Publikováno: 4. dubna 2021

Naprostá většina útoků proti běžným firmám je prováděna necílenými, automatizovanými technikami. Díky tomu se jim lze relativně snadno a levně bránit.

Pořadí opatření níže není nijak určující, záleží na vaší konkrétní situaci. Jak dělat bezpečnost sofistikovaněji a finančně efektivně, popisuji tady.

Lidé 

Zaměstnanci, kontraktoři, dodavatelé atd. musí vědět co a proč od nich chcete. Ujistěte se, že mají zdroje (čas, znalosti, pravomoci, …) na to, aby mohli tyto požadavky dlouhodobě plnit. Pravidelně testujte, zda vědí, co se po nich chce a jestli to doopravdy dělají.

Dvou faktorové přihlašování

Nastavte ho všude, kde je to možné. Je to jednoduché a ultimátní opatření proti různým útokům na hesla uživatelů. Pokud možno se vyhněte zprávám SMS jako druhému faktoru.

Silná hesla

Naučte uživatele používat silná hesla. Silné heslo nemusí být „K+D0)ywZ!zk“, ale mnohem rozumnější je například „postel20Židle“ – tohle heslo je srovnatelně silné, ale samozřejmě se mnohem lépe pamatuje. Dobrá zpráva – hesla není potřeba pravidelně měnit. Lepší jedno pořádné, než série slabých hesel.

Minimalizace a kontrola přístupů

Držte se principu minimálního přístupu k datům a dalším zdrojům (programy, tiskárny, atd.). Ideálně by to mělo být spravováno automatizovaně a centrálně (říká se tomu správa identit, identity and access management).

Zálohování a testování

Zálohujte všechna data. Ale pozor, je rozdíl mezi zálohovat a mít zálohy. Jestli doopravdy máte zálohy zjistíte pouze tak, že data ze záloh obnovíte. A nejen pár souborů tady a támhle, ale obnovu infrastruktury od nuly. Někdy to je totiž jediný způsob, jak dostat útočníka definitivně z infrastruktury firmy pryč.

Minimalizace a aktualizace programů

Mějte definovaný set povolených a podporovaných programů. Není potřeba, aby každý zaměstnanec měl např. jiný typ prohlížeče. U všech programů mějte povolené automatické instalace aktualizací, pokud to není řízené centrálně. Pokud to program neumí, najděte rozumnější alternativu.

Šifrování komunikace a úložišť

Přenos mimo firemní infrastruktury by měl být vždy šifrovaný.

Mějte přehled o zabezpečení dat, která dáváte do cloudu.

Co udělám, když …?

Mějte dopředu plán, co budete dělat, když se „pokazí“ (nehoda, útok) nějaké vaše klíčové aktivum. Jak dlouho může stát výroba, než začne naskakovat penále? Víte, komu zavolat? Jak rychle přijede a bude to stačit? Nebo kdo ve firmě to opraví? Atd. Neteoretizujte, ale vyzkoušejte si to na nečisto.