Самые распространенные ошибки в области безопасности

В наше время технологии стремительно развиваются, а сложность информационных систем, которые мы используем в работе каждый день растет из года в год. Не смотря на это, многие администраторы продолжают оценивать состояние информационной безопасности своих компаний как «достаточно хорошее» и игнорируют реальные угрозы.
Вот 10 наиболее часто встречающихся ошибок в области информационной безопасности, которые допускают компании малого и среднего бизнеса:

1. Слабые пароли. Начиная с учетных записей пользователей ОС и заканчивая веб-аккаунтами, слабые пароли являются одной из самых серьезных, но с другой стороны и самой легко решаемой проблемой безопасности вашей компании. Нужно решить этот вопрос раз и навсегда.
Необходимо выработать политику паролей, применять ее на практике и периодически проверятьее исполнение сотрудниками.

 

2. Переоценка политики безопасности. Наличие в компании политики информационной безопасности, даже как сам факт,создает ложное чувство защищенности даже в случае, если что-то пойдет не так, потому что, к сожалению, многие останавливаются на этапе разработки такой политики.
Жизненно необходимо, чтобы все сотрудники были не просто знакомы, а знали принципы, правила, процедуры и практические приемы в области информационной безопасности и следовали им!

 

3. Зависимость от технологий. Программные средства защиты — не панацея. Это всего лишь один из нескольких элементов информационной безопасности! Существенную роль играют сотрудники вашей компании и различные информационные процессы. Без этих элементов нет возможности использовать все преимущества технологий, или даже свести на нет их эффективность.

 

4. Подключение к случайным точкам доступа Wi-Fi. Мы привыкли на работе и дома к беспроводной передаче данных. Многие не задумываясь подключаются к случайным (равно незащищенным) беспроводным сетям, просто потому что им нужно сделать свою работу или что-то срочно найти в интернете. Но кто-то легко может попытаться перехватить ваши учетные данные через небезопасное беспроводное подключение.

 

5. Отказ от шифрования жестких дисков. Простое шифрование жесткого диска рабочей станции страхует компанию от многих рисков. Но учитывая цену такого IT решения, многие администраторы — особенно в сфере малого и среднего бизнеса — не делают этого. Решением может быть перенос информационной структуры компании на защищенный облачный сервис (Saas) – виртуальный офис.

 

6. Делегирование ответственности конечным пользователям. Зачастую ответственность за обновление программ, резервное копирование данных и антивирусную защиту ложится на плечи рядовых пользователей. Но рядовые сотрудники не должны нести ответственность за безопасность. Конечно, они могут оказать посильную помощь в этом вопросе, но контроль и поддержание безопасности информационных процессов обеспечивают только специалисты!

 

7. Игнорирование патчей. В более чем половине случаев и на рабочих станциях, и на серверах не всегда устанавливаются последние обновления.Иногда администраторы просто не знают о конкретных хост-компьютерах в своей сети. Отсутствие обновлений операционной системы и патчей для приложений может нести угрозу безопасности как отдельных компьютеров, так и всей сети!

 

8. Принебрежение возможными угрозами. Часто администраторы просто не хотят признать, что их сеть недостаточно защищена. Поэтому при проведении аудита безопасности, ониограничиваются формальной проверкой или вообще пренебрегают этим. Проблему усиливает мнение конкретных администраторов сети, о том что «удовлетворительное состояние» означает безопасное. Это не так, никогда так не было и не будет!

 

9. Ожидание, что угроза будет заметна. Из-за того что СМИ и Голливуд до невозможности романтизировали образ хакеров и их деятельность, администраторы ждут, что подобные инциденты будут очевидны. В реальности все наоборот: отсутствие очевидных угроз вовсе не означает, что их нет вообще. Пожалуйста, не обманывайте себя!

 

10. Отсутствие баланса между безопасностью и удобством. В основе информационной безопасности лежит принцип сочетания безопасности и удобства пользователей. Тем не менее, намеренно или случайно, меры безопасности часто мешают работе пользователей, которые начинают искать способы обойти их. И пароли, записанные на стикерах — это не самое страшное J !

 

Не смотря на то что все вышеописанные проблемы хорошо известны, специалисты и владельцы бизнеса продолжают их игнорировать.
Мы рекомендуем провести комплексный аудит информационной системы, в том числе аудит информационной безопасности. Это позволит устранить слабые места в информационной системе прежде, чем они выльются в настоящую проблему.

У каждого руководителя есть право выбора. Используйте его с умом, и тогда все у вас будет хорошо.

По материалам http://smartsourcing.ru