Podstawowa polityka bezpieczeństwa - czyli bezpieczeństwo w pracy :-)

W nie jednej firmie możemy zauważyć, że istnieją blokady bądź ograniczenia np. na korzystanie z portalu NK albo Facebook.

I słusznie, ponieważ nieumiejętne korzystanie z owych portali społeczniościowych, może prowadzić do bardzo nieprzyjemnych zdarzeń. NK i Facebook to wylęgarnia linków niewiadomego pochodzenia, ale przyciągających treścią. Niestety nie każdy zdaje sobie z tego sprawę, i często słyszy się o tym że pracodawca jest "zły", bo zablokował nam możliwość zobaczenia syna koleżanki w albumie znajomej na facebooku :)

Jednakże, z drugiej strony - takie praktyki stosowane przez administratorów są w mojej opinii przejawem nie do końca dobrej polityki bezpieczeństwa firmy. Jednakże zawsze można to zmienić, poprzez wprowadzenie "paru reform", które pozwolą na korzystanie z owych portalów, i nie tylko.

W Internecie znajduję się jednakże mnóstwo programów, które pozwolą i tak na ominięcie tych zabezpieczeń bądź ograniczeń. Celowe wykonanie tego typu praktyk przez nas, podczas gdy nie mamy świadomości zagrożeń, a także odpowiednich umiejętności co do konfiguracji i zabezpieczeń w Internecie, jest przejawem naszej głupoty i nieświadomości konsekwencji za tym idących.

Należy mieć na uwadze to że będąc w pracy jesteśmy bardziej narażeni na ataki przestępców komputerowych oraz wszelkiego złośliwego oprogramowania pochodzącego z Internetu. Przestępcy tylko czekają na takie okazje gdzie widzą że pracownik firmy sam otwiera furtkę do sieci firmowej, a wykorzysta to na pewno w 100% i jeszcze z naddatkiem.

Jeśli jednak zostaliśmy przeszkoleni i działamy zgodnie z polityką bezpieczeństwa ustaloną w naszej firmie, to na luzie możemy sobie pofejsbukować bądź posiedzieć na GG ;).

W pracy jesteśmy także narażeni na ataki socjotechników, czyli osób którzy wprawnie potrafią manipulować innymi ludźmi oraz wyciągać z nich najpotrzebniejsze informacje. Na pewno, gdy pracujemy w poważnej firmie, jesteśmy wyszkoleni zgodnie z polityką bezpieczeństwa firmy, (a raczej powinniśmy ;)) przed tego typu zagrożeniami.

Aczkolwiek, pozwolę sobie przytoczyć podstawowe zasady obowiązujące dla poprawnej polityki bezpieczeństwa.

Polityka bezpieczeństwa powinna:

@ Zaznajomić z podstawowymi, a także zaawansowanymi zagrożeniami płynącymi z Internetu. Ich skutkach, a także możliwościach narażenia się na nie.

@ Zapoznać z zasadami dotyczącymi tworzenia silnych haseł, konfigurowania zabezpieczeń systemu, programów, a także usług dostępnych w Internecie (skrzynka e-mail, portale społecznościowe, komunikatory)

@ Zaznajomić z technikami weryfikacji osoby, która o coś prosi.

@ Zaznajomić z technikami weryfikacji uprawnień osoby, co do prośb przez nią wysuniętych.

@ Pokazać sposoby uzyskiwania informacji przez socjotechników, czyli w jaki sposób, jakimi metodami etc.

@ Pokazać sposoby za pomocą których, będzie można rozpoznać atak socjotechniczny.

@ Omówić procedurę postępowania w przypadku podejrzenia ataku socjotechnicznego.

@ Uświadomićo konieczności weryfikacji każdej osoby, wobec której istnieją podejrzenia - niezależnie od stanowiska.

@ Omówić procedury ochrony poufnych informacji, a także znajomości systemu klasyfikacji danych.

@ Uświadomić co do konsekwencji wobec niezastosowania się wobec polityki bezpieczeństwa firmy.

Polityka zabezpieczeń firmy, powinna odnosić się także do działań "Fizycznych", a dokładniej:

@ Zatrzymywania osób nieznajomych, które znajdują się na terenie firmy,

@ Prawidłowe sposoby niszczenia nośników informacji, które posiadają cenne i poufne dane.

Całe szkolenie powinno być tak poprowadzone, ażeby przeszkoleni pracownicy konsekwentnie weryfikowali każdą prośbę. Ryzyko złamania zabezpieczeń, bądź narażenia firmy na niebezpieczeństwo - znacznie powinno zmaleć.

Dla zainteresowanych tematem, proponuję przeczytać książkę "Sztuka Podstępu" - autorstwa słynnego Hakera - Kevina Mitnick'a.

A póki co pozdrawiam, gbm