Am vorbit deja despre pericolele cele mai importante care pot afecta buna funcţionare a unui sistem informatic, aşa că hai să vedem împreună ce putem face pentru a preveni apariţia acestor probleme.
Politici de securitate și pregătirea personalului
Se spune că un lanț este la fel de puternic ca veriga lui cea mai slabă. Același lucru este valabil și pentru „lanțul” securității IT. Tocmai din acest motiv, nu trebuie neglijat niciun aspect din acest „lanț”. De multe ori, breșele cele mai mari nu apar în detalii tehnice, ci în lipsa de vigilență sau de pregătire a propriilor angajați.
Pe acest lucru se bazează și mulți din virușii pe care îi primiți prin e-mail. Fiind foarte noi, nu sunt ușor recunoscuți de programele antivirus și sunt de cele mai multe ori deghizați în fișiere comune, utile (cum ar fi documentele Word), în mail-uri cu subiecte de genul „factură scadentă”, „plăți” și altele. În general, se apelează fie la ce ne îngrijorează cel mai tare (plata facturilor), fie la amabilitatea, pentru unii înnăscută, cu care răspundem la apelul unui necunoscut care ne cere ajutorul.
Un virus nu doar încetinește calculatorul. Prin intermediul lor se pot virusa ale calculatoare, se pot corupe fișierele din rețea sau se poate obține accesul la alte echipamente vitale din cadrul unei rețele (server-ul de fișiere, server-ul de e-mail etc).
Este foarte important ca angajații să fie instruiți să nu ofere datele proprii de acces persoanelor necunoscute sau neverificate. Orice solicitare a informațiilor de acces ar trebui tratată cu suspiciune. Oferirea acestor informații ar trebui rezervată exclusiv departamentului IT.
Probleme cauzate de foştii angajați
Nu o dată am văzut foști angajați care au încercat să se răzbune pe compania care i-a dat afară prin diverse mijloace. Unele din ele sunt legate de IT și mi se pare important să le aveți în vedere:
1. Declanșarea unui control al Oficiului Român al Drepturilor de Autor (ORDA) – Angajatul a făcut o reclamație, iar firma s-a trezit cu un control din partea ORDA. În unele situații nu numai că nu aveau licențe pentru toate soft-urile folosite, dar nici licențele pe care le aveau nu erau documentate suficient de bine astfel încât să poată prezenta o situație coerentă.
2. Modificarea paginii de Facebook a companiei, cu evenimente fictive și diverse alte informații – Angajatul care plecase era și cel care administra pagina de Facebook, angajatorul a greșit când a lăsat ca pagina de Facebook a firmei să fie creată cu adresa de e-mail a angajatului care se ocupa de administrare. Când a părăsit compania, a plecat cu tot cu datele de acces, evident fără să închidă acea pagină și a ales să anunțe în continuare tot felul de evenimente dăunătoare pentru firmă, pentru amuzamentul său personal.
3. Preluarea controlului asupra domeniului web (în consecință și asupra mail-urilor) – La fel ca în cazul referitor la pagina de Facebook, un angajat a putut controla ulterior atât ce afișează site-ul web al fostului angajator, dar și unde ajungeau e-mail-urile, ținând domeniul companiei „ostatic”.
4. Accesul atribuit greșit la fișiere foarte importante - O fostă secretară, care nu avea accesul restricționat la un fișier Excel cu o listă de potențiali clienți interesați de produsele vândute, strânsă după o investiție foarte mare în marketing, timp de un an, a plecat din firmă cu acele date la concurență. În nici două zile, acei potențiali clienți erau contactați de firma competitoare.
Recomandarea noastră este să încheiați o înțelegere scrisă cu angajații, pe care aceștia să fie obligați să o semneze și în care să-și asume printre altele si:
- că nu vor instala programe fără licență / obținute ilegal pe calculatorul companiei. Astfel, în cazul în care cineva decide totuși să instaleze software piratat, va fi răspunderea sa și nu a administratorului firmei;
- că vor preda toate datele de acces primite sau pentru conturile create de ei la părăsirea companiei;
- că vor folosi e-mail-ul și alte mijloace de comunicare oferite de angajator doar în scop de serviciu, asumându-și astfel că, dacă ajung și date cu caracter personal acolo, este strict răspunderea lor.
Asigurați-vă că există o procedură clară în momentul în care un angajat părăsește compania, care să aibă în vedere schimbarea tuturor parolelor cunoscute de acesta. Verificați ca aceasta se și respectă. Contactarea departamentului IT ar trebui să fie responsabilitatea șefului direct.
Siguranța ca un cumul de măsuri
Informatiile vitale ale unei companii n-ar trebui să fie niciodată acoperite de o singură măsură de siguranță. Expresia „backup la backup” nu este atât de exagerată pe cât pare. Să ne întoarcem la lista de la începutul acestui articol:
Securitatea datelor - De fapt aici sunt două aspecte:
a. Trebuie să ne asigurăm că datele nu se pierd (avem nevoie de ele).
- dacă nu avem backup, putem pierde datele;
- dacă nu ne asigurăm că are acces doar cine trebuie la date, le putem pierde și dacă avem backup;
- oricâte măsuri de securitate ne luăm, un atacator va încerca să se folosească de veriga cea mai slabă. Și dacă aceasta (de cele mai multe ori un utilizator sau angajat) nu este pregătită să identifice și evite amenințarea, pierdem datele;
- dacă nu avem o strategie bine pusă la punct pentru întreținerea infrastucturii și a tuturor sistemelor de siguranță, pot apărea breșe. Ați ghicit, pierdem datele.
b. Trebuie să ne asigurăm că datele sunt disponibile doar celor care trebuie să aibă acces la ele, departe de ochii curioșilor.
- dacă nu ne protejăm conturile corespunzător, cineva poate obține acces la ele și datele ne sunt compromise;
- dacă nu verificăm identitatea celor cărora le dăm acces la sistemele și datele noastre s-ar putea să permitem cuiva rău intenționat să le acceseze, iar datele ne sunt compromise.
După cum vedeți, este nevoie de mai multe măsuri de securitate, care să conlucreze și să funcționeze corect pentru a ne proteja unul din cele mai importante bunuri ale unei companii: datele.
Întrebați-i pe cei din jur dacă li s-a întâmplat să piardă informații stocate pe calculator. În majoritatea cazurilor e vorba de date personale, poze din călătorii, muzica sau filmele favorite. În cazul unei afaceri, datele sunt mult mai importante: se pierd timp, bani, clienți sau se poate ajunge la faliment.
Comentarii articol (0)