Технологии Нет ничего проще обеспечения информационной безопасности предприятия. Достаточно осуществить несколько простых действий, которые помогут оградить большинство фирм от наиболее вероятных и широко распространенных угроз. Тем не менее, согласно мониторингу исследовательских компаний Echelon One и Venafi, более половины всех IТ-отделов не справляются с некоторыми из наиболее важных задач безопасности. Вот что не помешало бы улучшить и усовершенствовать в работе любой компании.
1. Ежегодное обновление SSH ключей
Самые поразительные данные статистики свидетельствуют о том, что 82 процента IТ-департаментов не обновляют SSH ключи каждые 12 месяцев. SSH ключи позволяют авторизовываться нам на сервере без ввода пароля пользователя. Так как средняя скорость текучести кадров составляет около двух лет, тот факт, что SSH ключи не меняются по крайней мере один раз в год, позволяет инфраструктуре сети оставаться открытой для несанкционированного доступа бывших сотрудников.
2. Обучение персонала
Наиболее уязвимым элементом любой сети почти всегда является человеческий фактор. Вы можете латать ваши серверы и улучшать пожарную стенку до бесконечности, но это мало поможет, когда ваши пользователи будут кликать на каждое фишинговое сообщение, попадающееся им. Тем не менее, по данным исследования Echelon One, 77 процентов компаний не обучают своих конечных пользователей на предмет безопасности. Venafi рекомендует IТ-подразделениям проводить ежеквартальное обучение всех пользователей, чтобы избежать распространенные угрозы безопасности фирмы.
"Исследования IT-безопасности компаниями Venafi и Echelon One подтверждают все, от чего предостерегаем мы", - замечает Стю Жувермэн (Stu Sjouwerman), генеральный директор KnowBe4 - фирмы по вопросам безопасности. Компания Жувермэна провела аналогичное исследование уязвимости работников к фишинг-атакам. "Компании не инвестируют в подготовку по вопросам безопасности в интернете, и, в результате, они потенциально подвергают свои сети кибер атакам", - заключил он.
3. Шифрование данных "облаков"
Звучит как очевидный промах, но 64 процента IТ-организаций не шифруют свои данные и сделки, сделанные при помощи облачных технологий. Причиной по которой они этого не делают, по данным исследования, является то, что многие приложения "облаков" не кодируются по умолчанию. Очевидно, что многим IТ-специалистам нужно тщательнее проверять и управлять настройками безопасности на "облаках".
4. Использование надлежащих ключей шифрования
В то время, как исследование Echelon One показало, что большинство предприятий в целом неплохо справляются с политикой безопасности, оно также обнаружило, что в большинстве своем компании не используют надлежащие прочные ключи шифрования, которые по сути своей призваны защищать их базу данных. Согласно отчету Национального института стандартов и технологий, 1024-битные ключи шифрования стали менее эффективными, и 2048-битное шифрование должно использоваться для всех симметричных ключей. В соответствии с исследованиями Echelon и Venafi лишь 44 процента IТ-отделов используют рекомендованные типы кодирования.
5. План замены сертификата руководства
Почти каждое предприятие использует цифровые сертификаты для аутентификации множества сетевых сервисов, многие из которых имеют важное значение для потока доходов. Цифровые сертификаты уязвимы перед лицом мошенников, и в случае угрозы безопасности они должны быть заменены. На удивление, в Echelon One утверждают, что большинство проанализированных ими IТ-подразделений - 55 процентов - не владеют процессом управления ими. Чтобы обеспечить непрерывность бизнеса, скомпрометированные сертификаты и сопровождающие их ключи шифрования должны быть быстро заменены.
