СЪВЕТИ ЗА ПОДОБРЯВАНЕ НА ФИРМЕНАТА ВИ IT СИГУРНОСТ
Ще се опитаме да ви дадем няколко ценни съвета с които бихте могли да повишите информационната сигурност във Вашият офис без да бъдете компютърен специалист.
В тази статия ще говорим за „човешката грешка“ при работата с компютърните системи във вътрешно-фирмена мрежа с интернет и споделени ресурси.
Дългогодишният ни опит в абонаментната компютърна поддръжка за различни по дейности и големина фирми, показва, че са много малко начините да се защитите от „човешка грешка”,
но е по-добре да се помисли и да се предприемат действия в тази насока. Най-честата причина за пробив в сигурността на една фирма тръгва от „вътре“.
Винаги е най-добре да помислите една крачка напред, преди да се случи най-лошото. Опитът ни показва, че в повечето фирми рядко се засяга темата за рискове при работа с Интернет,
електронна поща и вътрешно фирмена електронна документация от самото начало при първоначалните инструктажи и обучения на служителя.
Ако не сте помисли за правила как ще се използват тези ресурси, за съжаление, ги оставяте в ръцете на служителя, а понякога това е доста безразсъдно,
особена ако имате назначен компютърен специалист или ползвате външна фирма за поддръжка. В случаите когато има кой да се грижи за техниката ви и няма заложени правила за ползване,
ползващите тези ресурси си мислят, че могат да правят всичко, защото има кой да го оправи. Това е така само на пръв поглед, когато се отвори заразен файл от ползвателя и той даде
съгласие да се изпълни, антивирусната защита може да алармира с съобщения, но с цел да се махнат най-бързо от екрана, в най-честият случай се пренебрегва съдържанието им и се позволява
да се изпълни файла, което обикновено води до недобри последствия.
Фирмите нямащи компютърна поддръжка, се справят както могат с възникването на проблеми, но дали имат познанията какво трябва и какво не трябва да се прави на фирмите компютри.
Имат ли изградена политика за работа с тях ?
Ето няколко теми по които бихте могли да помислите при вмъкване на политики в първоначалните инструктажи:
Използване на Интернет:
В днешният бизнес свят почти никоя компания не може да функционира без Интернет свързаност. Всички в офиса прекарват голяма част от работно си време “в Интернет”.
За да сте сигурни, че това не излага Вашата фирма на риск, трябва да имате изградени политики за начините по които се използва Интернет.
Използване на Интернет само за работни цели:
Първото и много важно нещо, което трябва да се знае, че Интернет трябва се използва само за служебни цели. Без съмнение това е трудно правило, особено да се наложи изцяло,
но със сигурност ще намали времето, което хората прекарват в сайтове, който не са свързани с работния процес. Ето няколко основни стъпки чрез които да подсигурите спазването на правилото “интернет само за служебни цели”:
• Блокиране свалянето на всякакви файлове, освен документи и други, които може да са свързани с дейността на фирмата;
• Достъпването на лични акаунти не трябва да става от работните компютърни системи. Ако служителите Ви трябва / искат да имат достъп до личния си мейл, профили в социалните мрежи или други лични приложения, нека го правят от личните си устройства;
• Инсталация и често обновяване на антивирусния софтуер. Всяка компютърна система трябва да има инсталирана антивирусна програма
(по възможност е добре да бъда на един и същ производител в локалната мрежа). Трябва да бъде настроена да се обновява редовно, и също така да сканира при възможност в реално време;
• Друго много важно е от самото начало да давате насоки и за сърфиране в Интернет при използването на служебните мобилни устройства в публична среда – несигурни WiFi мрежи.
При някои от нашите клиенти, използващи абонаментна компютърна поддръжка сме активирали приложения за филтриране на трафика от Интернет.
Ние лично не сме привърженици на ограниченията, но когато нещата опират до информационна сигурност, не трябва да се правят компромиси и понякога се налагат крайни мерки.
Използване на имейл адреси:
Също както Интернет, използването на фирмени имейл акаунти е ежедневие.
Не е препоръчително да бъдат ползвани акаунти направени в обществени пощенски сървъри. Цените на Ваш домейн и пощенски сървър са вече изключително достъпни и не си заслужава да се пести от това.
Освен с ниво защита, Вие се сдобивате и Интернет идентичност, което е много важно за един бизнес. Използването на имейли трябва да бъде единствено за бизнес цели, и то не за каквото и да е,
а само за специфично отредената на конкретният служител роля. За съжаление, недоброжелатели създаващи зловредни кодове станаха изключително изобретателни и успяват да изпратят имейл с на пръв поглед познати контрагенти.
Ако все пак бихте искали да сте сигурни дали това не е СПАМ, обръщайте внимание дали домейн адреса на подателя е правилният. Важно е и да ползвате стандартизиран фирмен e-mail подпис.
Това не само придава наистина представителен вид на фирмената ви кореспонденция, прави имейл адресите Ви лесно различими, но и прави по-трудни атаките от тип “фишинг”, защото така и малки разлики в нечий подпис ще бъдат лесно забележими.
Използване на сложни пароли:
Всички знаем колко е важно паролите, които ползваме да бъдат сложни.
Този принцип трябва да важи и за служителите Ви. Причината е съвсем очевидна – служителите обикновено задават лесни за помнене, но и за компрометиране пароли.
В крайна сметка не те излагат собствената си фирма или пари на риск. Затова е добре да ги инструктирате да създават сложни пароли, използвайки различни символи, ГОЛЕМИ, малки букви и комбинация от v$icHk1 тях.
Използване на вътрешнофирмена информация на лични устройства:
Възможността за използване на фирмена документация на лични устройства трябва да бъде предоставяна само след изградена и въведена сред служителите политика за това.
В компютърните среди се използва термина BYOD. BYOD (Bring Your Own Device, също и вариантите bring your own technology (BYOT), bring your own phone (BYOP), и bring your own PC
(BYOPC) или донеси своя технология, донеси своя телефон, донеси своето PC) e вътрешнo фирмена политика, която всяка фирма е добре да има.
Tя позволява на работещите да носят свои устройства като лаптопи,
таблети и смартфони на работа и да ползват тези устройства за достъп до вътрешна фирмена информация, програми, приложения и т.н. Терминът е също така използван, за да опише практиката,
при която обучаващи се или студенти носят своите устройства по време на курсове и лекции. Обикновено се приема, че компаниите които приемат тази практика са по-гъвкави.
Някои хора със сигурност биха предположили, че могат да го правят, ако изрично не е указано друго, но това не е правилно. Затова направете тази политика част от първоначалните си инструктажи.
Също така подчертайте, че цялата електронна информация върху компютрите, сървърите или мрежовите прикачени хранилища (NAS) е собственост на фирмата и те нямат право да се разпространяват, изнасят или трият без изричното Ви позволение.