A A A

PBP - najważniejsze zasady

Moim zdaniem jedną z najważniejszych zasad jest zasada najsłabszego ogniwa, gdzie poziom bezpieczeństwa wyznaczany jest przez najsłabszy (najmniej zabezpieczony) element. Jak już napisałem w artykule "Człowiek - zagrożeniem dla systemu informatycznego", często najsłabszym ogniwem jest człowiek, no bo jakim zabezpieczeniem jest hasło zapisane na kartce i przylepione do monitora? Oczywiście najsłabszym ogniwem wcale nie musi być człowiek.

Cytat z archiwalnego artykułu (http://www.cert.pl/news/62):

O tym, że słaby punkt w całości rozwiązania z zakresu bezpieczeństwa decyduje o ogólnym poziomie bezpieczeństwa, przekonał się ostatnio kilku światowych potentatów, których zagraniczne file zostały skutecznie zaatakowane przez hakerów.
Skuteczny atak dotyczył takich firm jak BMW – oddział we Francji, Renault – oddział w Południowej Afryce, Chevrolet – oddziały w Indii i Argentynie, Opel – oddział w Indii oraz słynnej firmy z branży security – Network Associates – oddział w Brazylii. Metod wykorzystywania najsłabszego ogniwa jest często stosowana przez hakerów, zarówno w przypadku pojedynczego systemu jak i całej wielkiej korporacji. Chris McNabb, analityk bezpieczeństwa, jasno zdefiniował przyczynę: “firmy te nie mają ujednoliconej polityki bezpieczeństwa. Nieposiadanie takiej polityki tworzy słabe ogniwa w łańcuchu, które następnie wykorzystują hakerzy próbując uzyskać dostęp do najbardziej istotnych obszarów firmy.

Kolejną bardzo ważną zasadą jest zasada przywilejów koniecznych. Bardzo ważne z punktu widzenia bezpieczeństwa jest to, aby żadna aplikacja czy usługa, a także użytkownik nie dysponował uprawnieniami większymi niż jest to niezbędne do ich prawidłowego funkcjonowania. To co w systemach unixowych jest normą, w systemach Windows do nie dawna nie było regułą – praca na kontach z ograniczonymi uprawnieniami. Wszyscy powinni mieć ograniczone możliwości poruszania się po systemie. Powinni móc komfortowo pracować i uruchamiać potrzebne im aplikacje i otwierać tylko pliki, które są im potrzebne do wykonywania swojej pracy.

Także zasada świadomości jest bardzo istotna. Wszyscy w przedsiębiorstwie, czy instytucji powinni zdawać sobie sprawę z zagrożeń. Zdecydowanie łatwiej oszukać człowieka niż wymyślne zabezpieczenia sprzętowe. Stąd chyba najbardziej spektakularne włamania zostały dokonane na bazie technik socjotechnicznych. Dzwoni telefon, osoba po drugiej stronie podaje się za jakąś ważną osobę w firmie i prosi pracownika o podanie hasełka ;-)

Od dłuższego czasu próbuję uświadamiać ludzi w przedsiębiorstwach i instytucjach i wdrażać zasadę ograniczonego zaufania, jednak muszę przyznać, że część „materiału”, z którym mam do czynienia jest niezwykle odporny ;-) Jak widzę, że zamiast uprawnionej osoby przed komputerem siedzi (pracuje) ktoś inny, to dostaję białej gorączki. I zanim zacznę coś mówić słyszę już tłumaczenie: „no wiem, że nie powinienem/powinnam, ale wiesz, przecież to kolega/koleżanka, pracuje razem z nami w tej samej firmie, chciał/chciała coś wydrukować, lub mi pokazać”, to mi ręce opadają. Niestety wiele instytucji i mniejszych przedsiębiorstw nie ma u siebie jasno sprecyzowanej polityki bezpieczeństwa i pracownicy, którzy korzystają z komputerów nie podpisują żadnego papierka, który mógłby ich, chociaż w jakimś minimalnym zakresie zmotywować, do przestrzegania podstawowych procedur bezpieczeństwa.

Niestety (przypuszczam, że dopóki coś się nie stanie) jestem jak Don Kichot walczący z wiatrakami ;-)

 

Uważasz, że artykuł był ciekawy i chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"

Twoje imię:


Adres email:


Zabezpieczanie pomieszczeń i sprzętu
Człowiek - zagrożeniem dla systemu informatycznego

Podobne wpisy

 

Komentarze

Umieść swój komentarz jako pierwszy!
Gość
sobota, 25 maj 2019

Zdjęcie captcha

Najnowsze komentarze

Gość - Andy SSL i Joomla! w Smarthost
03 styczeń 2019
Dzięki, jak zwykle dobra robota! Warto dodać, że instalacja certyfikatu SSL nie zapewnia bezpieczeństwa transmisji danych. To jest możliwe po wdrożeniu polityki bezpieczeństwa w firmie. Co do SSL - to...
Gość - Henryk Jak utworzyć menu poziome w szablonie protostar?
02 styczeń 2019
Robię punkt po punkcie i nie wyświetla się poziome menu Nie wiem gdzie tkwi błąd i co robię źle?Jeśli to możliwe to proszę o pomocps. posiadam książkę "Joomla! 3x" i tu również niema pomocy Pozdrawiam...
Gość - Joanna Jak utworzyć własny szablon dla Joomla! nie dotykając kodu? EF4 cz.2
09 grudzień 2018
Czy jest jakaś możliwość, żeby zmienić układ top-bar i tej linii, w której jest logo? Tam niby są flexibloki ale nie można zmienić ich szerokości, a tego potrzebuję bardzo. Jak tego dokonać???
Gość - Informatyk Tworzenie bazy danych w CPanelu na Smarthost - instalacja Joomla!
19 listopad 2018
Dziękuje za ten wpis joomla zawsze była dla mnie problematyczna
Gość - Sławomir DJ Image Slider
04 listopad 2018
co robić? Zdjęcia wyświetlają się pionowo, jedno pod drugim. Żadna zmiana w opcjach, nic nie daje??? Pomożecie?