Badanie Computerworld: Najważniejsze czynniki ryzyka w organizacjach
- Computerworld,
- 14.02.2012, godz. 11:46
Problemy związane z Polityką bezpieczeństwa i procedurami:
- Brak lub nieaktualne polityki/procedury.
- Zbyt wiele procedur, zbyt skomplikowane niezrozumiałe dla użytkowników.
- Nieadekwatne do wykorzystywanej technologii.
- Brak utrzymania polityk i procedur.
- Polityki i procedury nie są przestrzegane.
Bezpieczna konfiguracja systemów/hardening
Brak “hardeningu" systemów:
- Domyślna instalacja (ustawienia, usługi, hasła).
- Brak standardów bezpiecznej konfiguracji (tzw. build).
- Niebezpieczne protokoły, usługi, nadmiarowe uprawnienia.
Zarządzanie oprogramowaniem
Problemy związane z zarządzaniem oprogramowaniem i licencjami:
- Nielicencjonowane oprogramowanie/ oprogramowanie instalowane samodzielnie na stacjach roboczych.
- Brak standardów oprogramowania.
- Brak procesu zarządzania licencjami.
Świadomość użytkowników
Brak świadomości użytkowników w zakresie bezpieczeństwa informacji.
Bezpieczeństwo informacji w projektach
Wymogi bezpieczeństwa informacji nie są uwzględnione w projektach:
- Brak zaangażowania komórek związanych z bezpieczeństwem w projekty.
- Brak akceptacji ze strony bezpieczeństwa przed wdrożeniem projektu.
- Architektura niezgodna ze standardem.
Ochrona danych poufnych
Niewystarczająca ochrona poufnych danych:
- Poufne dane wymieniane z partnerami poprzez Internet ze stronami trzecimi (e-mail, kurierzy, FTP).
- Dostęp do danych (pliki, foldery, portale) nie jest kontrolowany (nadmiarowe uprawnienia, brak przeglądu).
- Brak polityki klasyfikacji danych, lub klasyfikacja nie jest wdrożona.
- Brak wdrożonej polityki i procesu zarządzania nośnikami wymiennymi (USB, etc.).
- Ryzyka związane z wyciekiem informacji nie są zaadresowane.
Podatności w aplikacjach biznesowych i architekturze
Podatności w aplikacjach biznesowych (architektura, implementacja):
- Brak dokumentacji.
- Brak uwierzytelnienia, szyfrowania, walidacji w interfejsach pomiędzy aplikacjami.
- Interfejsy bazujące na wymianie plików płaskich bez mechanizmów walidacji danych, kontroli dostępu do plików.
Zobacz również:
- Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
- Idealne miejsce dla rozwoju pracowników
- Problemy architektoniczne (ex. zapytania SQL z serwera bazy danych, przestarzale technologie).
- Problemy związane z walidacja danych wejściowych/wyjściowych.
- Brak nadzoru przetwarzania wsadowego.
Zapraszamy do wypełnienia ankiety "Najważniejsze czynniki ryzyka w organizacjach"