13-12-2011
W poprzedniej części przedstawiono problem bezpieczeństwa IT w firmie i zagrożenia, jakim są błędy z winy pracownika. Ponieważ pracownik jest tylko człowiekiem, to może popełnić jakiś kolosalny błąd związany z bezpieczeństwem, nawet mimo swoich najlepszych intencji. Dlatego pracownik powinien mieć dostęp jedynie do tych zasobów i danych firmowych, które są mu niezbędne do pracy.
Polityka dostępów i uprawnień
W sektorze małych i średnich przedsiębiorstw w wielu przypadkach okazuje się, że pracownik nie potrzebuje ŻADNEGO dostępu do innych zasobów (np. ważne pliki firmowe, specjalne aplikacje, wyniki pracy innych pracowników). Dostęp do adresu e-mail oraz swoich wyników pracy może mieć on-line. W takiej sytuacji komputer pracownika jest „osobna wyspą” i nie stanowi potencjalnej bramy do włamania do sieci firmowej.
Bezpieczne korzystanie z Internetu
Pracownik podczas szkolenia powinien być uwrażliwiony, by ostrożnie korzystać z Internetu pochodzących z niepewnych źródeł np. sieć bezprzewodowa sąsiada albo w jakimś publicznym miejscu, ponieważ może się okazać, że taka sieć służy komuś np. do wykradania haseł. Nawet zwykłe przeglądanie stron internetowych może się skończyć tym, że niechcący pracownik zainstaluje złośliwe oprogramowanie.
Oprogramowanie antywirusowe
Naturalnie pracownik powinien korzystać z oprogramowania antywirusowego. Czasami mogą być problemy z licencją, kiedy chce się zainstalować antywirusa na komputerze domowym pracownika, dlatego alternatywą może być darmowy nawet do użytku komercyjnego Comodo.
Skomplikowane hasła łatwe do zapamiętania
Hasła to niestety zmora dla dużego odsetka pracowników. Łatwe hasła typu „qwerty” albo „piotr” nie stanowią żadnego zabezpieczenia i łatwo je złamać specjalistycznym oprogramowaniem. Jednym z popularnych systemów łamania haseł jest np. tzw. metoda słownikowa, która polega na wpisywaniu jako hasło prawdziwych słów występujących w słowniku. Także odpowiedzi w pytaniach pomocniczych w razie zapomnienia hasła mogą być zgubne. Był przypadek osoby, która nie miała żadnych podstaw informatycznych kradła ludziom numery GG odpowiadając „Pizza” na pytanie „Twoja ulubiona potrawa”. Dlatego należy unikać łatwych odpowiedzi w pytaniach pomocniczych, a najlepiej wybierać inne sposoby zabezpieczenia w przypadku zapomnienia hasła. Tym przykładem przechodzimy do inżynierii społecznej, czyli sposobów wykradania haseł wykorzystując łatwowierność lub niewiedzę użytkownika. Cyberprzestępcy stosują inżynierię społeczna z dwóch powodów: albo zabezpieczenia techniczne są zbyt trudne do złamania (np. strony banków) albo nie posiadają odpowiednich umiejętności. Wykraść dane może osoba o umiejętnościach przeciętnego internauty. Jedną z metod inżynierii społecznej jest tzw. phishing i polega na tym, że np. wchodzimy na stronę, która przypomina stronę naszego banku i prosi o podanie danych karty kredytowej, ale w istocie nią nie jest. Dla przykładu zamiast na stronę „inteligo.com” wchodzi „lnteligo.com” (zamiast „i” mamy „l”, które wygląda jak duże „i”). Dlatego należy zwracać uwagę na adres strony WWW i certyfikat SSL. Inżyniera społeczna może też przybrać inną formą np. ktoś może zadzwonić i podawać się za pracownika obsługi klienta banku i w celu potwierdzenia ostatniej transakcji telefonicznie poprosi o dane karty kredytowej. Dlatego haseł nie należy podawać osobom trzecim! Za pomocą inżynierii społecznej można wykraść także trudne hasła.
Trudne hasła (np. zbitek liter, liczb i znaków specjalnych) mają tą wadę, że łatwo je zapomnieć. Najgorszym rozwiązaniem jest zapisanie haseł i loginów na kartce, a następnie przyklejenie jej do komputera. Hasło powinno być trudne do złamanie, lecz łatwe do zapamiętania. Świetną stroną do tworzenia trudnych haseł, ale łatwych do zapamiętania jest fabrykahasel.pl.
Zapora sieciowa
Firewall to zapora sieciowa, która ogranicza podejrzany ruch w kierunku naszego komputera i chroni przed niepowołanym dostępem do niego. Często zapora sieciowa jest wbudowana w system operacyjny np. Windows. Można też zainstalować dodatkowego firewall. Jest dużo darmowego oprogramowania tego typu.
Geswall to aplikacja z grupy programów typu Intrusion Prevention System, które wykrywają i zapobiegają włamaniom. W szczególności chronią przed keyloggerami, czyli programami, które sczytują wszystko, co użytkownik wpisze na klawiaturze, w tym hasła i loginy.
Utrata danych
Inny ryzykiem związanych z danymi jest ich utrata. Dane można stracić z powodu awarii lub ludzkiego błędu. Najlepszym przeciwdziałaniem jest automatyczny backup. Kopie zapasowe można tworzyć, dzięki synchronizacji w DropBox. Dane zapisywane na komputerze są automatycznie kopiowane na serwery DropBox, dzięki czemu są później dostępne on-line. W darmowej wersji DropBox oferuje 2GB miejsca.