ინფორმაციულ უსაფრთხოებაში დაშვებული შეცდომები – II ნაწილი

Posted on by
information security mistakes

გთავაზობთ ინფორმაციული უსაფრთხოების პრაქტიკაში დაშვებულ ყველაზე გავრცელებულ და როგორც წესი, სავალალო შედეგების მომტან შეცდომებს.

პირველი ნაწილი შეგიძლიათ ნახოთ ამ ბმულზე.

ადაპტირებულია ლენი ზელცერის ბლოგიდან .

რისკების მართვა

  • თანაბარი ყურადღების მიქცევა ყველა აქტივზე, მიუხედავად მათი რისკების პროფილისა.
  • ვინმეს რისკების მართვის პასუხისმგებლობით აღჭურვა, მაგრამ მისთვის გადაწყვეტილებების მიღების უფლებამოსილების არმიცემა.
  • ზოგადი სურათის უგულებელჰყოფა და მხოლოდ რაოდენობრივ ანალიზზე დაყრდნობა.
  • მიჩნევა, რომ უსაფრთხოებას არ სჭირდება ყურადღების მიქცევა, რადგანაც ორგანიზაცია არის პატარა ან უმნიშვნელო.
  • მიჩნევა, რომ უსაფრთხოდ ხარ რადგანაც ბოლო პერიოდში არ ყოფილა ორგანიზაციაზე (წარმატებული) შეტევა.
  • გქონდეს პარანოიდული მოთხოვნები ნებისმიერ აქტივზე, მისი რეალური ღირებულებისა და სისუსტეების შეფასების გარეშე.
  • ნებისმიერი ინფორმაციის კლასიფიკაცია როგორც „სრულიად საიდუმლო“ (top secret).

უსაფრთხოების პრაქტიკა

  • სისტემის, პროგრამებისა და უსაფრთხოების ლოგების უგულებელჰყოფა.
  • მოლოდინი, რომ მომხმარებლები დათმობენ კომფორტს უსაფრთხოების სასარგებლოდ.
  • ინფრასტრუქტურაში ისეთი და იმდენი უსაფრთხოების მექანიზმების დანერგვა, რომ მომხმარებლებისთვის სამუშაოს შესრულება იყოს ძალიან რთული.
  • ყოველთვის „არა“-ს თქმა, როდესაც მოდის რაიმე თხოვნა უსაფრთხოების საკითხთან დაკავშირებით.
  • უსაფრთხოების მოთხოვნების დანერგვა შესაბამისი ტრენინგის ან ტექნიკური საშუალებების უზრუნველყოფის გარეშე.
  • მხოლოდ პრევენციულ მექანიზმებზე ფოკუსირება და შემჩნევის (detective) მექანიზმების უგულებელჰყოფა.
  • ინტერნეტიდან ხელმისაწვდომი სერვერებისთვის DMZ-ის არქონა.
  • მიჩნევა, რომ პატჩების მართვის პროცესი მუშაობს, მისი შემოწმების გარეშე.
  • ლოგების წაშლა იმიტომ, რომ ძალიან ბევრია.
  • მოლოდინი, რომ SSL ვებ აპლიკაციასთან დაკავშირებულ ყველა პრობლემას მოაგვარებს.
  • USB მეხსიერებების გამოყენების აკრძალვა, მეორეს მხრივ კი ინტერნეტთან შეუზღდავი წვდომის დაშვება.
  • ქსელების და სისტემის ადმინისტრატორების, ასევე დეველოპერების ზემოდან ყურება.
  • ახალი ტექნოლოგიებისა და შეტევების შესწავლის შეწყვეტა.
  • უახლესი IT ან უსაფრთხოების ტექნოლოგიების დანერგვა სანამ ისინი მოასწრებენ სრულყოფას.
  • სამსახურში ვინმეს აყვანა მხოლოდ იმიტომ, რომ მას აქვს ბევრი პროფესიული სერტიფიკატი.
  • მენეჯმენტისთვის წარდგენილ მოხსენებაში იმ პრობლემების გამოტოვება, რომელთა თავიდან აცილება უსაფრთხოების მექანიზმების დანერგვით მოხერხდა.
  • IT-სა და უსაფრთხოების თანამშრომლების ჯვარედინი ტრენინგების საჭიროების იგნორირება.

პაროლების მართვა

  • მომხმარებლების იძულება ხშირად ცვალონ პაროლები.
  • მოლოდინი, რომ მომხმარებლები დაიმახსოვრებენ პაროლებს ჩაწერის გარეშე.
  • პაროლის სირთულის უზრუნველსაყოფად შემაწუხებელი მოთხოვნების დადება.
  • ერთი და იგივე პაროლის გამოყენება, განსაკუთრებით იმ სისტემებში, რომლებიც განსხვავდებიან მონაცემების კრიტიკულობითა და რისკების პროფილით.
  • პაროლზე მოთხოვნების დადება გაუთვალისწინებლად იმისა, თუ რამდენად მარტივია პაროლის განულება.

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *