пропозиції роботи
Magdalena Grabowska Key Account Manager
Temat: 10 błędów, za które płacą pracodawcy - dyskusja
Witam,poniżej zamieszczam artykuł, który znalazłam w sieci. Co prawda
od publikacji minęło trochę czasu, niemniej jednak temat wciąż
jest aktualny (jeśli nie bardziej niż wcześniej).
Co o tym sądzicie? Które z tych przypadków dotknęły właśnie
Waszą firmę? Jak sobie z tym poradziliście? Czekam na opinię i
zapraszam do dyskusji.
Poniżej artykuł:
"Nieświadomość pracowników skutkuje powszechnymi błędami,
które słono kosztują pracodawców. Zdaniem ekspertów to
człowiek jest najsłabszym ogniwem systemów bezpieczeństwa
informatycznego. Proste błędy, niezależnie od jakości
zastosowanych zabezpieczeń, najbardziej narażają organizacje na
straty finansowe i ryzyko utraty reputacji.
Listę 10 niepożądanych działań opracowały Edge Solutions, ISCG
oraz Kaspersky Lab - firmy specjalizujące się w systemach
zabezpieczeń sieci. audytach bezpieczeństwa informatycznego oraz
doradztwie w zakresie ochrony reputacji i informacji
przedsiębiorstw.
Spis błędów podzielono na dwie grupy: niepożądane działania
pracowników oraz błędy managerów i administratorów, którzy
winni czuwać nad bezpieczeństwem organizacji.
Błędy pracowników popełniane są najczęściej nieświadomie, w
dobrej wierze. Użytkownicy sieci nie znają zagrożeń i wykazują
się brakiem czujności. Główną przyczyną wpadek na tym polu
jest niewłaściwie wdrożona polityką bezpieczeństwa pracodawcy,
brak dostatecznej kontroli zachowania pracowników w czasie pracy
oraz niedostatek szkoleń.
1. Otwieranie załączników e-mail
Użytkownicy Internetu wciąż są niedostatecznie uwrażliwieni na
analizę otrzymywanych załączników do poczty elektronicznej pod
kątem złośliwego oprogramowania. Dla cyberprzestępców e-mail to
główne narzędzie do przeprowadzenia ataków. W poczcie poza
podejrzanymi linkami mogą znaleźć się załączniki, których
otwarcie prowadzi do zainfekowania komputera lub sieci.
Najgroźniejsza jest poczta wygenerowana automatycznie wewnątrz
przedsiębiorstwa, w wyniku infekcji jednego z komputerów
pracowników. Taki mail od współpracownika z reguły nie wzbudza
podejrzeń odbiorcy, który odruchowo może otworzyć załącznik.
2. Surfowanie na niebezpiecznych wodach
Oprogramowanie antywirusowe i firewall najczęściej skutecznie
powstrzymuje złośliwe oprogramowanie, którym zainfekowane są
przypadkowo odwiedzane strony internetowe. Jednak surfowanie po
niebezpiecznych strefach zawsze zwiększa ryzyko ataku. Poza tym
cyberprzestępcy wciąż szybko rozwijają ukradkowe techniki ataku
określane mianem ?drive-by-download?, które wykorzystują luki w
zabezpieczeniach przeglądarek internetowych (podatność na ataki
ActiveX). W przypadku tego rodzaju ataków użytkownik może nawet
nie wiedzieć, że pada ofiarą cyberprzestępców, a jego komputer
jest zarażony.
3. Samowolne instalacje
Pliki do pobrania, które mają zainteresować Internautę, to drugi
obok poczty główny obszar działań cyberprzestępców. Błędy
pracowników polegają na samowolnym ściąganiu plików oraz
instalacji aplikacji na komputerach biurowych. Przestępcy wiedzą,
że jeśli uda się zastosować odpowiednie socjotechniki,
podszywając złośliwe oprogramowanie pod pożądany plik lub np.
e-usługę, wielu użytkowników samodzielnie wyda polecenie, by je
pobrać i zainstalować. Nadają więc plikom odpowiednie
?opakowanie?: stronę, z której się je pobiera, opis, nazwę. To
typowa koncepcja konia trojańskiego.
4. Jedno hasło do wszystkiego
Istnieją serwisy nastawione wyłącznie na pozyskanie haseł i
loginów. Pozornie ciekawa strona, dostęp do treści tylko po
zalogowaniu. Podajemy login, mail i hasło. A serwis bez wiedzy
użytkownika sam sprawdza czy para login/hasło zadziała na jakimś
innym portalu. Co więcej, nawet te ?dobre? serwisy internetowe
miewają luki, które pomagają przestępcom w pozyskaniu haseł
użytkowników. Hasła te są następnie automatycznie sprawdzane na
dziesiątkach innych portali i bardzo często okazuje się, że
pasują one w innych miejscach, dając szansę na skuteczną
kradzież tożsamości. Przeciętny użytkownik Internetu używa co
najmniej kilkunastu usług wymagających uwierzytelnienia przy
pomocy hasła. Jednym z powszechnych błędów jest używanie
wszędzie tego samego lub bardzo podobnego hasła.
