Firmy, które chcą zapewnić sobie bezpieczeństwo, oprócz instalowania nowych zabezpieczeń powinny zadbać o edukację pracowników.
W erze internetu dylemat, jak zabezpieczyć firmę przed atakiem teleinformatycznym, spędza sen z powiek wielu przedsiębiorcom. A najbardziej tym, którzy ofiarą takiego ataku już padli.
— Ochrona przed zaplanowanymi atakami musi uwzględniać trzy podstawowe aspekty: właściwą politykę bezpieczeństwa, szkolenie użytkowników sieci i stosowanie odpowiednich narzędzi technologicznych. Te ostatnie powinny zapewniać sterowanie dostępem użytkowników do komputerów oraz sieci, umożliwiać zarządzanie słabymi punktami sprzętu i oprogramowania, no i oczywiście zabezpieczać przed złośliwymi programami — mówi Piotr Skowroński, dyrektor techniczny Panda Software Polska.
Narzędzia technologiczne
Nawet najbardziej wyrafinowane i na pewno niezbędne narzędzia chroniące system przed atakiem wirusów, robaków czy trojanów mają tę wadę, że działają na zasadzie szczepionki. Oznacza to, że reagują na te zagrożenia, które znają. Dlatego producenci oprogramowania zabezpieczającego tak często aktualizują bazy wirusów. Czasami jednak i to nie wystarcza.
— Obecnie konieczne jest uzupełnienie tradycyjnych programów antywirusowych o technologie ochrony umożliwiające wykrycie złośliwego kodu bez jego wcześniejszej identyfikacji. Twórcy wirusów wiedzą, że stworzenie szczepionki neutralizującej nowy kod po jego pierwszym wykryciu zajmuje firmom odpowiadającym za bezpieczeństwo stosunkowo dużo czasu. W ten sposób szkodliwy kod, który nie został zidentyfikowany przez producentów rozwiązań antywirusowych, może utrzymać się w systemie przez bardzo długi czas, nawet mimo zainstalowania aktualnego programu antywirusowego. Inteligentne technologie potrafią wykrywać i blokować zagrożenia samodzielnie, bez konieczności aktualizacji — tłumaczy Piotr Skowroński.
Polityka i edukacja
Równie ważne jest ustalanie wewnętrznych zasad korzystania z zasobów sieci w firmie.
— Dobrym pomysłem jest ustalenie obowiązującego, a więc znanego każdej zatrudnionej osobie, kodeksu wykorzystania internetu i służbowej skrzynki e-mailowej, w którym znajdzie się wyraźny zakaz ściągania plików, instalowania darmowych programów, przesyłania popularnych „łańcuszków” oraz otwierania stron, które są podawane w ofertach nieznanego pochodzenia — radzi Michał Iwan, dyrektor zarządzający firmy F-Secure w Polsce.
Ostatnim elementem jest edukacja pracowników firmy. Pracownik świadomy zagrożeń łatwiej ich unika.
— W celu skutecznej ochrony firmy przed atakami hakerów należy zacząć i kończyć na ciągłym uświadamianiu użytkowników o rodzajach zagrożeń z sieci, skutkach jakie może wywołać ich działanie oraz o sposobach bezpiecznego korzystania z sieci — mówi Michał Iwan.
Edukacja pracowników ma swoje wady.
— Możemy iść w dwóch kierunkach. Możemy ludzi uczyć, co jest dość kosztowne i długotrwałe, lub ograniczać ich uprawnienia. Edukacja ma tę zaletę, że pracownik wie, po co podejmowane są określone działania, natomiast ograniczenie najczęściej powoduje frustrację: część pracowników będzie starać się o odzyskanie utraconych przywilejów — zaznacza Piotr Żurawski, członek stowarzyszenia do spraw bezpieczeństwa systemów informacyjnych ISSA.
Firmy powinny same ocenić, co im się bardziej opłaca.