Image
9.2.2016 0 Comments

Najvhodnejšie spôsoby ako budovať internú bezpečnosť

Pri bezpečnostných auditoch vo firmách objavujeme podobné príčiny, ktoré stoja za vznikom vážnych incidentov, poškodzujúcim organizácie. Či už ide o úmyselný únik dát ku konkurencii, stratu prenosného zariadenia alebo nechcené otvorenie cesty externému útočníkovi, spoločným menovateľom ostáva zamestnanec. Mnohé firmy už pristúpili k rôznym opatreniam, ktoré majú zvyšovať bezpečnosť. Je však váš program na zvyšovanie bezpečnostného povedomia účinný, alebo ide o zbytočne vynaložené úsilie?

 

Aj dobrá myšlienka a záujem o zlepšenie bezpečnosti môže mať neblahý koniec. Presvedčili sa o tom napríklad v jednej firme v Českej republike, kde po niekoľkých incidentoch pristúpili k sprísneniu užívateľských práv. Užívatelia nemohli pristupovať na určité webové stránky a obmedzil sa taktiež okruh informácií, ku ktorým mali v interných systémoch prístup. Keďže šlo ale o nekoncepčnú zmenu, veľmi rýchlo sa začali ozývať zamestnanci s tým, že niektoré zakázané zdroje potrebujú pre svoju prácu. Negatívne ohlasy viedli čoraz k väčším výnimkám a dočasným povoleniam a efekt dobre mieneného opatrenia bol jedine ten, že IT oddelenie bolo zavalené hromadou požiadaviek, ktoré muselo každodenne riešiť.

 

Hlavným nedostatkom, ktorý v sebe niesla táto zmena, bol nekoncepčný prístup a nejasné role a zodpovednosti v oblasti informácií. Pokiaľ by existovala ucelená stratégia, revízia prístupových oprávnení by určite priniesla očakávané výsledky. Pred zavedením opatrenia podobného typu vidíme väčší úspech vo firmách, ktoré na začiatku analyzujú, čo je aktuálne využívané a potrebné, a čo nie je. Je dobré komunikovať so zamestnancami čo najviac, vysvetliť im dôvody nových opatrení a zmeny v ich práci, nech už ide o zavedenie šifrovania médií alebo blokovania webu.

 

Podobným prípadom bolo obmedzenie externých zariadení v ďalšej firme. Keďže neexistoval schválený informačný kanál, akým by si zamestnanci bezpečne nosili dáta mimo firmu, viedlo opatrenie k tomu, že si ich preposielali cez uložto a súkromné cloudy. Jeden bezpečnostný problém bol proste nahradený druhým.

 

Celkom očividná chyba v tomto prípade bolo to, že pre ľudí nebol pripravený alternatívny bezpečný spôsob ako prenášať informácie. Pre tieto účely môže byť použitý napríklad súkromný firemný cloud alebo šifrované FTP, ktoré prinesú zamestnancom bezpečnú metódu zdieľania dát aj mimo firmu. Ale aj v tomto prípade platí to, že pokiaľ nebudú zamestnanci preškolení na použitie tejto cesty, nie je možné aby bolo opatrenie efektívne nasadené.

 

Vo všeobecnosti sa nejedná zďaleka len o IT problémy. Nedostatočná pozornosť na zamestnancov a ich potreby, nejasnosť v roliach a zodpovednostiach a nezavedené procesy vedú k vyššej pravdepodobnosti, že incident nastane. Okrem toho, je to základ, bez ktorého sa nedá pokračovať ďalej. Videli sme v praxi už oba extrémy - aj prípady kedy boli zavádzané opatrenia z rôznych dôvodov nefunkčné (viď príklady vyššie) ale aj situácie, kedy sa vďaka záujmu o bezpečnosť posunula morálka a kultúra celej firmy.

 

Bezpečnostný audit v jednej menšej firme v hlavnom meste napríklad ukázal, že niekoľko kľúčových zamestnancov pravidelne prehľadáva nové pracovné ponuky a ich produktivita v čase klesá. Riaditeľka firmy zvolila zlepšiť vnútrofiremnú komunikáciu a povzniesť firemnú kultúru, namiesto postihov a zákazov. V tomto prípade šlo o zásah do čierneho, pri workshopoch mali možnosť zamestnanci vyjadriť sa k témam, ktoré vnímali ako dlhodobo problematické. Zavedenie teambuildingov prinieslo zlepšenie vzťahov na pracovisku. Zamestnanci majú pravidelné školenia a taktiež kolaborovali na príprave smerníc a pravidiel na pracovisku.

 

Je ale samozrejmé, že v mladších kolektívoch a menších “rodinných” firmách sú podobné zmeny jednoduchšie. Pri radikálnejších zmenách v strednej a väčšej firme je potrebné držať sa dlhodobejšej stratégie a zavádzať ich postupne. Podpora vedenia je taktiež dôležitá, ale je dôležité taktiež dosiahnuť to, aby mal nižší a stredný management rovnaký záujem na zmenách kvôli zlepšeniu bezpečnosti.

 

Je dobré pamätať taktiež na to, že k danému prostrediu a kultúre firmy je potrebné prispôsobiť aj internú komunikáciu, pokiaľ majú byť napríklad bezpečnostné školenia ale aj politiky funkčné a efektívne. Pre mladšie kolektívy do 30 rokov sa nám napríklad osvedčilo zvoliť jednoduché pripomínanie vhodného správania, v písomnej forme napríklad doplnené vtipným obrázkom. Taktiež je možné zvoliť familiárnejšiu reč a nie je nutné toľko vysvetľovať technické termíny, keďže ich väčšinou všetci poznajú. O niečo staršie kolektívy si zaslúžia individuálnejší prístup a jednoduché vysvetľovanie, ideálne znázornené v praxi.

 

Aby sme sa však vrátili k technológiám, existujú mnohé softwarové nástroje, ktoré dokážu pomôcť k zlepšeniu internej bezpečnosti. Pre odhalenie možných problémov veľa firiem používa auditné nástroje, ktoré dokážu detegovať bezpečnostné problémy. Pre následné nastavenie prístupových oprávnení ku konkrétnym webovým alebo lokálnym informačným zdrojom je možné využiť softwarové a hardwarové riešenia. V edukácii zamestnancov a najvyššej ochrane najcitlivejších dát pomôžu DLP systémy. Existuje taktiež celá škála produktov pre ochranu mobilných zariadení a systémov na cloude.

 

Kľúčové je uvedomiť si, že zamestnanci firmy tvoria firmu samotnú a sú neoddeliteľnou súčasťou bezpečnostnej architektúry. Vyššie spomínaný bezpečnostný software môže výrazne napomôcť na zabezpečení pracovného prostredia, ale netreba zabúdať aj na zamestnancov samotných. Každopádne odporúčame zavádzať akékoľvek zmeny s rozmyslom a po dôkladnom plánovaní, aby sa z dobrej myšlienky nestala nepodarená realita.

 

Meno: Matej Zachar
Pozícia: Project & Security Manager
Firma: Safetica Technologies s.r.o.

 

Pozn.: Článok neprešiel redakčnou jazykovou úpravou.

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá