ინფორმაციულ უსაფრთხოებაში დაშვებული შეცდომები – I ნაწილი

Posted on by
წყარო: lingholic.com

გთავაზობთ ინფორმაციული უსაფრთხოების პრაქტიკაში დაშვებულ ყველაზე გავრცელებულ და როგორც წესი, სავალალო შედეგების მომტან შეცდომებს.

ადაპტირებულია ლენი ზელცერის ბლოგიდან .

პოლიტიკა და შესაბამისობა

  • რეგულატორული მოთხოვნების იგნორირება.
  • რწმენა, რომ მომხმარებლები წაიკითხავენ ინფორმაციული უსაფრთხოების პოლიტიკას, რადგანაც სთხოვეთ ამის გაკეთება.
  • უსაფრთხოების პოლიტიკებისა და პროცედურების შაბლონების პირდაპირ დანერგვა ორგანიზაციის გარემოსთან მოურგებლად.
  • ISO 27001/27002-ის სრული მასშტაბით დანერგვის დაწყება.
  • ისეთი პოლიტიკებისა და პროცედურების შექმნა, რომელთა აღსრულებას ვერ შეძლებთ.
  • ისეთი პოლიტიკების დანერგვა, რომელიც არ არის სწორად სანქცირებული.
  • უსაფრთხოების ზოგადი არქიტექტურის გააზრების გარეშე რეგულატორული მოთხოვნების ბრმად დანერგვა.
  • უსაფრთხოების პოლიტიკის ან პროცედურების შექმნა მხოლოდ იმიტომ, რომ შესრულებულად მოვნიშნოთ მორიგი პუნქტი სიაში.
  • ვინმესთვის ფულის გადახდა უსაფრთხოების პოლიტიკებისა და პროცედურების დასაწერად, როდესაც მას არ ესმის თქვენი ბიზნეს პროცესები.
  • მრავალენოვან ორგანიზაციაში პოლიტიკის ისე თარგმნა, რომ თითოეულ ენაზე სხვადასხვა შინაარსის დოკუმენტი გამოვიდეს.
  • უზრუნველყოფა, რომ თანამშრომლებმა ვერ მიაგნონ უსაფრთხოების პოლიტიკებს.
  • მიჩნევა, რომ თუ პოლიტიკამ იმუშავა შარშან, იმუშავებს წელსაც.
  • მიჩნევა, რომ თუ ხარ შესაბამისი რეგულატორულ მოთხოვნებთან, ხარ უსაფრთხოდ.
  • მიჩნევა, რომ უსაფრთხოების პოლიტიკა არ ეხებათ ორგანიზაციის ხელმძღვანელებს.
  • აუდიტორებისგან დამალვა.

უსაფრთხოების პროდუქტები

  • უსაფრთხოების პროდუქტის იმპლემენტაცია ორგანიზაციის ტექნიკურ მახასიათებლებზე მორგების გარეშე.
  • IDS-ის ისე დაკონფიგურირება, რომ ან ძალიან ბევრ შეტყობინებას ყრიდეს ან საერთოდ ჩუმად იყოს.
  • უსაფრთხოების პროდუქტების შეძენა დანერგვისა და შენარჩუნების ხარჯების გათვალისწინების გარეშე.
  • ანტივირუსსა და ფაიერვოლზე დამოკიდებულება სხვა კონტროლების დანერგვის გარეშე.
  • ანტივირუსის, IDS-ის და სხვა უსაფრთხოების პროდუქტების “ავტო-პილოტის” რეჟიმში მუშაობა.
  • რეგულარული სკანირება სისუსტეების აღმოსაჩენად, მაგრამ რეზულტატების გაუთვალისწინებლობა.
  • სხვადასხვა ტექნოლოგიების გამოყენება იმის გათვითცნობიერების გარეშე თუ რომელი მათგანი უსაფრთხოების რა კომპონენტზეა პასუხისმგებელი.
  • ძვირიანი პროდუქტის შეძენა, რომდესაც მარტივი და იაფი გამოსავალი პრობლემის 80%-ს მოაგვარებდა.

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.