10 первоочередных мероприятий по повышению уровня безопасности вашей сети

Источник: Hi-Tech Security Solutions
Уинн Швартау (Winn Schwartau)

С самого начала необходимо сделать акцент на следующем: безопасность — это не техническая проблема, как склонны утверждать некоторые. Безопасность является и всегда была проблемой человеческого фактора. Так как данная статья написана в большей части нетехнических языке, руководство вашей компании, прочитав ее, сможет понять что-то, что заставит их предусмотреть в бюджете больше, необходимых для лучшей организации системы безопасности.

1. Политика безопасности

Главным является выработка правил. Вам необходимо осознать, что вы собираетесь защищать и почему. О политике компаний в области безопасности говорится много, и на то есть причина: этот вопрос действительно важен.

Иногда такая политика может быть поистине драконовской, когда карманы и сумки у всех обыскиваются при входе и выходе из здания. Компания может принять решение о контроле электронных сообщений, чтении личных писем и их пересылки. Эффективно? Возможно, но можно применять и какие-либо обходные методы. Но какое настроение это создаст у ваших работников?

Выработки политики безопасности является вашим долгом, и частью этого процесса будет выяснение того, где находится наиболее ценная информация, на каких серверах она хранится? Ли резервные копии? У кого они хранятся? Ли копии наиболее важных файлов и как ими распоряжаются? Кто несет ответственность за этот процесс? Кто обеспечивает защиту компании от наводнения, урагана или удара молнии?

Разработать политику безопасности непросто, а еще труднее выполнять, но, тем не менее, это необходимо сделать. Кроме этого, следует помнить, что также как и ваш бизнес, разработка политики безопасности является процессом, который должен постоянно развиваться и изменяться в соответствии с потребностями организации, по мере того, как она растет и меняется.

2. Необходимость знать своих сотрудников

Безопасность — это, прежде всего, проблема людей, и никакая технология в мире не поможет вам решить эту проблему, если только персонал вашей компании не состоит на 100% из роботов.

Значительный процент удачных атак на компьютерные сети вашей компании становится возможным благодаря тем, кому вы доверяете — вашим сотрудникам, а происходит это по целому ряду причин, среди которых:

  • Каким-то образом у них развивается позиция, направленная против интересов компании, и они решают что-то украсть или как-то подорвать ваш бизнес.
  • Они уже не работают в компании, но знают, как получить доступ к ее важным системам.
  • Кто-то со стороны нанимает или заманивает их для совместных действий с целью получения выгоды.

Наиболее часто встречаются проблемами являются простые ошибки, которые могут принести большой вред неподготовленной компании. С грустью следует признать, что мы приближаемся к тому моменту, когда нам необходимо знать о своих работников более чем то, что они сообщают в своей анкете при приеме на работу. На особо ответственных объектах и в отношении компьютерных сетей, возможно следует рассмотреть вариант психологического тестирования сотрудников для того, чтобы узнать, как они могут себя повести в критической, с точки зрения безопасности, ситуации (до того, как такая случится), а также узнать об их моральных принципах, морали, склонностях и склонности. Разумеется, необходимо помнить, что на потенциальных соискателей рабочих мест такая политика может произвести впечатление того, что вы не доверяете своим работникам. Но, с другой стороны, не забывайте, что в руках у ваших системных администраторов находятся ключи к вашему электронном царству. Это от их отношения и квалификации зависит, будут ли ваши системы работать либо рано или поздно остановятся. Правило Caveat Emptor "покупатель действует на свой риск" применимо также и к отношениям работодателя с работниками.

3. Учите свой персонал

Обучение работников и развитие их понимания и осведомленности в области безопасности также должно находиться среди первых пунктов вашей программы безопасности. Постоянно держите ваш персонал в курсе всех аспектов безопасности компании и того, как они могут стать частью системы по обеспечению безопасности. 40% внутренних нарушений правил безопасности не являются умышленными-они вызваны случайностью, ошибкой, упущением или незнанием.

Ваша цель — привлечение персонала на свою сторону так, чтобы работники стали частью решения проблемы, а не частью самой проблемы, и вашей обязанностью является научить их лучшим методам организации работ, корпоративной политике и мерам по повышению уровня безопасности.

Необходимо научить своих сотрудников быть бдительными в отношении событий и людей, каким-то образом способных повлиять на безопасность, распознавать такие события и людей, и осознавать, насколько важно оперативно сообщать о них сотрудникам, ответственным за безопасность.

4. Внешняя безопасность сетей

Внешняя защита сетей предотвращает получение несанкционированного доступа.

