5. Wyłączanie zabezpieczeń

Robią to zazwyczaj osoby mające uprawnienia administratora, chcąc w ten sposób ułatwić życie pracownikom firmy. Może to jednak doprowadzić do katastrofy, gdyż uzyskają oni w ten sposób dostęp do zasobów IT, które powinny być szczególnie chronione.

Rady:

System IT powinien być tak skonfigurowany, aby osoby logujące się jako administrator nie miały prawa serfowania po Internecie. Powód jest prosty. Internetowy malware może wtedy zaatakować co najwyżej zwykłego pracownika nie posiadającego dużych uprawnień, a tym zmniejsza się szansa na to, że zainfekowane zostaną krytyczne zasoby IT.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna

Generalnie należy też dążyć do tego, aby nikt w firmie nie mógł samowolnie wyłączyć jakiegokolwiek zabezpieczenia, takiego jak antywirus.

6. Niebezpieczne społecznościowe portale

Zaletą wszelkiego rodzaju sieci społecznościowych jest to, że wykorzystujący je pracownicy mogą być bardziej efektywni i innowacyjni. Wadą natomiast to, że mogą przenosić do takich sieci różnego rodzaju poufne informacje, które nie powinny wyciekać na zewnątrz firmy. Poza tym istnieje ryzyko, że pracownicy korzystający z usług takich sieci mogą paść ofiarą ataków wykorzystujących zaawansowane technologie z dziedziny inżynierii społecznościowych.

Rady:

Należy prowadzić regularne szkolenia z zakresu inżynierii społecznościowych. I nie chodzi tu o organizowanie takiego szkolenia raz na kilka lat, ale ciągłe informowanie pracowników, co też nowego dzieje się w tym obszarze, posiłkując się wtedy najlepiej przykładami wziętymi z realnego świata.

7. Bezpieczeństwo urządzeń mobilnych

Środowiska BYOD powstają jak grzyby po deszczu i wiele firm zaakceptowało ten sposób pracy, więc trudne jest obecnie, a właściwie niemożliwe zapobieganie przenikaniu się dwóch światów IT – korporacyjnego i osobistego. Miliony mobilnych urządzeń, które pracownicy wykorzystują do celów służbowych, trafia do domów czy kawiarń, gdzie pełnią rolę osobistych systemów komputerowych. Niestety często nie są one należycie chronione. Znajdujące się na ich dyskach dane nie są zaszyfrowane, a urządzenia nie są kontrolowane przez profesjonalne systemy typu MDM (Mobile Device Management). Dostęp do urządzeń często można uzyskać nawet bez podania standardowego numeru PIN.

Rady:

Należy zmusić użytkowników urządzeń mobilnych do tego, aby były zabezpieczane przynajmniej hasłem PIN. Warto też uświadomić im, że używanie takich urządzeń w miejscach publicznych, takich jak kawiarnia, stacja kolejowa, lotnisko czy supermarket, wiąże się ze zwiększonym zagrożeniem, że zostaną zaatakowane przez hakerów. Czyhają oni, by przejąć na nimi kontrolę i wejść w posiadanie przechowywanych na dyskach danych, zarówno osobistych, jak i korporacyjnych. Dlatego dane korporacyjne przechowywane na komputerach osobistych zawsze powinny być szyfrowane.

8. Za dużo uprawnień

Administratorzy systemów IT potrafią czasami utworzyć konto o dużych uprawnieniach, a następnie udostępniać je wielu użytkownikom. Administrator ułatwia sobie w ten sposób życie cedując wiele zadań na użytkowników, ale traci kontrolę nad tym, jak użytkownicy wykorzystują przyznane im uprawnienia. Użytkownik takiego konta może bowiem zupełnie nieświadomie stworzyć w systemie lukę, którą haker wykorzysta do przejęcia nad nim kontroli.

Rady:

Każde konto powinno z założenia być przydzielane tylko jednemu użytkownikowi, a nie kilku użytkownikom tworzącym w firmie grupę roboczą. Administrator ma wtedy kontrolę nad kontami i w przypadku jakichkolwiek wątpliwości może zwrócić uwagę konkretnemu użytkownikowi, że postąpił niewłaściwie i na przykład nie powinien przechowywać danych w określonej lokalizacji.

9. Brak dbałości o bieżącą aktualizację oprogramowania

To poważne, i niestety często obserwowane zaniedbanie, znacznie osłabiające bezpieczeństwo systemu IT. Użytkownicy hołdują w takich przypadkach błędnemu przekonaniu, że jeśli coś w danym momencie pracuje poprawnie, to nie należy tego ruszać. W efekcie niektóre elementy systemu IT mogą być skutecznie zaatakowane przez cyberprzestępców, chociaż jedno kliknięcie myszą instalujące określoną łatę mogłoby zapobiec takiemu niebezpieczeństwu.

Rady:

Istnieje tylko jedna prosta rada. Każde uaktualnienie oprogramowania powinno być instalowane tak szybko, jak jest to tylko możliwe. Powinna tu obowiązywać żelazna zasada – lepiej dmuchać na zimne niż później dotkliwie się poparzyć.