Gwóźdź do trumny bezpieczeństwa IT w przykładach. (cz. 2)

Czyli najczęściej popełniane błędy, które mają bezpośredni wpływ na bezpieczeństwo IT w naszej firmie. Każdy z nas w większości zna zasady, według których powinniśmy podejmować działania w środowisku IT, lecz teoria jednym a praktyczka czymś zupełnie innym.

Błędy popełniane przez kadrę menadżerską

  1. Brak instynktu samozachowawczego

Często bywa tak, że osoby na wyższych stanowiskach zapominają, iż to właśnie one są jednym z głównych potencjalnych punktów ataków wraz z takimi działami jak: kadry, płace i IT. Głównym powodem tego jest fakt, iż większość kadry zarządzającej posiada dostępy z podwyższonymi uprawnieniami do wielu systemów a co za tym idzie atakujący ma większą skuteczność ataku. Dodatkowym czynnikiem, który wpływa na zwiększony potencjał podatności po stronie kadry menadżerskiej jest fakt podszycia się pod taką osobą i np.: rozesłanie spreparowanej wiadomości, która będzie rodziła za sobą kolejne negatywne implikacje jak np.: instalacja malware na pc pracowników, przelew na konto X zrealizowany przez płace, uruchomienie systemu botnet itd. Powyższe przykłady mają dużo większą szansę powodzenia względem innych przypadków kiedy to próbowalibyśmy rozesłać np. maila z zewnętrznej domeny lub adresu mail pracownika na tym samym szczeblu, spowodowane jest to w dużej mierze tym iż w każdej firmie panuje hierarchia i co do zasady większość pracowników traktuje jako „święte” to co otrzymuje od swoich zwierzchników. Podpunkt brzmi „brak instynktu samozachowawczego” – głównie odnosi się to do faktu, że ze względu na mocno czasowo obciążeniowy tryb pracy oraz dodatkowo głównie praca opierająca się o kontakt szeroko rozumiany część z kadry zarządzającej nie zdaje sobie sprawy z faktu, iż są oni jednym z kluczowych ogniw potencjalnego ataku, który może być zrealizowany na firmę.

  1. Wszystkie błędy dotyczące „szeregowych pracowników”

W tym miejscu chciałbym odwołać się do poprzedniego artykułu, w którym zostały poruszone kwestie dotyczące szeregowych pracowników firmy i błędów przez nich popełnianych, które mogą mieć kluczowy wpływ na bezpieczeństwo organizacji. Wszyscy jesteśmy ludźmi i nie powinno wymagać się od nas wiedzy na każdy temat -naturalnie pewne podstawy należy znać ze względu na podpunkt 1 😊. Poniżej zamieszam link do poprzedniego artykułu. Link.

  1. Brak zaangażowania w pozyskiwanie wiedzy odnośnie zagrożeń bezpieczeństwa IT

Nie należy wymagać od osób nie technicznych aby posiadały skrupulatną wiedzę na temat jak dany atak został zrealizowany i jakie narzędzia oraz techniki były mu potrzebne aby osiągnąć sukces. W przypadku kadry zarządzającej jak i każdego innego pracownika firmy należy wymagać minimalnego zaangażowania w świadomość związaną z zagrożeniami panującymi w środowisku IT. Szkolenia, kursy i certyfikaty to jedno, lecz wprowadzenie nawyku czytania jednego artykułu/informacji w tygodniu z dziedziny bezpieczeństwa IT może przynieść wymierne efekty w dłuższej przestrzeni czasu. Jeżeli sami nie zaangażujemy się minimalnie w samodoskonalenie w tej kwestii to prewencja w postaci kursów da nam krótko terminowe efekty. Należy zwrócić szczególną uwagę na fakt iż informacje, które czytamy nie muszą być techniczne może być to np. artykuł dotyczący ataku X, który opisuje atak lecz na wyższym poziomie abstrakcji (bez wnikania w części techniczne).

 

W kolejnych artykułach zostaną poruszone najczęstsze błędy popełniane przez dział IT. A jakie Wy znacie najczęściej popełniane błędy przez kadrę menadżerską?

 

2017-11-29T14:43:21+00:00

Zostaw komentarz