Najčastejšia predstava o bezpečnosti v rámci spoločnosti je, že všetko ohľadom nej je drahé. V základoch informačnej architektúry to tak skutočne môže byť. Je potrebné investovať do solídnych pilierov bezpečnosti v zmysle bezpečného kódu a certifikovaných riešení. Ak však všetko po hardvérovej a softvérovej stránke je nastavené tak, ako má, je možné urobiť ešte niečo naviac? Určite áno. Je nevyhnutné venovať čas, prípadne aj prostriedky do vlastných zamestnancov. Do ich vzdelávania v oblasti bezpečnosti. Poskytnúť im interne, alebo formou externého experta, či online školenia niekoľko rád, ktorých cena je, vzhľadom na efekt, aký bude dodržiavanie naučených pravidiel mať, zanedbateľná. Nižšie uvedené zásady sú jednoduché na aplikáciu aj osvojenie. Nevyžadujú žiadne špecifické zručnosti, no napriek tomu ich dodržiavanie v praxi môže mať aktíva zachraňujúci efekt.
Dodržiavajte, aby zamestnanci pracovné prostriedky používali len na pracovné účely
Je veľmi potrebné zamestnancom vysvetliť a nariadiť, aby používali Vami pridelené pracovné prostriedky (USB, notebooky, mobilné telefóny, tablety...) len na výkon pracovných činností. Ak vo Vašej firme nemáte politiku BYOD (z angl. „bring your own device“ – používaj súkromné zariadenie na pracovné účely, písali sme o nej v minulom článku), alebo ste nepovolili používanie firemných zariadení na súkromné účely, tak zamestnanci musia vami pridelené pracovné prostriedky používať len na uchovávanie, prenos a spracúvanie pracovných dát. Nedodržiavanie nastavených pravidiel a možné nekontrolované pripájanie vami pridelených USB, či externých diskov (určených na pracovné činnosti) do ich súkromných notebookov, nad ktorými ako zamestnávateľ nemáte kontrolu, môže spôsobiť ich „infikovanie“ škodlivým programom, ktorý, po pripojení do vašej pracovnej siete je schopný infiltráciu rozšíriť ďalej. Uvedené pravidlo je potrebné formalizovať do vami vynucovanej politiky, ktorej porušenie bude možné kvalifikovať, ako závažné porušenie pracovnej disciplíny aj s pracovnoprávnymi následkami.
Silné heslo chráni obsah
Každý zamestnanec má zodpovednosť za svoju prácu a jej výsledky. Je potrebné, aby si zamestnanci chránili ich výsledky práce, a tým aj aktíva firmy nielen autorsky, či záverom zmluvne, ale aj silným heslom. Nevyhnutnosťou je, aby mali zamestnanci na rovnakých pracovných pozíciách, roliach, nastavenú adekvátnu ochranu ich „pracovných“ prostriedkov (takýto prístup sa nazýva RBAC, z angl. „Role-based access control“). Základom pre bezpečný prístup do systémov je dvojfaktorová autentifikácia. Teda vstup napríklad zadaním číselného kódu, a následne aj potvrdenie hlasom, či iným sekundárnym heslom. Samozrejmosťou je, že heslo do pracovného zariadenia nebude totožné s heslom, ktoré zamestnanec používa pre vstup do vlastného súkromného zariadenia, či do iného pracovného zariadenia (nebude mať totožné heslo do pracovného mobilu a notebooku). Obdobne platí, že uvedené heslo, či heslá bude poznať len on. Tiež platí, že pre prípady neočakávaných skutočností/udalostí sa bude možné k heslu zamestnanca dostať vhodným selfmanagement mechanizmom (napríklad heslo uvedené v zapečatenej obálke a pod.).
Nie je možné opomenúť, že heslá sa zásadne nezdieľajú. Je neakceptovateľné, aby sa pod prihlasovacím heslom jedného z vašich zamestnancov prihlasovali aj iní, ktorým toto heslo „potichu“, prípadne s vaším vedomím poskytol. V prípade, ak by sa stal bezpečnostný incident, jednak nebude možné jednoznačne zistiť osobu, ktorá fyzicky používala zariadenie v čase útoku. Následným efektom takéhoto zdieľania hesiel je, že ak sa o takejto „politike“ dozvie poisťovňa, môže byť pre ňu takýto prístup k firemnej bezpečnosti považovaný za porušenie zmluvných podmienok a dôvod na prípadné nevyplatenie poistného plnenia (napríklad pri poistení vašej firmy proti škodám spôsobeným kybernetickými bezpečnostnými rizikami).
Investujte do zálohovacích riešení
Napriek tomu, že si myslíte, že máte všetko vo vašej spoločnosti zaistené na sto percent sa vždy môže stať niečo, s čím ste nepočítali. Napríklad serverovňu vytopí, lebo strecha nad ňou nebola správne izolovaná. V prípade, ak nemáte dôležité údaje v cloude, či už vlastnom, súkromnom alebo štátnom, nič nepoteší viac, ako záloha dôležitých dát, hoc aj na niekoľkých vysokokapacitných externých diskoch. Je dôležité pamätať aj na zálohovanie, minimálne podstatných aktív a informácií, bez ktorých vaša malá, či veľká firma nemôže riadne vykonávať svoje podnikanie, či poskytovať služby. S ohľadom na vaše finančné možnosti, veľkosť vašej firmy a stanovenie si potrebných a podstatných aktív je vhodné investovať do zálohovacích riešení a do zvýšenia vyspelosti procesov riadenia kontinuity činností. Druhým dôležitým faktom je, aby zálohy boli dostupné konkrétnym osobám, ktoré s ohľadom na ich postavenie musia a majú mať k zálohám prístup. V prípade, ak na zálohovanie používate externé zariadenia, tieto používajte len v čase nahrávania aktuálnych dát, a len na tento konkrétne vymedzený účel. K zodpovednostiam v zálohovaní údajov veďte aj vašich zamestnancov.
Komunikujte bezpečne aj prostredníctvom e-mailu
Pri e-mailovej komunikácii je potrebné tiež mať zavedené a používať niektoré pravidlá. Ak v prílohe mailu posielate údaje, či osobné údaje dohodnutej osobe, vždy ich posielajte zakódované, pričom heslo je zasielané inak, ako v „tele“ samotnej správy, napríklad formou sms správy. Ak očakávate správu od obchodného partnera, v ktorej vám má preposlať kontakt na inú osobu, buďte obozretní, ak je súčasťou odkazu aj URL adresa. Reálna URL adresa sa po umiestnení kurzora na zaslaný odkaz bez rozkliknutia zobrazí vedľa kurzora, alebo v okienku v ľavom dolnom rohu stránky. Pokiaľ nie je možné takouto jednoduchou kontrolou zistiť, kam odkaz vedie, radšej naň neklikajte a mail bez kliknutia pošlite osobe, ktorá sa vo vašej firme venuje prevereniu takýchto mailových správ. Až potom, ako vám potvrdí, že je odkaz korektný, kliknite naň, nie skôr.
Vyššie sme uviedli len niekoľko rád, ktorých dodržiavanie vašimi zamestnancami môže mať veľmi pozitívny efekt, ktorý sa odrazí aj v ich súkromnom živote. Potrebujete poradiť konkrétne, sme tu pre Vás. Píšte na info@isecure.sk