Zajištění vyšší bezpečnosti nemusí stát spoustu peněz

25. 12. 2014

Sdílet

 Autor: © alphaspirit - Fotolia.com
Ani jedna ze dvou nejvyšších bezpečnostních priorit našeho manažera bezpečnosti pro nadcházející fiskál nebude představovat velké investice.

Je období rozpočtů, což znamená, že jsem začal vytvářet seznam svých přání ohledně bezpečnostních specialit, které bych chtěl pořídit. Dávám přednost tematickému seznamu přání. Před rokem to byla ochrana dat. Do prevence ztráty dat a šifrování souborů jsme díky tomu významně investovali.

Pro nadcházející rok mám témata dvě: Zvýšit odolnost našeho ochranného jádra a vzdělávat uživatele. A nebudu ani muset pro žádný z těchto cílů žádat moc peněz.

Za posledních pár let jsme vybudovali docela slušný arzenál nástrojů pro zabezpečení dat. Máme firewally, které nejen omezují provoz, ale také chrání před malwarem, zajišťují prevenci narušení, filtrují URL a omezují přístup na aplikační vrstvě.

Máme také pokročilou prevenci úniku dat, správu událostí zabezpečení, ochranu koncových bodů, šifrování souborů, řízení přístupu k síti atd.

 

Přetrvávající rizika

Zranitelnosti v naší infrastruktuře však stále existují. Například pravidla našich firewallů lze zpřísnit. Sítě by šlo více segmentovat. Odolnost základu bitové kopie našeho serveru je možné dále zvýšit.

Musíme zlepšit i správu oprav a ochranu koncových bodů a je nezbytné nějak zvládnout i tzv. nemanagovaná zařízení. Mohli bychom zpřísnit i filtry pro URL, zablokovat riskantní aplikace a dělat více kontrol.

Chtěl bych také zavést plné šifrování disku pro všechny koncové body. To bude snadnější uskutečnit, protože zajímavé řešení Microsoft BitLocker je již součástí naší podnikové licence.

Ke zvýšení odolnosti klíčové infrastruktury bychom měli využít naše současné technologie. Další úspory můžeme dosáhnout rozšiřováním funkcí zabezpečení delegovaných do zahraničí.

Technologie jsou pro zajištění bezpečnosti samozřejmě skvělá pomoc, ale nikdy se jim nepodaří eliminovat všechny incidenty. Mezi problematické patří phishingové útoky, sociální inženýrství, stahování nepřátelských programů mimo síť či nežádoucí úniky dat.

Co to všechno má společného? Uživatele. Řekl bych, že by se asi čtyři pětiny našich bezpečnostních incidentů nemusely stát, kdyby někdo prostě myslel na bezpečnost. To je také důvod, proč očekávám, že se nám v následujícím roce vyplatí větší zaměření na povědomí a školení o bezpečnosti.

 

Přínosná školení

Už nyní máme povinné školení pro zvýšení obecného povědomí a všichni zaměstnanci se ho musejí zúčastnit jednou ročně a musejí potvrdit, že mu rozumějí. Chci však tento program pozvednout na vyšší úroveň.

Za prvé to bude znamenat rozšíření obsahu. Uživatelé se budou s materiály seznamovat pomocí krátkých informativních kurzů o konkrétních tématech z oblasti zabezpečení i dodržování předpisů. Spolupracovat chci s výukovým týmem na poskytování doplňkového povinného školení pro některé zaměstnance na základě jejich pracovního zařazení.

Například divize výzkumu a vývoje by měla mít školení ohledně zabezpečení aplikací, technici linky technické podpory by se zase měli zúčastnit kurzů o sociálním inženýrství a reakci na incidenty.

Členové právního oddělení by naopak měli dostat kurzy o tom, jaké jsou důsledky předpisu PCI pro oblasti soukromí a zabezpečení, a zaměstnanci komunikující se zákazníky by se měli vzdělat v oblasti nakládání s daty.

Budu také usilovat, aby se povědomí o bezpečnosti dostalo do našeho orientačního programu pro nové zaměstnance, a bude-li to možné, budu mít na svých cestách po externích pracovištích přednášky o zabezpečení.

Kromě rozšířeného školení bych rád pracovníky bombardoval připomínkami zvyšujícími jejich znalosti o bezpečnosti, protože častá připomenutí posilují přínos školení, které se koná jen jednou ročně.

Například mám v plánu prosadit spořiče obrazovek obsahující bezpečnostní témata do všech koncových bodů s operačním systémem od firmy Microsoft. V našich oddechových prostorách máme monitory, které zobrazují prodejní kvóty, marketingové materiály a další oznámení společnosti. Proč k tomu čas od času nepřidat obrazovku s připomenutím zásad ochrany dat?

Nakonec hodlám kvůli vyhodnocování efektivity školení jednou za čas rozesílat e-maily maskované jako phishingové útoky a potom dělat statistiky, kolik zaměstnanců se na návnadu chytilo.

Pokud budu svou práci dělat dobře, měl by se tento počet časem zmenšovat.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

ICTS24