Nie tylko program
- Józef Muszyński,
- 27.10.2009
Nie powinno się kupować technologii DLP (Data Leak Protection), dopóki użytkownicy nie zostaną do niej przygotowani. Wielu ekspertów ds. bezpieczeństwa uważa, że świadomość użytkownika jest kluczowa w procesie ochrony wrażliwych danych.
5 dróg wycieku danych, powodowanego przez pracowników:
- poczta elektroniczna,
- komunikatory,
- sieci społecznościowe,
- udostępnianie haseł,
- niewłaściwa polityka dostępu do danych w firmie.
Informacja w Gadu-Gadu
Komunikatory stały się rutynowymi aplikacjami komunikacyjnymi w przedsiębiorstwach, coraz częściej stosowanymi przez pracowników mobilnych. Pracownicy wykorzystują te programy do zdalnej komunikacji z przełożonymi i współpracownikami. Napastnicy wynajdują sposoby podsyłania złośliwych odnośników i załączników do takich użytkowników, tworząc fałszywe konta, które wyglądają jak legalne wiadomości od współpracowników.
Sprawa jest poważna, ponieważ wiele aplikacji IM można sprowadzić za darmo. Często można je zainstalować poza kontrolą IT. Podobnie jak w przypadku poczty, niezwykle istotne są tu uświadamianie pracowników przez odpowiednie szkolenia oraz właściwa polityka w zakresie bezpieczeństwa danych. Powinna ona jednoznacznie określać, które informacje mogą, a które nie mogą być wysyłane za pośrednictwem komunikatorów. Bardzo dobrym rozwiązaniem jest wykorzystywanie lokalnego komunikatora, który posiada kontrolowane połączenie z zewnętrzną siecią komunikatora, takiego jak Gadu-Gadu czy Tlen.
Pilnowanie haseł i aplikacji
Innym, poważnym problemem jest stosowanie jednego hasła do różnych aplikacji. Użytkownicy posługują się często dość długą listą haseł do aplikacji i systemów, chroniących dostęp również do poczty elektronicznej i komunikatorów. Ponieważ pamięć jest zawodna, często zapominają hasła, np. do rzadko używanych programów, i aby ułatwić sobie życie, używają tego samego hasła do wielu aplikacji, co znacznie ułatwia działanie napastnikowi. Polityka bezpieczeństwa powinna zakładać stosowanie różnych haseł do różnych systemów albo wykorzystywać centralizowane zarządzanie tożsamością.