Małe i średnie firmy są szczególne, jeśli chodzi o bezpieczeństwo IT. Są zbyt małe, by wdrożyć zaawansowane rozwiązania i prawdopodobnie nie potrafią odeprzeć skomplikowanych ataków. Mają jednak proste IT.

Wielkość organizacji z sektora MSP sprawia, że prawdopodobieństwo znalezienia się na celowniku włamywaczy-specjalistów może być niskie. Mimo że włamywaczom udaje się spenetrować nawet niektóre cele militarne, mała firma może być względnie bezpieczna, nawet jeśli nie jest skutecznie chroniona. Wystarczy, by była lepsza od swoich sąsiadów, których łatwiej zaatakować. Oto pięć prostych porad, które sprawią, że firma z sektora MSP będzie lepiej zabezpieczona niż większość podobnych organizacji.

1. Podstawy, o których nie wolno zapominać

Poradniki zalecają instalację antywirusa i zapory sieciowej na wszystkich komputerach w firmie. Pracowników należy szkolić w zagadnieniach dotyczących bezpieczeństwa poczty elektronicznej i praktyki przeglądania internetu. Należy jednak sprawdzić, czy narzędzia bezpieczeństwa są aktualne. Czy pracownicy wiedzą, jakie ryzyko mogą przynieść załączniki wiadomości e-mail? Podstawowe porady obejmują:

• nadanie uprawnień na poziomie zwykłego użytkownika, unikanie uprawnień systemowych;
• zadbanie o aktualizację systemów, najlepiej włączyć automatyczną instalację poprawek bezpieczeństwa;
• przechowywanie istotnych danych wyłącznie na współdzielonym dysku sieciowym;
• szkolenie pracowników w dziedzinie nowych trendów, takich jak zagrożenia mobilne i phishing w sieciach społecznościowych.

2. Zatkać powódź spamu i innych śmieci pocztowych

Wiele problemów zaczyna się od poczty elektronicznej, ale można sprawić, by na niej zagrożenie się kończyło. Dobre narzędzia antyspamowe umożliwią odcięcie wielu ataków phishingowych, gdyż śmieciowy e-mail nie dotrze do firmy. Spam jest nie tylko wektorem ataku, ale także złodziejem pasma i przestrzeni dyskowej. Firmy z sektora MSP często korzystają z zewnętrznych skrzynek pocztowych i warto wybierać takiego dostawcę, który posiada dobre filtry antyspamowe. Nieco większe firmy mogą zainwestować w bramę antyspamową, która odsieje wiadomości-śmieci i będzie to robić skuteczniej od rozwiązań desktopowych w dłuższej perspektywie. Najmniejsze firmy mogą skorzystać z usług poczty Gmail lub podobnej.

3. Pozbyć się prostych haseł

Według Deloitte, ponad 90% haseł utworzonych przez użytkownika może być złamanych, dotyczy to nawet haseł uważanych przez IT za bezpieczne.

Mocne hasła są długie, zawierają litery małe i wielkie oraz cyfry i znaki specjalne, co sprawia, że ich zapamiętanie jest trudne. Takie hasło należy albo zapisać albo zapamiętać za pomocą mnemotechniki. Oto przykład: „w USA kupiłem (za 100 ) czerwone kimono i Ona dobrze w nim wygląda ” utworzy mocne hasło „wUk(z1)ckiOdwnw”. Warto przetestować złożoność tworzonego tą metodą hasła (ale nie tego właściwego!) za pomocą narzędzi takich jak How Secure is My Password. Niestety, mnemotechnika nie jest pozbawiona wad i dość często zapomina się o wstawianiu znaków specjalnych.

Do wielu usług należy mieć osobne hasła, dlatego inwestycja w narzędzia do zarządzania hasłami jest uzasadniona. Nie są to drogie rozwiązania, przykładowy program LastPass kosztuje 12 USD rocznie, obsługuje urządzenia mobilne i umożliwia wykorzystanie tokenów USB. Narzędzie zapamiętujące hasła daje także ochronę przed prostym keyloggerem (podstawowym składnikiem złośliwego oprogramowania takiego jak ZeuS czy SpyEye), gdyż zapisane hasło nie będzie wpisywane ponownie z klawiatury.

4. Zabezpieczyć więcej niż tylko sieć

Celem ataku może być strona www, a nawet firmowa baza danych. Przed większością ataków nie chroni prosta zapora sieciowa, gdyż środowisko webowe wymaga zabezpieczeń na poziomie sieci, aplikacji, systemu operacyjnego i bazy danych. Przeważnie ludzie myślą o tych zabezpieczeniach jako o koncentrycznych kręgach – jeśli zabezpieczysz coś na zewnątrz, to wszystko w środku będzie bezpieczne. W praktyce proste zapory sieciowe rzadko potrafią zablokować najpopularniejszy atak, jakim jest SQL Injection. Z kolei zaawansowane firewalle aplikacyjne nie potrafią zablokować ataków, na które nie ma pospolitych sygnatur, np. związanych z bazami danych.

Jeśli włamywacz dostanie się do firmowej bazy bez pośrednictwa aplikacji, może ukraść dane lub zmienić informację i nikt tego nie zauważy. O tej drodze dostępu nie można zapominać i należy mieć świadomość zagrożenia.

5. Do chmury zwrot

Dostawcy złożonych narzędzi bezpieczeństwa dążą do modelu usługowego i na rynku pojawia się coraz więcej ofert „z chmury”. Oprócz antywirusa, filtrowania poczty, ochrony ruchu, filtrowania ataków odmowy obsługi, można spotkać nawet tak zaawansowane narzędzia, jak zarządzanie urządzeniami mobilnymi (Apperian, Fiberlink, Citrix) i ochrona smartfonów przed zagrożeniami (Meanwhile, Bullguard, Lookout Mobile Security, Marble Security). Takich narzędzi będzie coraz więcej i warto z nich korzystać – w modelu chmury firma może kupić rozwiązania, na które nie byłoby jej stać.

Na podstawie: 5 security best practices for SMBs, by Jeff Vance, Network World (US) (07/16/2013)