Pet zakonitosti informacijske varnosti

Pet zakonitosti informacijske varnosti

Pet zakonitosti informacijske varnosti, ki jih morate poznati:

  1. Pojem absolutne varnosti ne obstaja.

    Ljudje so ustvarili vse večje obstoječe računalniške sisteme, kar pomeni, da so ranljivi prav zaradi tega razloga. Človeški faktor je pač vselej prisoten: v obliki napak ali pa zlonamerne kode. Tudi stvari, ki delajo vaše računalnike zmogljive in uporabne – komunikacija, kalkulacije in izvajanje kode – so ranljive točke. Informacijska varnost je torej proces upravljanja s tveganji. Dobra zasnova informacijske varnosti se prične s profilom tveganja, ki se potem prilagodi rešitvi za verjetne grožnje.

  1. Obramba vašega sistema mora biti popolna ves čas, napadalec pa mora imeti srečo, da prebije vaš sistem zaščite.

    napadalci uporabljajo enostavne načine. Tudi najboljši požarni zid ne bo preprečil, da bi vam ukradli trdi disk. Varnostna politika podjetja mora obsegati celosten pristop do vseh vaših sistemov, in na ta način zmanjša vpliv tveganj. Če dvomite v to, si še enkrat poglejte prvo zakonitost.

  1. Račun vašega administratorja je lahko kritičen 

    sistem je varen toliko kolikor je varen njegov najšibkejši člen. V današnjem času ima večina podatkovnih centrov dober sistem fizične zaščite, vendar nič od tega ni pomembno, če ima administrator popoln oddaljen dostop do svojih sistemov in to izkorišča za svoje lastne namene. Namestite t.i. key-logger na admin box, in si na tak način pridobite nadzor nad omrežjem. Ne podeljujte administrativnih pravic vsakomur v podjetju!

  1. Hekerje običajno vodi želja po zaslužku

    nemotiviran napadalec bo vedno izgubil bitko proti vestnemu skrbniku sistema. Hekerji si običajno najprej postrežejo z lahko dostopnimi tarčami, zato čim bolj omejite svoj javni profil, in zmanjšali boste število napadov. Spletni strežnik, ki je zavarovan s požarnim zidom in dovoljuje le vrata 80 in 443 zgleda veliko manj privlačen kot nezaščiteni spletni strežnik, ki se odziva na nekaj deset drugih vrat. Vendar, če je napadalec odločen in visoko motiviran potem bo napadel ne glede na vse. Zakaj so najbolje zavarovana omrežja še vedno ogrožena? Ker ima napadalec na razpolago neomejeno količino časa ter veliko motivacije. Branite se z ustreznimi načini.

  1. Uporabnost povečuje varnost:

    Najboljši varnostni nadzor je tisti, ki je obvezen in hkrati pregleden za končnega uporabnika. Najslabše so tiste kontrole, ki se jih težko uporablja in, ki od uporabnika zahtevajo, da spremeni svoje vedenje in navade. Samodejno preusmerjanje vaših spletnih strani na strani, ki uporabljajo SSL protokol povečuje zasebnost in varnost, hkrati pa so enostavne za uporabo.
    Tudi zahteva, da so uporabniška gesla dolga, da vsebujejo posebne znake in da ga uporabniki spreminjajo vsakih sedem dni, se lahko na prvi pogled zdi varna, vendar prisili uporabnike, da zaradi dolžine in zapletenosti gesla le-tega zapišejo nekam v bližino svojega računalnika (po možnosti si uporabniki geslo pritrdijo na monitor ali ohišje računalnika). Bolj kot dolgo geslo je pomembno, da zadosti pravilom močnega gesla. Ne zamenjujte kompleksnosti z varnostjo. Običajno je ravno obratno: enostavni sistemi so bolj učinkoviti pri zagotavljanju varnosti kot zapleteni.

 

(Povzeto po: http://mspmentor.net/blog/5-laws-it-security)