Miesiąc z Cybersecurity cz.4

Dane jakie przechowujemy na naszych służbowych urządzeniach, stanowią ogromną wartość i nie jesteśmy jedynymi osobami, które o tym wiedzą. Codziennie wiele firm spotyka się z próbami wyłudzeń danych, atakami hakerskimi, podszywaniem się pod pracownika i wieloma innymi cyberprzestępstwami. Jak więc zadbać o bezpieczeństwo w firmie?  Jest na to kilka prostych, ale skutecznych metod, które przedstawię poniżej.

Krok 1. Identyfikacja wrażliwych danych

Identyfikacja wrażliwych dancyh to pierwszy krok do ich zabezpieczenia . Po pierwsze, pomaga nam dokładnie określić, co jest dla nas ważne i wymaga ochrony a po drugie, umożliwia nam zdefiniowanie priorytetów oraz określenie, kto powinien mieć dostęp do określonych danych. Zgodnie z zasadą "Least Privilege Principle" każdy element w firmie powinien mieć minimum uprawnień potrzebnych do wykonania przez niego pracy. Dzięki temu łatwiej jest weryfikować źródło ewentualnych problemów i jednocześnie ograniczyć możliwość nadużyć i błędów. To już znacznie podniesie integralność danych i zaufanie naszych klientów. 

Krok 2. Bądź krok przed wypadkiem - czyli modelowanie możliwych problemów

Firma to dużo danych, o które trzeba zadbać - to wiemy już z poprzedniego punktu i pewnie z doświadczenia.

Warto przemyśleć, co może pójść źle podczas pracy. Na przykład:

 pożar biura i dysków twardych
 utrata pracownika
 kradzież informacji
 przejęcie dostępu do różnych kont
 podszycie się pod kogoś

Świadomość pewnych możliwych scenariuszy  pozwoli nam na odpowiednie zabezpieczenie ważnych danych lub opracowanie planu reakcji na wypadek zaistnienia tego zagrożenia. 

Krok 3. Edukacja pracowników

To klucz do ochrony danych, ponieważ to właśnie nasi pracownicy wykonują znaczną część pracy w firmie i to oni są najłatwiejszym celem ataku (np. Phishing). Każde stanowisko może wymagać innego przygotowania więc aby edukacja przyniosła oczekiwany rezultat, warto dobrać odpowiednie przygotowanie do zadań pracownika. Warto też edukować regularnie, małymi krokami (a nie jedno wielkie szkolenie raz na rok), żeby efekt był długotrwały i realnie przełożył się na codzienną, zwykłą pracę.

Podsumowując:

 to ludzie robią większość pracy w firmie i mają częstą styczność z danymi.
 to ludzie są najłatwiejszym celem ataków (np. phishing)
 najlepiej żeby edukacja była dobrana do ich zadań.
 edukuj regularnie, małymi krokami. 

Krok 4. Zabezpiecz swoje konto i  konta swoich pracowników

Konta pracowników w firmie często są elementem ataku - nic w tym dziwnego. Zbyt proste hasło sprawia, że takie konto można bardzo łatwo przejąć i podszyć się pod pracownika - wykraść dane lub wykonać niebezpieczną akcję. Posiadając taki dostęp, łatwo jest stać się wiarygodnym kontaktem wewnątrz komunikacji firmowej.

Co więc zrobić?

 Obligatoryjne wprowadź uwierzytelnianie dwuskładnikowe we wszystkich usługach firmowych.  Zabezpieczy to konto przed przejęciem, nawet gdy ktoś zgadnie hasło.

Zarządzaj uprawnieniami centralnie.  Ułatwia to szybkie odebranie lub zmianę uprawnień w razie konieczności np. gdy ktoś odchodzi z firmy. Jeżeli nie ma takiej możliwości,  warto mieć zawsze aktualny rejestr uprawnień, którego również możemy użyć, gdy ktoś odchodzi z firmy, lub gdy zmienia rolę.

Zobliguj pracowników do korzystania z imiennych kont.  Takie konta dużo łatwiej namierzyć, aby dowiedzieć się, kto dokonał określonych zmian w systemie, a w przypadku zdarzenia takiego jak nadużycie łatwiej zidentyfikować sprawcę.

Zabezpiecz sieć wewnętrzną i skonfiguruj firmowego VPN'a,  Ukrycie niektórych zasobów w sieci prywatnej dla firmy zmniejsza ryzyko ataków.

Krok 5. Zabezpiecz stacje robocze. 

Nawet, gdy pracownicy są uważni i dobrze wyszkoleni pod względem bezpieczeństwa, musimy zadbać o sprzęt, na którym pracują. Gdy ten sprzęt nie jest odpowiednio zabezpieczony, stanowi takie samo ryzyko jak pracownik, bo to na nim pracownik wykonuje swoją pracę.

Jak to zrobić?

 Włącz program antywirusowy
   to podstawowa ochrona przed złośliwymi programami w sieci
   ogranicza ataki z sieci na komputer

 Uruchom automatyczne aktualizacjie systemu
Żeby nie dopuścić do wykorzystania powszechnie znanych podatności naszego systemu operacyjnego

 Uruchom szyfrowanie dysku na sprzętach przenośnych, gdy wynosimy sprzęt poza firmę,
 Warto być gotowym na jego zgubienie bądź kradzież (patrz Krok 2. - modelowanie możliwych problemów)
 Bez szyfrowania, gdy ktoś przejmie komputer, zdobywa również dostęp do wszystkich danych na nim się znajdujących.
 W przypadku próby odczytania skradzionyh danych szyfrowanie sprawi, że złodziej nic nie będzie w stanie odczytać

 Rozwiązania typu endpoint protection

 pozwalają zautomatyzować wymuszenie/włączenie wszystkich tych zabezpieczeń na poziomie komputera pracownika.

 Zabezpieczenie wysyłki maili z domeny firmy
Kluczowe w tym wypadku jest odpowiednie skonfigurowanie 3 rekordów domeny: SPF, DKIM, DMARC, W tym pomoże Ci każdy doświadczony specjalista od cyberbezpieczeństwa 
 W przeciwnym wypadku każdy może podszyć się pod maila z naszej domeny i oszukać w ten sposób ludzi, a nam popsuć reputację.


Zadbanie o kopie zapasowe - wszystkie dane wrażliwe i ważne dla firmy, powinny być zabezpieczone przed utratą
  Backup - “reguła 3-2-1”, Przygotuj: 3 kopie, użyj 2 różnych nośników i wybierz 1 inną lokalizację do przechowania kopii zapasowej.

Warto też przeprowadzać testy aby upewnic się, że kopie zapasowe działają. W chwili ataku już niestety będzie za późno na takie sprawdzenie.

 Stwórz punkt kontaktowy
Pozwól innym kontaktować się z Tobą w kwestiach bezpieczeństwa (np. zgłaszane problemów, luk bezpieczeństwa)
Jak? Przez dedykowany email, opublikowany na stronie firmy.

Podjęcie wszystkich tych kroków  zdecydowanie wpłynie na poprawę bezpieczeństwa w Twojej firmie. Pamiętaj jednak, że ochrona danych to nieustanna praca i regularna kontrola wdrożonych procedur i zabezpieczeń.