5. Zapisywanie haseł
Alternatywą dla stosowania identycznych lub podobnych haseł
dostępu jest zapisywanie haseł, które są zróżnicowane. Jeżeli
użytkownik nie zapisze tych danych w mądry sposób, naraża się
na sytuację, w której ktoś przechwyci wszystkie hasła za jednym
razem.
6. Łatwowierność i naiwność
Obecnie cyberprzestępcy stosują socjotechnikę, której ofiarą
mają padać mniej uważni i nieświadomi użytkownicy. Terminem
phishing określa się przypadki wyłudzania haseł lub informacji,
zazwyczaj poprzez odpowiednio spreparowany e-mail, który przekonuje
ofiarę do konkretnego działania. Łatwowierny użytkownik
kierowany jest np. na serwis przypominający stronę banku lub
urzędu, ewentualnie podaje informacje, o które prosi, jak się
wydaje, zaufany nadawca poczty. Tego rodzaju błędy najczęściej
popełniane są na gruncie nadmiernego zaufania wobec drugiej
strony, a także z partykularnej chęci zysku.
7. Niewylogowanie
Wciąż użytkownikom sieci często zdarza się kończyć swoją
aktywność w aplikacji bez wylogowania się a niej. Odejście od
komputera w takiej sytuacji oznacza potencjalne ryzyko oddania
dostępu do zasobów aplikacji osobom trzecim. Naraża też
potencjalną ofiarę na kradzież jej tożsamości.
Błędy administratorów i managerów wynikają z zaniedbań,
niewiedzy, rutyny lub też lekceważenia ryzyka. Mają one
dotkliwsze konsekwencje i bardziej wystawiają przedsiębiorstwa na
ryzyko strat. Co więcej, gdyby ich nie popełniano, z
przedstawionej powyżej listy udałoby się wyeliminować wszystkie
punkty.
1. Brak polityki bezpieczeństwa
Pomimo tego, że obecnie wszystkie firmy przetwarzają swoje
strategiczne informacje w systemach informatycznych, wiele z nich ma
kłopot z wdrażaniem wewnętrznej polityki bezpieczeństwa -
jasnych zasad, które określają reguły dostępu do urządzeń
infrastruktury IT oraz odpowiedzialność za naruszenie tych zasad.
Brak takich zapisów rozmywa odpowiedzialność i sprzyja
niepożądanym, szkodliwym zachowaniom pracowników. W wielu innych
firmach formalnie istnieje polityka bezpieczeństwa, ale wdrożono
ją w sposób niewłaściwy. Organizacje nie radzą sobie z jej
przestrzeganiem, kontrolą i egzekwowaniem postanowień w niej
zawartych. Zaniedbania w tym obszarze w dłuższym terminie
zwiększają ryzyko informatyczne i podatność na ataki we
wszystkich obszarach systemu bezpieczeństwa.
2. Brak szkoleń
Innym grzechem zaniechania jest brak szkoleń, których celem jest
edukowanie pracowników i uwrażliwianie ich na skutki błędów,
jakie mogą popełnić w trakcie korzystania z Internetu. Szkolenia
są nieodzownym elementem wdrażania polityki bezpieczeństwa,
działań, które powinny być wspierane przez zarząd firmy.
3. Rutyna administratorów
Administratorów, którzy stoją na straży bezpieczeństwa firm,
najczęściej gubi zwykła rutyna. Wciąż często obserwuje się
brak ingerencji w modyfikowanie domyślnych parametrów
zabezpieczeń i ustawień serwerów. Także i tu zdarza się
nieodpowiedzialne zarządzanie hasłami dostępu, zaniedbania w
monitorowaniu ruchu w sieci, nieautoryzowanych instalacji
oprogramowania, a także np. pozostawienie ustawień zabezpieczeń
po zmianie na stanowisku administratora.
Przestrzeganie zasad nie zniweluje całkowicie ryzyka. Oszuści
bywają naprawdę sprytni. Ale trzeba wierzyć, że tak jak w życiu
codziennym, wybierają oni raczej ofiary naiwne niż tych, którzy
cały czas czujnie rozglądają się dookoła. Warto więc być
świadomym użytkownikiem sieci."
