10 základných pravidiel IT bezpečnosti pre MSP
1. Prevencia je základ
Zabezpečiť podnikovú infraštruktúru pred budúcimi útokmi je menej nákladné, ako reakcia na už existujúci problém. Ak sa vaša organizácia ešte nestala objektom útoku, určite sa mu v budúcnosti nevyhne. Útočníci sa orientujú najmä na zraniteľnosti softvéru, ľahko prelomiteľné heslá a v prípade, že je infraštruktúra po technickej stránke zabezpečená dostatočne dobre aj na nevyškolených zamestnancov podniku, ktorí ľahko naletia na podvrhnuté phishingové e-maily a odovzdajú tak útočníkovi citlivé informácie. Predvídajte a nedajte útočníkom šancu!
2. Zálohujte dáta
Uistite sa, že dôležité súbory pravidelne zálohujete. Odporúča sa vytvoriť dve zálohované kópie: jednu uloženú na fyzicky vzdialenej lokalite alebo v cloude (v prípade, že zálohy zašifrujete je možné využiť aj verejné služby ako Dropbox, Google Disk, atď.) a druhú na fyzickom úložisku (prenosný pevný disk, laptop, atď.). V prípade náhodného odstránenia súboru, zlyhania disku alebo nákazy počítača ransomwarom tak predídete jeho úplnej strate. Pre súbory nastavte obmedzenia: zálohovaná kópia súboru by mala mať povolenia iba na čítanie, bez možnosti súbor meniť alebo mazať.
3. Chráňte sa proti malvéru
Malvér sa najčastejšie šíri emailom, ktorý sa tvári ako legitímny email od známeho odosielateľa a vyzýva k nejakej akcii, či už je to kliknutie na priložený link alebo stiahnutie škodlivej prílohy. Ostražitosť je prvým krokom, ako sa chrániť pred škodlivým softvérom, ale samotná opatrnosť niekedy nestačí. Dokonca aj sťahovanie z legitímnych stránok môže niekedy obsahovať škodlivý softvér, preto musia organizácie prijať ďalšie bezpečnostné opatrenia a zabezpečiť podnikovú sieť spoľahlivým antivírusovým riešením.
4. Migrácia na cloud – nie tak rýchlo!
Nízke náklady, jednoduchosť správy a dostupnosť mimo firmy sú najčastejšími dôvodmi, prečo sa organizácie rozhodnú pre presun svojej infraštruktúry na cloud. Ak však migrácia prebieha bez dlhodobejšieho konceptu a prihliadnutia na možné riziká, je veľmi pravdepodobné, že sa skončí neúspechom. Pri výbere neprihliadajte len na cenu, ale aj funkčnosť a spoľahlivosť systému, legislatívne požiadavky a technické zabezpečenie dát.
5. Používajte jedinečné heslá
Heslá sú primárnym kľúčom na odomknutie účtov. Rovnakým spôsobom, ako by bolo z bezpečnostného hľadiska neefektívne používať jeden univerzálny na všetky dvere, je aj používanie toho istého hesla na prístup do všetkých účtov. Našťastie existuje softvér na správu hesiel, ktorý vám s pamätaním si všetkých hesiel úspešne pomôže.
6. Vytvorte bezpečnostnú politiku a bezpečnostné smernice
Tieto pravidlá umožňujú organizácii nastaviť spôsoby ochrany informácií a iných aktív v súlade s podnikovými cieľmi, dobu uchovávania dokumentov, e-mailov a akejkoľvek komunikácie. E-mailové systémy môžu byť nakonfigurované tak, aby automaticky vyprázdnili správy po uplynutí určitého počtu dní v súlade s nastavenou politikou. Staršia komunikácia sa tak v prípade útoku nedostane do rúk útočníka. Správne nastavené interné procesy vám umožnia mať kontrolu nad tým, kto má k dokumentom prístup. Odporúčame zaviesť pravidlo „need to know“, ktoré umožní zamestnancovi prístup len k tým informáciám a aktívam, ktoré nevyhnutne potrebuje na vykonávanie svojej činnosti. V prípade ukončenia pracovného pomeru je potrebné zabezpečiť, aby boli včas odobraté prístupové oprávnenia, aby boli navrátené všetky aktíva a informácie a aby bola zabezpečená kontinuita činností na danej pracovnej pozícii.
7. Vzdelávajte zamestnancov
Je nevyhnutné zabezpečiť, aby všetci zamestnanci, ktorí majú prístup k podnikovej sieti mali dostatočne vysoké povedomie o rizikách, hrozbách, možnostiach ochrany pred nimi a o bezpečnom používaní informačných a komunikačných technológií. Jedine pravidelnými školeniami je možné chrániť sa pred útokmi sociálnym inžinierstvom, ktorými kyberzločinci dokážu získať informácie aj bez prekonávania technických zraniteľností v systéme. Útočníci neustále pracujú na vylepšovaní techník útoku, preto je dôležité bezpečnostnú politiku priebežne aktualizovať a o zmenách informovať zamestnancov.
8. Používajte
Klasické overovanie pomocou mena a hesla je považované za nedostatočné a vhodné len v nenáročných prípadoch. Vyššie zabezpečenie sa dá dosiahnuť kombináciou s ďalšími faktormi, ako napríklad generovaním jednorázovych hesiel, využitím biometrických dát alebo hardvérovými tokenmi.
9. Používajte firewall
Prvou obrannou líniou v prípade kybernetického útoku je firewall, ktorý zabraňuje útoku na internú sieť. Okrem štandardnej brány firewall na perimetri siete odporúčame implementovať aj druhý firewall od iného výrobcu, ktorý poskytne zvýšenú ochranu. Je dôležité, aby zamestnanci, ktorí pracujú z domova, inštalovali firewall aj na svoju domácu sieť. Pre organizáciu je však problematické zabezpečiť kontrolu nad domácou sieťou. Lepším riešením je poskytnutie mobilného pripojenia a pripojenia sa cez VPN, samozrejme z firemného notebooku s inštalovanými bezpečnostnými nástrojmi.
10. Inštalujte overený antivírus na všetky zariadenia
Uistite sa, že každý počítač vašej firmy je vybavený antivírusovým softvérom a pravidelne sa aktualizuje. Všetci dodávatelia softvéru poskytujú opravy a aktualizácie svojich produktov na opravu problémov s bezpečnosťou a na zlepšenie funkčnosti. Nakonfigurujte softvér na automatickú inštaláciu aktualizácií.