ინფორმაციულ უსაფრთხოებაში დაშვებული შეცდომები – II ნაწილი

გთავაზობთ ინფორმაციული უსაფრთხოების პრაქტიკაში დაშვებულ ყველაზე გავრცელებულ და როგორც წესი, სავალალო შედეგების მომტან შეცდომებს.

პირველი ნაწილი შეგიძლიათ ნახოთ ამ ბმულზე.

ადაპტირებულია ლენი ზელცერის ბლოგიდან .

რისკების მართვა

  • თანაბარი ყურადღების მიქცევა ყველა აქტივზე, მიუხედავად მათი რისკების პროფილისა.
  • ვინმეს რისკების მართვის პასუხისმგებლობით აღჭურვა, მაგრამ მისთვის გადაწყვეტილებების მიღების უფლებამოსილების არმიცემა.
  • ზოგადი სურათის უგულებელჰყოფა და მხოლოდ რაოდენობრივ ანალიზზე დაყრდნობა.
  • მიჩნევა, რომ უსაფრთხოებას არ სჭირდება ყურადღების მიქცევა, რადგანაც ორგანიზაცია არის პატარა ან უმნიშვნელო.
  • მიჩნევა, რომ უსაფრთხოდ ხარ რადგანაც ბოლო პერიოდში არ ყოფილა ორგანიზაციაზე (წარმატებული) შეტევა.
  • გქონდეს პარანოიდული მოთხოვნები ნებისმიერ აქტივზე, მისი რეალური ღირებულებისა და სისუსტეების შეფასების გარეშე.
  • ნებისმიერი ინფორმაციის კლასიფიკაცია როგორც „სრულიად საიდუმლო“ (top secret).

უსაფრთხოების პრაქტიკა

  • სისტემის, პროგრამებისა და უსაფრთხოების ლოგების უგულებელჰყოფა.
  • მოლოდინი, რომ მომხმარებლები დათმობენ კომფორტს უსაფრთხოების სასარგებლოდ.
  • ინფრასტრუქტურაში ისეთი და იმდენი უსაფრთხოების მექანიზმების დანერგვა, რომ მომხმარებლებისთვის სამუშაოს შესრულება იყოს ძალიან რთული.
  • ყოველთვის „არა“-ს თქმა, როდესაც მოდის რაიმე თხოვნა უსაფრთხოების საკითხთან დაკავშირებით.
  • უსაფრთხოების მოთხოვნების დანერგვა შესაბამისი ტრენინგის ან ტექნიკური საშუალებების უზრუნველყოფის გარეშე.
  • მხოლოდ პრევენციულ მექანიზმებზე ფოკუსირება და შემჩნევის (detective) მექანიზმების უგულებელჰყოფა.
  • ინტერნეტიდან ხელმისაწვდომი სერვერებისთვის DMZ-ის არქონა.
  • მიჩნევა, რომ პატჩების მართვის პროცესი მუშაობს, მისი შემოწმების გარეშე.
  • ლოგების წაშლა იმიტომ, რომ ძალიან ბევრია.
  • მოლოდინი, რომ SSL ვებ აპლიკაციასთან დაკავშირებულ ყველა პრობლემას მოაგვარებს.
  • USB მეხსიერებების გამოყენების აკრძალვა, მეორეს მხრივ კი ინტერნეტთან შეუზღდავი წვდომის დაშვება.
  • ქსელების და სისტემის ადმინისტრატორების, ასევე დეველოპერების ზემოდან ყურება.
  • ახალი ტექნოლოგიებისა და შეტევების შესწავლის შეწყვეტა.
  • უახლესი IT ან უსაფრთხოების ტექნოლოგიების დანერგვა სანამ ისინი მოასწრებენ სრულყოფას.
  • სამსახურში ვინმეს აყვანა მხოლოდ იმიტომ, რომ მას აქვს ბევრი პროფესიული სერტიფიკატი.
  • მენეჯმენტისთვის წარდგენილ მოხსენებაში იმ პრობლემების გამოტოვება, რომელთა თავიდან აცილება უსაფრთხოების მექანიზმების დანერგვით მოხერხდა.
  • IT-სა და უსაფრთხოების თანამშრომლების ჯვარედინი ტრენინგების საჭიროების იგნორირება.

პაროლების მართვა

  • მომხმარებლების იძულება ხშირად ცვალონ პაროლები.
  • მოლოდინი, რომ მომხმარებლები დაიმახსოვრებენ პაროლებს ჩაწერის გარეშე.
  • პაროლის სირთულის უზრუნველსაყოფად შემაწუხებელი მოთხოვნების დადება.
  • ერთი და იგივე პაროლის გამოყენება, განსაკუთრებით იმ სისტემებში, რომლებიც განსხვავდებიან მონაცემების კრიტიკულობითა და რისკების პროფილით.
  • პაროლზე მოთხოვნების დადება გაუთვალისწინებლად იმისა, თუ რამდენად მარტივია პაროლის განულება.

დატოვეთ კომენტარი

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.