Blog Kei.pl

Bezpieczeństwo danych w firmie

Bezpieczeństwo danych w firmie

Dane osobowe pracowników i klientów, dane finansowe, planowane projekty, strategia wdrożenia nowego produktu, czy też baza wiedzy to wszystko dane, których wyciek może być problemem dla firmy nie tylko wtedy gdy wpadną w ręce konkurencji. 

Jak informuje Kaspersky Lab, aż 35% specjalistów ds. IT twierdzi, że ich firma utraciła dane na skutek infekcji szkodliwym oprogramowaniem. Z kolei przyczyną 21% kradzieży danych są ataki wykorzystujące pocztę e-mail . Na trzecim miejscu plasuje się phishing – 17%.

Praktyka pokazuje, że o ile duże przedsiębiorstwa podchodzą do tematu poważnie, tak małe podmioty z sektora MŚP często traktują go nazbyt lekko. Brak im opracowanej polityki bezpieczeństwa oraz przemyślanych procedur, które pozwoliłyby na zminimalizowanie ryzyka. Tymczasem już niewielkie zaangażowanie pozwala na znaczne zwiększenie spokoju.

Hasła

Najprostszym, a równocześnie dość skutecznym zabezpieczeniem są hasła. Niestety, jak wskazują statystyki, większość osób zarówno prywatnie, jak i zawodowo używa mało skomplikowanych haseł, które bardzo łatwo można złamać, czy nawet zgadnąć. Co możesz zrobić, aby rozwiązać problem?

Remedium mogą być stale prowadzone działania edukacyjne oraz wprowadzenie odpowiednich środków zaradczych i ich automatyzacja. Jednym z takich środków może być automatyczne wymuszenie regularnej zmiany hasła. Pamiętaj jednak, że każdy kij ma dwa końce. Nadgorliwość w tym wypadku może przynieść skutek odwrotny – zamiast wzrostu poziomu bezpieczeństwa jego spadek. Jak to możliwe?

Użytkownicy zmuszani do zbyt częstej zmiany hasła mogą mieć problem z jego zapamiętaniem. Zaczną zapisywać je na karteczkach, w notatniku czy pliku tekstowym na komputerze. Nie mówiąc o tym, że zaczną używać słownikowych, łatwych do zapamiętania haseł np. marzec, kwiecień, maj.

Jako kolejny środek zaradczy możemy wymienić – ustanawianie haseł za pracownika. Pamiętaj, że hasło musi być silne – tzn. powinno mieć minimum 6 znaków – najlepiej przypadkowo dobranych. Pośród nich powinny się znaleźć małe i duże litery oraz cyfry. Świetnie, jeśli dodasz również kilka znaków specjalnych.

Miej na uwadze także procedurę dostarczania haseł odbiorcom. Absolutnie nie przesyłaj ich via e-mail, otwartym tekstem. Pamiętaj, że zanim wiadomość trafi do odbiorcy przechodzi przez szereg serwerów w postaci jawnej – bardzo łatwej to przechwycenia. Skorzystaj więc z szyfrowania wiadomości. To nie jest tak trudne jak się wydaje.

Przede wszystkim, aby prowadzić zaszyfrowaną korespondencję musimy być w posiadaniu dwóch kluczy publicznych: swojego i odbiorcy. Zastanawiasz się pewnie skąd je wziąć? Odbiorca korespondencji przekaże Ci swój klucz np. w pliku tekstowym umieszczonym na serwerze lub za pośrednictwem poczty e-mail. Ty natomiast powinieneś pozyskać dwa klucze – publiczny i prywatny.

Klucz publiczny służy do szyfrowania danych i jak sama nazwa wskazuje może być udostępniany innym osobom. Klucz prywatny z kolei służy do deszyfrowania wiadomości i powinien być znany tylko jednej osobie: właścicielowi. Zatem pierwszą rzeczą, którą musisz zrobić jest pozyskanie wyżej wspomnianych kluczy. Można to zrobić na dwa sposoby:

  1. skorzystać z certyfikatu SSL
  2. wygenerować klucze we własnym zakresie np. za pomocą programu OpenPGP, GPG (w internecie znajdziesz wiele samouczków wyjaśniających krok po kroku jak należy postępować).

Jeśli jesteś już w posiadaniu obu kluczy możesz wysłać zaszyfrowaną wiadomość. To tylko trzy kroki:

  1. zainstaluj odpowiednie oprogramowanie np. GnuPG waz z rozszerzeniem dla programu pocztowego Thunderbird – Enigmail
  2. zaimportuj klucz publiczny
    open PGP 1
  3. wysyłając wiadomość e-mail zaznacz opcję „Szyfruj wiadomość”.
    open PGP 2

Można to zrobić jeszcze prościej. Wystarczy skorzystać z usług dostawcy hostingu, który oferuje możliwość szyfrowania wiadomości e-mail w standardzie. – Komentuje Magdalena Struzik, Koordynator działu marketingu, Centrum Danych Kei.pl. Posiadamy autorski panel WebMail, który poza standardową obsługą skrzynki e-mail oferuje między innymi możliwość generowania kluczy szyfrujących (PGP). Klucze generowane za pośrednictwem naszego rozwiązania mogą być zabezpieczone hasłem. Ich ważność może być bezterminowa lub wynosić określoną liczbę dni. Oczywiście za pomocą naszego WebMaila można także wysyłać i odbierać szyfrowane wiadomości. Przede wszystkim nie trzeba posiadać specjalistycznej wiedzy czy rozgryzać samouczków.

generowanie klucza

Wracając do ustanawiania haseł za pracownika, można pokusić się o zautomatyzowanie tego procesu. Pomocne może okazać się specjalistyczne (darmowe) oprogramowanie np. PWGen. Jest to generator haseł zdolny do tworzenia kryptograficznie bezpiecznych haseł.

