prie sistemų.
Sušvelninti darbuotojų naudojimosi savo įrenginiais riziką iš dalies gali hibridinė debesija. Tai darbo aplinkų paskirstymas, kai įmonės gali valdyti svarbiausius išteklius savo saugyklose, o kitus – viešai prieinamose, pavyzdžiui, „Amazon Simple Storage Service“. Savo saugyklose patartina laikyti slaptą informaciją bei programas, o mažiau svarbius archyvus, kurie galėtų būti prieinami darbuotojams dirbant namuose ar per savo įrenginius, viešosiose saugyklose.
Virtualioji debesija
Ko gero, geriausia gynyba prieš tykančias grėsmes debesijoje yra naudotis aukšto lygio šifru, pavyzdžiui, AES 256-bit, kuris būtų pripažintas ekspertų ir užtikrintų, jog trečiosios šalys nepasieks informacijos, net jei ji taps vieša. Praėjusiais metais įvykdyti įsilaužimai rodo, jog dauguma įmonių savo duomenų nešifravo ir papildomai neapsaugojo.
Neatnaujinti įrenginiai
Tokie įrenginiai kaip maršruto parinktuvai ar spausdintuvai, kuriuose įdiegta programinė įranga, gali būti silpnoji grandis apsaugant jūsų verslo duomenis. Todėl juos būtina nuolat atnaujinti ir pasirūpinti, jog jie žengtų koja į koją su saugos priemonių naujovėmis. Pavyzdžiui, „Microsoft“ šių metų liepos 14 dieną nustos atnaujinti „Windows Server 2003“ – tai reiškia, jog 10 milijonų fizinių vartotojų pavirs potencialiais programišių taikiniais.
Siekdami apsaugoti savo verslo duomenis, išsamiai patikrinkite įmonėje veikiančius įrenginius, nustatykite, kuriuos jų reikia atnaujinti. Ateičiai susikurkite strategiją, per kiek laiko nustosite naudotis įrenginiais ar programine įranga, jei ji nebus atnaujinta.
Trečiųjų šalių programinė įranga
Kai technologijos tampa labiau specializuotos, įmonės dažnai pasitiki trečiosiomis šalimis, kurios jiems teikia (angl. outsource) verslui reikalingas paslaugas. Pavyzdžiui, restoranai dažnai kasos aparatų sistemų priežiūrą patiki kitoms įmonėms.
Tačiau „Bomgar“ vadovas Mattas Dircksas pažymi, jog dažniausiai tokios įmonės prie sistemų jungiasi per atstumą, tačiau ne visada pasirūpina geriausia apsauga: „Pavyzdžiui, jie prie visų klientų sąsajų dažnai naudoja tokį pat nuotolinio prisijungimo slaptažodį. Jei programišiai atspėja slaptažodį, jie iškart turi prisijungimą prie visų klientų tinklų.“
Tokiais atvejais protinga pasirūpinti, jog trečiosios šalys prisijungtų tik tada, kai reikia, taip pat naudoti atskirus slaptažodžius, stebėti nepavykusių prisijungimų bandymus.
Užbėkite įvykiams už akių
Pirmiausia turėtumėte suvokti, jog kalbant apie įsilaužimą ir prieigą prie slaptų įmonės duomenų pašaliniams asmenims, svarbus tik laiko klausimas. Kad ir ką veiktumėte, kiek konkurentų rinkoje turėtumėte, greičiausiai kils problemų ir kas nors bandys patikrinti jūsų sistemų apsaugą. Užbėkite įvykiams už akių, stebėkite, su kokiomis problemomis susiduriate dabar, ir nuspręskite, kaip geriausiai galite apsaugoti duomenis. Sudarykite ir krizės sprendimo planą, kaip reaguosite į iškilusią problemą – kaip užkirsite kelią kenkėjui, kaip toliau įmonė tęs veiklą. Būtinai į plano kūrimą įtraukite visus įmonės darbuotojus – nuo IT skyriaus ar valdybos iki teisininkų ar komunikacijos specialistų. Kai tai būsite paruošę, atlikite testus ir išbandykite, kaip tai veikia.
