Безопасность не укладывается в рамки чистой технологии. Бесспорно, необходимо пользоваться безопасными продуктами, однако для того, чтобы создать среду с надежно защищенными данными, требуются постоянные усилия как в применении наилучших технических подходов, так и в противодействии угрозам со стороны индивидуального поведения людей. Учитывая это, я решил в штаб-квартире своей строительно-инженерной компании Washington Group International организовать конференцию по безопасности. Мы пригласили отраслевых экспертов, подобрали докладчиков, организовали заседания профильных и дискуссионных групп. Вот ряд уроков, вынесенных из наших обсуждений.
Обеспечьте сопровождение посетителей в вашей компании при входе и выходе из здания. Не так уж сложно заскочить в служебное помещение, присесть за ПК и войти в сеть.
Никому не сообщайте входные имена и пароли. Не следует пользоваться учетными записями, действующими по умолчанию. Пароли администраторов должны быть замысловатыми, состоящими из разнообразных буквенных и цифровых знаков. Рекомендуется также задействовать специальные символы.
При увольнении сотрудников придерживайтесь строгих процедур, предотвращающих возможность их неавторизованного доступа.
При расширении функциональности всегда есть риск создать брешь в системе безопасности. Когда мы настаиваем на немедленной реализации тех или иных новшеств, не уделяя при этом времени тестированию, то подвергаем себя опасностям.
Не преувеличивайте способности хакеров. Они часто используют уже известные уязвимости. Своевременно инсталлируйте выпускаемые обновления систем защиты.
Не стоит выносить за стены своей компании информацию о внутренних происшествиях, связанных с безопасностью. Такие знания бывают полезны для технических специалистов, однако широкое разглашение этой информации может сделать вас удобной мишенью.
Устанавливайте на свои ноутбуки не только антивирусное ПО, но и персональный брандмауэр. Каждый ноутбук при удаленном подключении к сети становится терминалом корпоративной ЛВС. При дистанционном доступе к внутренним приложениям компании принято использовать технологию VPN, однако даже при защищенном подключении вы остаетесь уязвимы к действиям лиц, получивших доступ к вашему ПК.
Сегментируйте сеть компании. В этом случае взломщики, проникнув в сервер, не получат доступа ко всей среде. Ключевые серверы размещайте в наиболее защищенных, изолированных местах сети.
Системы обнаружения вторжений важны, но очень часто дают ложные срабатывания. Чтобы не погрязнуть в проблемах, необходимы тщательно спланированные решения. Секретные данные следует шифровать не только при подключениях через Интернет, но и внутри ЛВС. Раз в год организуйте внешние проверки уязвимостей, а внутренние тесты проводите чаще.
Общий вывод будет таков: меры безопасности нужно планировать с самого начала, чтобы потом не сокрушаться, почему вы не позаботились о них раньше.
Гари Бронсон - директор корпоративных ИТ-служб компании Washington Group International.
