13 gyakori hiba, amit IT biztonság kapcsán nap mint nap - még mindig - elkövetünk

A tapasztalat azt mutatja, hogy nem lehet elégszer elmondani, melyek azok az alapvető dolgok, amelyekre biztonság terén mindenképpen oda kell figyelni.

A rendszeres figyelmeztetések ellenére is vannak, akik továbbra is elkövetnek bizonyos hibákat. Nekik készült ez a csekklista.

1. Nem megfelelő jelszó

Ne használjunk könnyen kitalálható jelszavakat (születésnap, családtagok és házi kedvencek neve stb.). Ajánlott olyat választani, ami egyaránt tartalmaz kis- és nagybetűt, számot, egyéb írásjelet és nem épít sem a felhasználóhoz, sem a cégéhez köthető kifejezésekre.

2. Ugyanaz a jelszó mindenütt

Bár könnyebbséget jelent, ha különböző felületeken ugyanazt a jelszót használjuk, gondoljunk arra, hogy így egy hekkernek elég egyszer feltörnie a jelszavunkat, és utána mindehová be tud jutni.

3. Túl hosszú ideig használt jelszó

Időről időre a jelszót meg kell változtatni. A legjobb, ha adott időközönként maga a beléptető rendszer kényszeríti erre a felhasználót.

4. Antivírus szoftver hiánya

Ha nem használunk vírusvédelmet, az olyan, mintha tudnánk, hogy egy sorozatgyilkos garázdálkodik az utcánkban, és mi tárt kapukkal aludnánk minden éjjel. Az internetre kapcsolódó rendszerek szinte folyamatosan támadás alatt állnak, a vírusvédelem a kötelező minimum, amit alkalmazni kell.

5. Tűzfal hiánya

A tűzfalak kapuőrként működve a hálózati forgalmat szűrik, csak a biztonságosnak ítélt adatcsomagokat engedve át. Számos formában léteznek, és különféle védelmi szintet tudnak nyújtani.

6. Nem telepített szoftverjavítások

Még a legprofibb rendszerekben is előfordulhat egy frissen felfedezett biztonsági rés. Ilyenkor a szoftver vagy hardver gyártója egy javítást, úgynevezett patch-et bocsát ki, ami befoltozza a hibát. Ha ezt nem telepítjük, akkor biztosak lehetünk benne, hogy csak idő kérdése, mikor érkezik támadás a mindenki számára ismertté vált résen át. Jó hír, hogy a patchek telepítése számos esetben automatizálható. Ha mégsem, akkor oda kell figyelnünk erre a feladatra.

7. Nem megfelelő adatvédelem

Igen szerteágazó kérdésről van szó, hiszen számtalan különféle módja van annak, ahogy felhasználóként kockázatnak tehetjük ki szenzitív adatainkat. Általánosságban elmondható, hogy ne engedjünk hozzáférést illetéktelenek számára, például azzal, hogy nyitva hagyjuk a munkaállomásunkat, amíg ebédelünk, a bizalmas információkat tartalmazó pendrive-ot ne hagyjuk az asztalunkon, ne veszítsük el a céges telefont és még sorolhatnánk.

8. Nem elég szofisztikált hozzáférési rend

Az előző pont ellenpárjaként informatikai oldalról is biztosítani kell, hogy mindenki csak azokhoz az adatokhoz férhessen hozzá, ami a munkavégzéséhez szükséges. Ha például valakit előléptetnek, vagy másik területre kerül, más hozzáférési szabályokat kell rá alkalmazni, és új jelszót kell neki adni.

9. Nem biztonságos wi-fi

Csak azért, mert valahol ingyenes wifibe botlunk, nem célszerű gondolkodás nélkül felcsatlakozni rá. Egy nem céges, jelszóval nem védett, vezetéknélküli hálózaton csak titkosított csatornán kommunikáljunk, ellenkező esetben illetéktelenek könnyen megszerezhetik az adatainkat lehallgathatják a kommunikációnkat.

10. Nem ismert az adattárolás helye

A felhő alapú szolgáltatások elterjedésével nem könnyű nyomon követni, hogy adataink pontosan hol is kerülnek tárolásra. Ha különféle népszerű szolgáltatók ingyenes elérhető tárhelyeit használjuk, akkor ki vagyunk szolgáltatva az ő biztonsági megoldásaiknak, melyek felett semmi kontrollunk sincs. Ezért célszerű professzionális adatközpontokban saját, céges tárhelyeket használni.

11. A biztonsági rendszer nem követi az üzleti szempontokat

Egy jól kialakított biztonsági rendszer elősegíti az üzleti folyamatok akadálymentes működését. Ehhez a vállalatoknak priorizálniuk kell, hogy mely információkat kell törvény szerint védeni, melyek szükségesek elengedhetetlenül  a működéséhez, melyek nem juthatnak ki a konkurenciához stb. A cégnek maximálisan tisztában kell lennie azzal, hogy egy biztonsági incidens milyen károkat okozhat.

12. Nem biztonságos levelezési rendszer

Az e-mailes kommunikáció könnyen lehallgatható, ezért nem mindegy, milyen levelezési rendszert használunk. Ha nem figyelünk oda erre a területre, könnyen kerülhetnek ki a cégtől fontos, szenzitív információk.

13. Katasztrófaterv hiánya

A legalaposabb tervezés és a legjobb technológia alkalmazása mellett is előfordulhat, hogy biztonsági incidens történik. Erre az esetre kipróbált és tesztelt backup-, illetve katasztrófa-tervvel kell rendelkezni.

 

Ajánlott bejegyzések:

Meltdown és Spectre: ijesztőnek tűnő, de kezelhető vészhelyzet

Informatikai biztonság 5 érdekes szempontból