Badanie Computerworld: Najważniejsze czynniki ryzyka w organizacjach
- Computerworld,
- 14.02.2012, godz. 11:46
Przedstawiamy listę zawierającą najczęstsze "ryzyka" związane z bezpieczeństwem systemów IT. Zapraszamy do głosowania w naszej sondzie. Poniżej przedstawiamy zaś krótki opis największych zagrożeń i obszarów ryzyka.
Problemy związane z procesem i rozwiązaniami do tworzenia kopi zapasowych:
- Nie wszystkie systemy objęte backupem.
- Nieodpowiednia częstotliwość backupu.
- Czas przechowywania kopi zapasowych niezgodny z wymogami prawnymi i biznesowymi.
- Backup nie jest przechowywany w osobnej lokalizacji lub przekazywany jest tam za rzadko.
- Brak lub niewystarczające testy odtworzeniowe.
- Problemy z pojemnością I wydajnością systemów backupu.
Ciągłość działania IT
Problemy związane z niewystarczającymi zabezpieczeniami związanymi z zapewnieniem ciągłości działania dla systemów IT:
- Brak lub nieaktualny plan DRP (plan ciągłości działania IT) Brak testów planu DRP.
- Brak redundancji dla krytycznych komponentów IT (serwery, storage, etc).
Uwierzytelnienie
Problemy związane z uwierzytelnieniem i hasłami:
- Słabe hasła.
- Brak spójnej polityki haseł w przedsiębiorstwie.
- Współdzielenie haseł, kont.
- Wiele haseł do wielu systemów brak single sign on.
- Brak silnego, dwuskładnikowego uwierzytelnienia.
Autoryzacja i zarządzanie dostępem
Podatności związane z architekturą I procesami autoryzacji i zarządzania dostępem:
- Brak systemu zarządzania uprawnieniami w oparciu o role.
- Brak efektywnego procesu nadawania/odbierania uprawnień.
- Brak przeglądu uprawnień.
- Nadmiarowe uprawnienia przydzielone użytkownikom w systemach.
- Konta osób które odeszły z organizacji nie sa blokowane na czas.
Logowanie zdarzeń i monitoring
Niewystarczające logowanie I monitorowanie działań użytkowników i zdarzeń związanych z bezpieczeństwem informacji:
- Brak logowania zdarzeń lub niewystarczające logowanie zdarzeń w aplikacjach/systemach.
- Brak logów dostępu do danych (pliki, foldery, bazy, etc).
- Logi nie są przeglądane/analizowane.
- Logi nie są wysyłane na zdalne serwery.
- Brak rozwiązań do automatycznej analizy I korelacji logów.
Zarządzanie zmianą
Nieefektywny proces zarządzania zmianą:
- Brak procesu lub proces nie jest przestrzegany.
- Zmiany wprowadzane podczas godzin pracy.
- Brak podziału obowiązków - np. zmiany są implementowane na produkcji przez deweloperów, brak zatwierdzania zmian, etc.
- Brak dokumentacji zmian.
Proces wytwarzania i testowania oprogramowania
Problemy związane z rozwojem oprogramowania:
- Wymagania biznesowe nie są formalnie uzgodnione przed rozpoczęciem developmentu/zakupu.
- Deweloperzy mają dostęp do produkcji.
- Niewystarczające testy, liczne poprawki na produkcji po wdrożeniu.
- Testy UAT nie są sformalizowane.
- Kwestie bezpieczeństwa nie są zaadresowane w ramach developmentu (przegląd kodu, etc.)
- Brak dedykowanych środowisk testowych/UAT/Developerskich.
Zarządzanie kontami uprzywilejowanymi
Brak procesu zarządzania współdzielonymi I wbudowanymi kontami administracyjnymi:
- Brak kontroli dostępu do haseł tych kont (np. procedura kopertowa).
- Słabe hasła.
- Brak zmiany haseł (regularnie, po zmianach w personelu IT).
- Hasła hard-kodowane (skrypty, pliki, kod).
- Brak rozliczalności przy używaniu kont współdzielonych.
Zapraszamy do wypełnienia ankiety "Najważniejsze czynniki ryzyka w organizacjach"
Zobacz również: