🕵️ Как снизить риски безопасности вашей организации

Статьи

Ни одна система не может быть защищена полностью, но все без исключения организации должны стремиться к этому.

Тут необходим коллективный иммунитет к потенциальным киберугрозам, как внутри, так и снаружи контура компании.

Далее мы постараемся осветить некоторые основные пункты, необходимые для поддержания информационной безопасности организации.

Применяемые ниже практики необходимо осуществлять на постоянной основе.

Давайте посмотрим, какие за этих пунктов реализованы у вас в организации?

1. Постоянный патчинг обновлений

Постоянно мониторьте наличие  доступных обновлений ваших систем и сервисов.

Каждый поставщик услуг или Вендор распологает в своем арсенале инструкции, которые позволяют узнать, как обновить ту или иную операционную систему: macOS,Linux, Windows, .

Точно таким же методом проверяйте наличие и устанавливайте доступные обновления мобильных операционных систем и их приложений.

  • На устройствах Apple проверьте наличие обновлений в App Store.
  • На устройствах Android проверяйте наличие обновлений в Play Store.
  • На устройствах Windows проверяйте наличие обновлений в Microsoft Store.

Если вы используете неофициальные приложения (которых нет в сторах поставщиков), обратитесь к официальным сайтам данных приложений или напрямую к разработчику.

2. Используйте двух или более факторную аутентификацию пользователей

Проанализируйте ваши системы и службы на предмет возможности использования многофакторной аутентификации ваших пользователей.

Это касается, как приложений, так и доступу по VPN, аккаунтам электронной почты и даже профилям социальных сетей.

Даже дополнительный барьер в SMS-сообщения или пуш-уведомления в качестве второго фактора лучше, чем его отсутствие вовсе.

Одна из лучших практик в данной вопросе, это использование специализированных приложений, которые формируют случайные наборы чисел: Google Authenticator или Microsoft Authenticator.

Также нельзя сбрасывать со счетов и физические ключи( токены, смарткарты).

Пользователь осуществляет вход в систему, далее предоставляет физический ключ в зависимости от типа устройства и попадает в систему.

Далеко не все сервисы и системы поддерживают данную практику, многое может зависеть от типов шифрования, алгоритмов и т.д.

3. Внедрите политики управлением паролей пользователей

Используйте централизованное хранилище паролей, которое может быть распределено между сотрудниками или отделами.

Данные менеджеры паролей/секретов предоставляют функционал управления всем закрытыми данными с помощью мастер ключа.

Такие системы позволяют конечным пользователям создавать для удовлетворения различным политикам, например: строчные и заглавные буквы, цифры и спецсимволы, длинною от 8 символов и т.д.

Так же можно отметить, что приложения такого плана , могут обеспечить безопасный обмен ключами и паролями внутри контура организации.

Не используйте один и тот же пароль в нескольких системах!

Предоставьте менеджеру паролей хранить ваши пароли централизовано, без необходимости их запоминать.

4. Положитесь на стороннюю защиту

В большинстве случаев организациям следует полагаться подрядчика для обеспечения надежной защиты электронной почты и файлов.

Компании обеспечивают значительную защиту от вредоносных программ, спама и вирусов в рамках своих услуг по хранению электронной почты и файлов и предоставляют другие сервисы обеспечения информационной безопасности.

Масштаб и объем операций по обеспечению безопасности в компаниях превосходит то, что большинство компаний может обеспечить собственными силами.

Почти во всех случаях масштабы и опыт в области безопасности, предоставляемые внешними поставщиками, будут выше, чем у большинства компаний.

Опять же, держать в штате сотрудников по пентесту, методологов и других компетентных сотрудников по ИБ порой очень накладно.

Дополнительным плюс будет проверить инфраструктуру на проникновение или заказать комплексный анализ защищенности систем и периметра организации.

Также вы можете решить проблемы с регуляторами (ФСТЭК, ЦБ и т.д.) и заказать работы такого плана:

  • Консалтинг и подготовка к сертификации по ISO/IEC 27001
  • Заполнение листа самооценки SAQ
  • ASV-сканирование
  • Оценка соответствия 747-П
  • Оценка соответствия
  • Оценка соответствия 719-П
  • Оценка соответствия 382-П
  • Оценка соответствия 152-ФЗ
  • Оценка соответствия ГОСТ Р 57580
  • Консалтинг и подготовка к сертификации по PCI DSS

Здесь вам может помочь компания IT Global, которые реализует все данные мероприятия.

5. Защитите ваши DNS записи и DNS сервера

В целях митигации рисков по отправке фишинговых писем, путем подмены почтовых серверов, реализуйте защиту записей SPF, DKIM и DMARC для проверки целостности.

Также необходимо подкрепить защиту сайтов приложений и почты сертификатами, которые будут привязаны к вашей компании.

6. Бэкапирование данных

Резервное копирование данных позволяет вам восстановить файлы и информацию в случае инцидентов или сбоев.

В настоящее время популярны вирусы-вымогатели, которые зашифровывают файловые системы и требует выкуп за ключ расшифровки.

Резервное копирование позволят “откатить” систему назад и восстановить зашифрованные данные.

Резервное копирование можно реализовать по-разному, будь то в облаке, на сетевом хранилище СХД, на внешних SSD или даже на флешках.

Заключение

Разумеется, показанные выше методы, это только основа вашего фундамента безопасности.

Как правило, необходимы и другие инструменты ( IDS,IPS, IDM и т.д.)

 

 

Добавить комментарий