În ultimele luni am asistat la o avalanșă de atacuri împotriva unor companii cu mare vizibilitate în peisajul de afaceri internațional, precum Ubisoft, Google, Facebook sau Twitter, dar și asupra unor instituții de stat printre care NASA sau FBI, cu rezultate îngrijorătoare la nivel de securitate a datelor și reputație. În timp ce atacurile cu malware produc companiilor cele mai mari pierderi, aproximativ 70% din totalul breselor de securitate sunt rezultatul erorilor umane și a diverselor probleme de sistem și implementare la nivel IT. Iar miza este mare dacă ne gândim că pe lângă datele companiei, informațiile private ale clienților, colaboratorilor sau partenerilor de afaceri pot fi expuse pe net și ulterior folosite în alte atacuri complexe împotriva țintelor vizate.
Companiile, fie ele mari, mici sau mijlocii trebuie să știe că aceste pericole pot fi evitate sau controlate dacă țin seama de câteva reguli simple, dar esențiale, de securitate.
Evaluarea datelor pe care le dețineți. Este important să știți exact și din timp ce anume puteți pierde în cazul unei breșe de securitate. Ce fel de informații dețineți, dacă sunt sau nu confidențiale, cât sunt de importante pentru companie, clienți sau angajați și care sunt riscurile de a pierde controlul acestor date. Odată ce știti ce protejați, veți ști și cum să protejați. Nu vă limitați la o singură măsură sau produs de protejare a datelor. Este capital să folosiți diferite metode de securitate. În caz că unul nu dă rezultate sau se dovedește a fi vulnerabil, rămân celelalte:
Limitarea accesului fizic în spațiul de muncă în cazul tuturor persoanelor neautorizate. Cineva poate sustrage din clădire un server, un laptop sau un hard-disk cu date importante. Informațiile secrete pot fi stocate în diferite locații și protejate printr-un sistem de acces care să limiteze la minim numărul persoanelor autorizate în spațiile dedicate.
Configurarea arhitecturii rețelei trebuie făcută în așa fel încât să se poată interveni rapid pentru a se izola o infecție, să spunem, la nivelul unei singure subrețele, prevenind astfel răspândirea infecției în toată rețeaua departamentului sau a companiei. Acest lucru minimizează impactul pe care l-ar putea avea un atac care a reușit să penetreze prima linie defensivă. Un firewall bine configurat poate face minuni. Asigurați-vă că cine vă configurează firewall-ul știe ce face.
Punctele de access (Hot spots) neautorizate trebuie interzise cu desăvârșire în cadrul rețelei companiei, iar un dispozitiv care se conecteză la WI-FI-ul autorizat de companie trebuie să permită doar autentificarea bazată pe datele de conectare din domeniu sau cu certificate digitale.
Accessul trebuie restricționat în cazul persoanelor care intră în contact cu resursele companiei cu un username și o parolă proprii care să fie schimbate cu regularitate și să aibă un grad ridicat de dificultate. În clipa în care un angajat sau un colaborator și-a încheiat activitatea în companie, datele de autentificare ale acestuia trebuie imediat anulate.
Un antivirus competitiv bazat pe tehnologii anti-spam, anti-phishing și anti-malware care să ruleze la gateway este vital împotriva atacurilor de tip phishing sau exploit.
Cursuri de securitate ținute cu regularitate angajaților. Fiecare trebuie să știe să recunoască un mesaj de tip phishing, să știe cum să trateze fișierele atașateîn e-mail-uri, săle scaneze și, foarte important, să raporteze departametului de IT orice incident sau situație care li s-a părut suspectă.
Folosirea de parole diferite pentru conturi diferite. Evitarea conectării la conturi personale folosind resursele companiei. Evitarea publicării pe conturile personale din diferite rețele de socializare a informațiilor ce privesc compania angajatoare. Uneori din greșeală, un angajat poate furniza date care ajută un atacator să pătrundă în rețeaua unei companii.
O atitudine rezervată față de BYOD (bring your own device). Angajații care aduc în firmă și folosesc la muncă propriile dispozitive, trebuie să fie conștienți că smart phone-ul, tableta, laptop-ul pot reprezenta o provocare mare pentru departamentul de IT al companiei. Este important ca fiecare device care rulează un sistem de operare diferit să aibă update-urile de securitate la zi și să fie incluse în rețeaua securizată a firmei când rulează din firmă.
Asta nu elimină total riscul unui incident neplăcut de securitate, atâta timp cât se conectează cu telefonul la internet prin rețele WI-FI în cafenele sau aeroporturi unde pot să se infecteze cu un virus, să-l aducă apoi în firmă și să compromită întreaga rețea a companiei. La fel de grav este și dacă un angajat pierde telefonul sau tableta pe care păstrează informații legate de serviciu care ajunse în mâini nepotrivite pot să aibă impact devastator asupra business-ului.
Segmentarea este esențială. Atat la nivelul resurselor, unde, de exemplu, serverul de mail și serverul folosit pentru conectarea la net trebuie să fie diferite, cât și la nivelul informațiilor pe care le dețin angajații cu privire la companie. Toate informațiile suplimentare pot ajunge în posesia unei persoane rău-intenționate și folosite împotriva companiei.
Whitelisting-ul are rezultate mai bune decât blacklisting-ul. Companiile pot configura rețeaua în așa fel încât angajații să poată accesa doar site-uri care au fost în prealabil verificate de personalul calificat și aprobate ca ca fiind sigure și fără risc de atac. Site-urile considerate periculoase pot fi blocate din firewall și astfel din companie nimeni nu se poate conecta la acestă locație web chiar dacă, de exemplu, cineva a dat click pe un link periculos sau a deschis un fișier atașat periculos. De foarte multe ori angajații se pot infecta prin intermediul rețelelor sociale precum Facebook. Puteți fie restrictiona accesul la aceste resurse sau puteți să oferiți training de securitate pentru folosirea rețelelor sociale.
Toate aceste măsuri de securitate trebuie să facă față unor obiceiuri mai puțin sigure ale utilizatorilor. Pierderea sau distrugerea în totalitate sau parțială a datelor poate avea efecte dezastruoase asupra securității și integrității unei companii. Astfel, dacă nu doriți să ajutați un străin să vă facă rău dumneavoastră sau companiei pentru care lucrați, folosiți discreția atunci când vă actualizați contul de pe rețeaua de socializare preferată cu date care țin de viaţa privată sau profesioanlă.