Средства межсетевой защиты, такие как брандмауэр или маршрутизатор представляют собой первую "линию обороны" сети, и должны использоваться при любых соединениях с внешним миром. Надежные средства опознавания / идентификации пользователя также очень важны. Будет ли это долгое, легко запоминается, регулярно изменяется или жетона средство идентификации, такое как смарт-карта, вам необходимо иметь возможность знать, кто пытается получить доступ к сети.

Многие компании настаивают на создании безопасного удаленного доступа к своим сетям. Для более безопасного удаленного доступа к сети следует рассмотреть использование шифрования и VPN — виртуальной частной сети.

Частью внешней безопасности являются средства управления защитой и их правильная конфигурация. Блокируйте все неиспользуемые сервисы и сетевые протоколы. Поменяйте все стандартные настройки, заданные "по умолчанию" изготовителем и периодически оценивайте уровень полномочий и права доступа пользователей. Кроме этого, необходимо разработать и применять политику и процедуру исключения прав доступа бывших работников к любым ресурсам вашей сети и используйте своего рода систему распознавания проникновения, довольно часто проверяя результаты ее действия.

5. Тщательный анализ системы защиты

Технические аспекты защиты не заканчиваются на Интернет-странице или на периметре сети. Они распространяются и туда, куда выезжают ваши сотрудники, а затем связываются дистанционно с вашей сетью, а также и в компьютеры тех из них, кто часть работы выполняет дома. Кроме этого, ваша сеть становится частью сетей партнеров, поэтому их проблемы безопасности могут превратится в ваши проблемы.

Вам необходимо рассредоточить средства безопасности по всей вашей организации.

Возможно, это будут брандмауэры для изоляции особо важных ресурсов различных отделов-механизмы контроля доступа на главных компьютерах-средства обнаружения проникновения и аномального поведения во всей сети.

Не забывайте обновлять ваше антивирусное программное обеспечение, а ваши системные администраторы должны устанавливать патчи (дополнительные программные коды для исправления программной ошибки) на главные компьютеры, операционные системы и приложения, как только такие патчи появляются. Хакеры быстро находят или разрабатывают средства обнаружения уязвимых мест в программных продуктах.

В корпоративных сетях в настоящее время применяются и личные брандмауэры.

Периодически тестируйте уровень безопасности ваших сетей. Меняются модели вашего бизнес-ваши сети развиваются, растет необходимость дистанционного доступа. Проверяйте все аспекты безопасности вашего предприятия, оценивайте влияние на безопасность новых приложений до того, как они будут установлены, и, по крайней мере, раз в год, проводите полный анализ системы безопасности. Но даже если результаты анализа будут удовлетворительными — это не повод для самоуспокоения. Проверка безопасности — это всего лишь моментальный снимок состояния вашей системы.

Само собой разумеется, что процедура создания резервных копий важных данных, файлов и приложений является неотъемлемым компонентом хорошо организованной системы безопасности. Сохранение пользователями резервных копий больших файлов на дискетах является трудоемким процессом, поэтому использование сетевых архивных серверов, на которых автоматически создаются резервные копии в нерабочие часы, является наиболее простым решением данной проблемы.

6 — Реагирование на события, нарушающие безопасность

Событие, имеющее отношение к безопасности, может представлять собой попытку группы хакеров взломать ваши сети. И, наоборот, любой внутри компании может попытаться проникнуть в сеть своего бывшего работодателя, прикрываясь вашим именем.

Неважно, о котором событие безопасности вам станет известно, но хуже, по всему, что вы сможете сделать — это проигнорировать такое событие. Политика безопасности должна предусматривать меры реагирования на непредвиденные события.

Ваша служба реагирования на чрезвычайные ситуации с компьютерами (CERT) должна представлять собой группу людей из состава вашей организации, которые совместно работают над решением любых проблем безопасности и чрезвычайных событий, а также взаимодействуют с организациями обеспечения сетевой безопасности по всему миру и в вашей отрасли так, чтобы пристально реагировать на все события, которые в какой-то мере могут быть взаимосвязаны.

7. Физическая защита

Физическая защита также является ключевой составляющей информационной безопасности. Не следует забывать о самых простых вещах. Кто имеет доступ к электрошкафов, шкафов с телефонной разводкой и помещений, где находится коммутационный концентратор? Откуда вы знаете, что монтер связи действительно монтер связи — только потому, что он одет в соответствующую спецодежду?

Обеспечивайте физический контроль мусора до тех пор, пока он надлежащим образом не будет вывезен хорошо известной вам компанией в место, предназначенное для утилизации мусора.

