Cea mai buna strategie pentru securitatea IT din cadrul companiei

Daca exista un mit in domeniul securitatii informatiilor care nu va muri prea curand, atunci este cel potrivit caruia, companiile ar trebui sa investeasca in instruirea angajatilor pentru prevenirea breselor de securitate.

Divizia de securitate a EMC Corporation, RSA Security, a fost atacata cu succes prin intermediul unui document Word care avea o vulnerabilitate Flash inclusa. Firme precum RSA, Google, eBay, Adobe, Facebook sau alte organizatii sofisticate pot fi pacalite, iar acest lucru ar trebui sa sugereze o singura concluzie: chiar si oamenii specializati si certificati pot cadea victime atacurilor informatice, scrie PC World.

In mod fundamental, specialistii IT spun "nu este vina noastra", atunci cand solicita un program de instruire pentru utilizatori. Dar acest lucru este fals, pentru ca un utilizator nu poate purta responsabilitatea unei retele intregi, un utilizator nu are abilitatea de a recunoaste cum trebuie sa se protejeze impotriva unui atac informatic.

De obicei, marile companii au sisteme sofisticate de instruire a angajatilor si totusi, chiar si cu ajutorul acestor programe, rata de click pe linkurile infectate este intre cinci si 10%.

Companiile de securitate informatica organizeaza deseori atacuri demonstrative. S-a ajuns la concluzia, spre exemplu, ca in cazul atacurilor prin telefon, la banci sau alte companii care au call centere, masurile tehnice sunt singurele care dau roade.

Multe dintre companii organizeaza cursuri sofisticate de protectie informatica, care cuprind informatii despre injectii SQL, cross-site scripting, autentificare etc. In opinia specialistilor, astfel de cursuri sunt inutile.

In loc sa cheltuiasca timp, bani si resurse umane incercand sa invete fiecare angajat cum sa fie securizat, companiile ar trebui sa se concentreze pe securizarea mediulului si pe segmentarea retelei. Ar fi o filosofie corporatista mult mai buna, daca fiecare angajat ar putea sa faca click pe orice link, sa deschida orice tip de atasament, fara niciun risc de contaminare a organizatiei. Angajatii oricum fac acest lucru. Asigurarea mediului sigur ar trebui sa fie jobul managerului IT, care trebuie sa se asigure, ca orice pericol este inlaturat inainte ca acesta sa ajunga la angajati.

Ce masuri trebuie sa ia companiile, in loc sa investeasca in instruirea angajatilor

- Auditarea periferiei - website-urile, bazele de date, serverele si retelele trebuie auditate la intervale regulate pentru vulnerabilitatile de baza, atat de catre personal intern, cat si de catre testeri externi. Daca website-ul Citigroup era testat pentru vulnerabilitati web, s-ar fi putut evita un atac in iunie 2011, care a compromis datele confidentiale a 200.000 de clienti.

- Aparare si monitorizare - Reteaua companiei ar trebui definita de un perimetru care, la randu-i, ar trebui testat in mod regulat. Acest lucru ar trebui sa preintampine intruziunile.

- Izolarea datelor critice - Ce informatii de valoare pentru business-ul companiei sunt stocate in baza de date online?

- Segmentarea retelei - Reteaua companiei ar trebui segmentata in asa fel, incat in cazul unui atac informatic reusit, infectia sa nu se poata raspandi la nivelul intregii retele. Daca PC-ul unui angajat este infectat, atacul informatic nu ar trebui sa se poata raspandi in intreg sistemul companiei.

- Politici de acces - Compania trebuie sa stabileasca in mod clar care este tipul de acces al fiecarui angajat la datele companiei. Limitarea accesului este un element cheie in securitatea informatica a companiei.