Пет тайни за сигурностa, които ИТ администраторите не искат да знаете
от Филип Либерман - изпълнителен директор, Либерман Software
Като ценни членове на вашата организация, ИТ администраторите работят всеки ден, за да осигурят работоспособността на вашата инфраструктура. Но при днешния натиск за сдържане на оперативните разходи, ИТ администраторите биха могли да тръгнат по много “по-преки пътища”, отколкото бихте очаквали. А може би нито един аспект на ИТ не страда повече от “преките пътища” отколкото сигурността. Съществуват пет факта за вашата ИТ сигурност, за които вашите администратори вероятно не искат да знаете.
Повечето пароли никога не се променят
Разбира се, регламентите могат да изискат чести смени на паролите на всички потребители във вашата инфраструктура. Но макар че вашите ИТ администратори могат да имат за задача да променят паролите на регулярна основа, във вашата организация, вероятно липсва автоматизация надеждно да извършва тази промяна, като паролите може да бъдат хиляди, което значи много.
Чувствителни акаунти като администраторски идентификатори, вградени application-to-aplication пароли и привилегировани сервизни потребители, често запазват едни и същи пароли за години, защото ИТ персоналът може да няма инструменти да ги следи и да ги променя. И тъй като системите и приложенията често се “чупят”, когато ИТ персоналът се опитва да променя взаимозависими идентификатори (credentials), много от най-привилегированите идентификатори във вашата организация може да останат непроменени за продължителен период от време.
Временната промяна на процеси и ръчно писаните скриптове може да успеят в обновяването на паролите на някои видове привилегировани акаунти, но ако вашата организация не е инвестирала в софтуер за управление на идентичността, вие можете да бъдете сигурни, че много от на паролите, които предоставят достъп до най-чувствителната информация на вашата организация, никога не са променяни. Това означава, че достъп до тези данни - дали от ИТ персонала, програмисти, подизпълнители и други, които някога са имали достъп - ще продължават да се разпространява с течение на времето
Твърде много хора имат твърде много достъп
Независимо от вашите писмени политики, пароли на високо-привилегировани акаунти почти със сигурност се знаят от голяма част от ИТ персонала. И най-вероятно, за по-голямо удобство тези идентификатори са споделени с лица извън ИТ персонала.
В резултат изпълнители, доставчици на услуги, приложнит програмисти и дори крайни потребители е вероятно да имат възможност да получат привилегирован достъп с помощта на идентификаторите, които може би никога не се променят. Освен ако нямате технология на място, за да следите привилегированите идентификатори, да делегирате достъп и да ги променяте след всеки път, когато са използвани, вие никога няма да узнаете кой в момента има достъп
========================================================================
www.mscservices.eu - Вашите ISO консултанти. ISO 27001, ISO 20000, BS 25999
========================================================================
Данните на вашия изпълнителен директор не са тайна
С всички актуални заглавия за корпоративни и държавни изтичания на данни, вие все още може да бъдате изненадани да знаете,колко много хора имат достъп до файлове на вашите работни компютри, както и до данните, намиращи се в приложенията, които старши мениджърите използват всеки ден. Всеки, който знае правата на идентификаторите, може да придобие анонимен достъп да чете, копира и променя данни - включително данните от комуникацията и приложенията, принадлежащи на управленския персонал. В много случаи тези идентификатори са известни не само на висши ИТ мениджъри, но също така и на по-низшия ИТ персонал, екипите за приложно програмиране, контрагенти и др. Повече от вероятно е ниско платените ви Help Desk служители, да имат достъп до по-чувствителни данни, отколкото финансовия ви директор. А тези подизпълнители в Индия? Вероятно е те да имат достъп и до акаунта на изпълнителноя директор също.
IT одиторите може да бъде подведени
Ако вашите администратори знаят за пропуски в сигурността или неработещи политики, които вашите IT одитори не са открили, те най-вероятно ще се опитат да отнесат тези знания в гроба си. ИТ персоналът има ограничен период от време да завърши по-значими проекти, които влияят върху показателите за изпълнение и заплащанията, така че в повечето случаи можете да забравите за тях, що се отнася до пропуските в сигурността, които вашите одитори не са успели да забележат.
Сигурността често остава на заден план
Структурата за заплащането на Вашите ИТ администратори обвързани ли е със сигурността? Не е ли? Тогава те вероятно не са толкова проактивни, както може да се очаква, когато става въпрос за сигурността на вашата мрежа. Повечето ИТ администратори не биха ви разказали за уязвимости в сигурността, които те откриват в хода на работата си, защото на тях не им се плаща да водят губещи битки за получаване на ресурси, необходими за отстраняване на всички установени пропуски в сигурността.
Тъй като възнагражденията рядко са обвързани със сигурността на вашата мрежа, вашият ИТ администратор вероятно също не поема инициативата да актуализира своите технически умения, що се отнася до сигурността. Като резултат, дори когато бюджетите дават възможност за покупки на нови технологии за сигурност, вашите служители може да нямат никаква представа как да използват тези нови инструменти ефективно.
Базово, сигурността на всяка организация зависи от това колко добре ИТ балансира удобството с контрола и отчетността. Твърде често ИТ се оставя свободно да царува, работейки по нейните собствени правила когато става дума за сигурност и се съпротивлява, работейки под същите видове контроли, които се прилагат към другите в организацията.
Тези организации, които работят, за да приведат ИТ в баланс - въвеждайки отчетност чрез разделяне на задълженията и адекватни контроли за одит, докато осигуряват достатъчно ресурси и стимули за осигуряване на проактивна сигурност - често излизат напред.
www.mscservices.eu - Вашите ISO консултанти