8. Проверка нефизических компонентов

  • Так как компьютеры вашей компании объединены в сеть, не следует позволять вашим работникам приносить свои программы для использования их в работе, так как это приводит к заражению систем вирусами. Также не следует допускать, чтобы сотрудники несли домой какую-нибудь конфиденциальную информацию компании.
  • Уничтожайте важные документы в бумагорезальной машине или сжигайте их: такие как списки работников, их идентификационные данные, документацию отдела кадров, руководства по эксплуатации и описания действующих информационных систем и процессов, файлы с данными о клиентах, внутреннюю переписку и любые другие данные, могут представлять интерес для посторонних.
  • Обеспечивайте электронные носители с особо важной информацией наклейками "конфиденциально".
  • Определяйте различные уровни защиты и конфиденциальности данных, соответствующим образом их помечайте и обращайтесь с ними в соответствии с присвоенным уровнем.
  • Следите за тем, чтобы работники закрывали на ключ свои кабинеты, шкафы с документами и не оставляли важные документы, разбросанными по столам.

9. Старайтесь быть в курсе событий

Важно всегда быть в курсе последних новостей по теме безопасности, в том числе, публикуемые в сети Интернет. Во всемирной паутине можно найти десятки сайтов, на которых сообщается о выявленных уязвимых местах систем, а также много другой сопутствующей информации.

Слабые места в защите сетей могут возникать по разным причинам, включая:

  • Приложение изначально было разработано со слабыми местами и поэтому может подвергнуться атаке с использованием простейших сценариев, находящихся в свободном доступе в сети Интернет.
  • В систему устанавливается новое оборудование, и, как результат, возникают пробелы в защите.
  • Ваша сеть расширяется и меняется с каждым днем. Когда вы подключаете новые системы, вам необходимо знать, что означают номера новых версий, и с какими потенциальными рисками вы можете столкнуться. При подключении к сети партнера, знаете ли вы, насколько надежна ее безопасность, и как она может повлиять на вашу сеть?
  • Новые программы появляются практически каждый день, и мы не знаем, насколько хорошо они защищены до тех пор, пока кто-то не сделает успешную попытку сломать такие приложения.
  • Использование маршрутизаторов, серверов электронной почты, а также других аппаратных и программных средств представляет определенные последствия с точки зрения безопасности. Зайдите на веб-сайт производителя, подпишитесь на рассылки о новостях этой компании-поставщика и, когда появляется новая версия или дополнительный код (патч) для исправления ошибки — установите их! Если вы этого не сделаете, то "плохие парни" быстро об этом узнают, и ваш риск снова повысится.

    10. С самого начала безопасность должна становиться неотъемлемой частью ваших систем

    В подавляющем большинстве организаций не задумываются о безопасности в начале выполнения любых проектов.

    При создании какой-либо системы внутри компании, то безопасность не должны быть каким-то запоздалым соображением-она сначала должна быть частью проектных критериев и функциональности программного обеспечения. Продумайте разработку системы безопасности с использованием уже имеющихся стандартов так, чтобы вы могли достичь больших возможностей взаимодействия программного обеспечения, аппаратных средств и защитных функций.

    И наконец, еще раз повторим, что безопасность в основном зависит от людей, как стало уже очевидно из всего вышесказанного. Предлагаем краткий перечень мер, которые должны соблюдать ваши работники:

  • Никогда, ни в коем случае, никому не сообщайте свой идентификационное имя пользователя и пароль доступа к любой системе компании.
  • Будьте осторожны, чтобы не выдать случайно, или не потерять любую информацию, которая является собственностью фирмы.
  • Не подключайте любой компьютеры, модемы или оборудование в корпоративной сети, не имея на это разрешения.
  • Используйте только лицензионное и санкционированное для использования программное обеспечение.
  • Защищайте свою рабочую станцию: используйте "хранители экрана" (скрин Сейвери) и никогда не забывайте правильно выходить из сети.
  • Не забывайте создавать резервные копии файлов и храните их в надежном месте.
  • Всегда проверяйте вложения электронной почты, а также любые загруженные из сети программы с помощью антивирусных программ.
  • Обращайтесь с электронными сообщениями также, как вы обращаетесь с бумажными бланками компании. Как только электронное сообщение отправлено, его не вернешь назад, а в нем указано имя вашей компании.
  • Всегда уничтожайте конфиденциальную информацию на бумаге, дисках или пленке с помощью специального оборудования (шредеры).
  • Оперативно сообщайте обо всех инцидентах, имеющих отношение к безопасности, в отдел информационной безопасности вашей компании.
  • Оцените статью
    Access Electronics