20 dobrych zasad bezpieczeństwa

20 dobrych zasad bezpieczeństwa
Jesteś specjalistą bezpieczeństwa, a Twoim zadaniem jest aby dane, funkcje i ludzie byli bezpieczni? Jesteś pracownikiem, który ma dostępy, które ktoś może wykorzystać? Poniżej kilka dobrych rad, o których zawsze warto pamiętać.

David Spark pokusił się o zebranie "20 najlepszych lekcji wyciągniętych z bezpieczeństwa IT" (20 of the Best IT Security Lessons Ever Learned). Poniżej prezentujemy wolne tłumaczenie plus komentarze doprecyzowujące dla punktów zawartych w artykule.

1. Bezpieczeństwo musi wspierać biznes, a nie go blokować.

Specjalista bezpieczeństwa IT może oczywiście przenieść dane w tryb offline, zaszyfrować je i pilnować w zamkniętym bunkrze, siedząc na ładunku wybuchowym na wypadek, gdyby ktoś próbował się do nich dostać dostać, ale...

2. Pracuj z ludźmi, a nie walcz z nimi.

Najsłabszym ogniwem bezpieczeństwa są ludzie, specjalista bezpieczeństwa może ich eliminować jeden po drugim (jak eliminuje się luki bezpieczeństwa), jednak...

3. Problem na początek, potem rozwiązanie.

Pierwszym krokiem zawsze będzie zrozumienie problemu bezpieczeństwa, a dopiero potem poszukiwanie dla niego rozwiązania.

4. Ucz podstaw.

Ciągle powtarzaj: "blokuj komputer kiedy od niego wstajesz", "blokuj komputer kiedy od niego wstajesz", "blokuj komputer kiedy od niego wstajesz". Możesz do tego dodać: "nikomu nie podawaj danych konta, a nigdy hasła przez telefon", "jeśli historia, jaką słyszysz przez telefon, jest nietypowa, to w pierwszym odruchu w nią nie wierz" itd.

5. Bezpieczeństwo danych i ich prywatność zaczyna się od pracowników.

Możesz mieć najnowocześniejsze systemy zabezpieczeń, ale jeśli hasło administratora zabezpieczeń to "admin123", to nie jesteś bezpieczny.

6. Błędy się zdarzają, szczególnie Tobie.

Nie ufaj nikomu, wliczając w to siebie samego. Sprawdzaj wszystkich i proś innych, aby też Ciebie sprawdzili.  

7. By zdobyć szacunek, potrzebujesz poddać się próbie.

Prawdziwy specjalista bezpieczeństwa będzie wiedział, że jest dobry dopiero, kiedy poradzi sobie w obliczu niebezpieczeństwa.

8. Myśl jak atakujący.

Bezpieczeństwo to nie narzędzia, to stan umysłu. Ludzie, którzy łamią zabezpieczenia są zorientowani na atak, a nie na obronę. Obrońca na boisku myśli zupełnie inaczej, niż napastnik.

9. Trzymaj kopię zapasową danych, z dala od źródła danych.

Przechowujesz kopię i źródło w jednym miejscu? Skrypt szyfrujący może dobrać się do obu za jednym razem? Dla złodzieja lub szantażysty taka sytuacja jest czystym złotem.

10. Jeśli coś jest online, to nie jest w 100% prywatne.

Zbyt wiele rzeczy słyszy się o bezpieczeństwie danych online, aby uznać, że jesteśmy tam bezpieczni. Online zawsze ktoś patrzy!

11. W walce biznesu z bezpieczeństwem, biznes ma zawsze rację.

Kiedy bezpieczeństwo staje na drodze misji, to bezpieczeństwo się myli, a nie misja. Twoim zadaniem jest informowanie, przestrzeganie, a nie blokowanie.

12. Trzeba ryzykować w biznesie, aby zarobić.

Jeśli wszyscy będziemy pilnować naszych danych, kto będzie pilnował naszego biznesu? Zawsze warto rozumieć jakie dane są ważne, a jakie nie. 

13. Biznes na początek, potem bezpieczeństwo.

Rada dla konsultantów bezpieczeństwa: "Zrozum biznes zanim poszukasz dla niego rozwiązań bezpieczeństwa".

14. Ucz użytkowników jak należy tworzyć hasła.

Jedno hasło wiele kont - NIE! Trudne do zapamiętania hasło - NIE! Trudne hasło - TAK! 

15. Uważaj, jak wiele uprawnień dajesz użytkownikowi.

Nie ufaj nikomu, a przede wszystkim ludziom, których nie znasz. Myśli nie tylko w kategoriach ataku, ale również niezamierzonych szkód jakie mogą zostać poczynione.

16. Jako biznes nie przesadzaj.

Płać za bezpieczeństwo i ochronę, tylko tyle, ile naprawdę potrzebujesz. Z drugiej strony dowiedz się, ile powinieneś zapłacić.

17. Niech koszt włamania będzie większy od korzyści.

Jeśli można sprzedać Twoje dane za 1000, to złamanie systemu powinno kosztować ponad 1000.

18. Rejestruj tak dużo aktywności, jak możesz. 

Świadomość prób włamania jest bezcenną lekcją, brak świadomości włamania jest niepoliczalny. Logowanie, szczególnie to automatyczne, nie jest trudne. Logi trzeba również regularnie przeglądać.

19. Skutecznie niszcz wycofane nośniki danych.

Dane żyją dłużej niż ich nośniki, upewnij się, że stary nośnik nie stanie się źródłem ich wycieku.

20. Każdy jest odpowiedzialny za bezpieczeństwo.

Nie ma znaczenie na jakim stanowisku pracujesz i jaka jest Twoja odpowiedzialność. Nie ma znaczenia do czego masz dostęp. Każdy pracownik ma uprawnienia, jakie atakujący może wykorzystać. Każdy, od szefa wszystkich szefów, po sprzątaczkę.

 

Artykuł zaktualizowany, pierwotnie pojawił się 15/05/2012.

 

12483
Źródła:
http://www.tripwire.com/state-of-security/it-security-data-protection/security-advice-20-tips

To powinno Cię zainteresować