Obok zbyt prostych haseł, często spotykanym problemem jest zapisywanie przez pracowników haseł na karteczkach typu post-it i przyklejanie ich na biurku, bądź monitorze. Z pomocą mogą przyjść programy do zarządzania hasłami. Programy te szyfrują hasła i zabezpieczają je na komputerze, a dostęp do ich bazy jest dodatkowo zabezpieczony hasłem. Manager haseł to bardzo wygodne rozwiązanie. Dzięki niemu musisz zapamiętać zamiast kilkunastu tylko jedno bardzo silne hasło.

Ochrona antywirusowa oraz aktualizacja oprogramowania

Jak wspominaliśmy na początku, obecnie najwięcej przypadków wycieku danych powstaje na skutek infekcji złośliwym oprogramowaniem. Dlatego niezwykle ważne jest stosowanie sprawdzonych programów antywirusowych, których celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych.

Niezwykle ważna jest też ich systematyczna aktualizacja. Pamiętaj, że wirusy bardzo często atakują wykorzystując luki w systemach operacyjnych dlatego bardzo istotna jest aktualizacja tego oprogramowania – szczególnie szybka instalacja łatek krytycznych.

Ignoruj wszelkie żądania sugerujące wyłączenie antywirusa. Natomiast wszelkie prośby o dodanie nieznanego wyjątku, powinny budzić Twoją czujność. Pamiętaj, nie korzystaj z konta administratora bez wyraźnej potrzeby, ponieważ daje ono dostęp do wszystkich zasobów i ustawień systemu. Gdy wirus zaatakuje Twój komputer, będzie uruchamiał się posiadając uprawnienia administratora, a potencjalny włamywacz czy wirus lub trojan będzie miał dużo większe możliwości ingerowania w system operacyjny.

Ograniczaj dostęp

Inną kwestią związaną z oprogramowaniem jest możliwość nadawania odpowiednich uprawnień różnym pracownikom w zależności od realnych potrzeb i roli w firmie. Pozwoli to nie tylko na ograniczenie potencjalnych wycieków, ale także utrudni nieautoryzowane zmiany zarówno te dokonane przez pomyłkę przez pracownika o zbyt małej wiedzy jak również zmiany dokonane celowo.

Zabezpiecz połączenie internetowe

Firmowy CRM, program rozliczeniowo-księgowy, dysk online – na pewno chciałbyś, aby dostęp do nich był ograniczony. Rozwiązaniem w takim przypadku jest wykorzystanie łącz szyfrowanych czyli VPN (ang. Virtual Private Network).

VPN to sieć prywatna tworząca pewnego rodzaju tunel odizolowany od publicznej sieci (np. sieci internetowej), lecz pozwalający na wymianę ruchu sieciowego. Dzięki temu połączenie np. z systemem zarządzającym firmową bazą klientów czy firmowym serwerem WWW mogą nawiązać tylko Twoi pracownicy – zarówno w ramach pracy w centrali firmy jak i pracy zdalnej. Bezpieczeństwo sieci VPN opiera się na trzech głównych filarach:

  • uwierzytelnieniu
  • autoryzacji
  • szyfrowaniu

Aby zwiększyć bezpieczeństwo połączenia VPN można zastosować różne metody autoryzacji, znane przede wszystkim z bankowości elektronicznej – tokeny, karty kodów jednorazowych czy hasła SMS – wyjaśnia Grzegorz Pawelec, Dyrektor ds. sprzedaży z Centrum Danych Kei.pl.

Urządzenia w podróży

Jeśli twoi pracownicy, często podróżują w celach służbowych warto pomyśleć o zabezpieczeniu tych urządzeń, które zabierają ze sobą – laptopów, tabletów czy pamięci USB.

Po pierwsze, upewnij się, że wszystkie konta użytkownika są zabezpieczone hasłem. Po drugie, zabezpiecz szyfrem nośniki danych w laptopach przed bardziej zaawansowanymi intruzami. Komputery z zainstalowanym systemem operacyjnym Windows Vista, 7 i 8 w wersji profesjonalnej mają preinstalowany program Microsoft BitLocker służący do szyfrowania dysku. Jest prosty w obsłudze i koduje przy pomocy hasła do Windowsa.

Pozostały sprzęt możesz zaszyfrować używając darmowego oprogramowania TrueCrypt. Za pomocą tego programu możesz zaszyfrować cały dysk, partycję lub utworzyć zaszyfrowany folder. Sprawdza się też do szyfrowania pamięci USB. TrueCrypt szyfruje zawartości plików, ich nazwy oraz nazwy folderów, w których się znajdują.

Jak widzisz, temat bezpieczeństwa danych w firmie jest szeroki. Przedstawione w tym artykule porady to tylko wycinek możliwości, z których możesz skorzystać. Pamiętaj, o stworzeniu odpowiedniej polityki bezpieczeństwa. Co ważniejsze, nie zapominaj, że przestrzeganie procedur jest bardziej istotne niż ich tworzenie.