7 העקרונות הבסיסיים של אבטחת IT

מְחַבֵּר: Robert Simon
תאריך הבריאה: 20 יוני 2021
תאריך עדכון: 22 יוני 2024
Anonim
צ’יגונג למתחילים. למפרקים, עמוד שדרה והתאוששות אנרגיה.
וִידֵאוֹ: צ’יגונג למתחילים. למפרקים, עמוד שדרה והתאוששות אנרגיה.

תוֹכֶן


מקור: KrulUA / iStockphoto

להסיר:

אנשי IT משתמשים בשיטות מומלצות כדי לשמור על מערכות ארגוניות, ממשלתיות וארגונים אחרים.

אבטחה היא דאגה מתמדת כשמדובר בטכנולוגיית המידע. די בגניבת נתונים, פריצה, תוכנה זדונית ושלל איומים אחרים בכדי לשמור על כל איש מקצוע בתחום ה- IT בלילה. במאמר זה, נסקור את העקרונות הבסיסיים ושיטות העבודה המומלצות בהן משתמשים אנשי IT בכדי לשמור על מערכות הביטחון שלהם.

מטרת אבטחת המידע

אבטחת מידע פועלת לפי שלושה עקרונות כלליים:

  • סודיות: משמעות הדבר היא שמידע שרואה או משתמש בו רק על ידי אנשים המוסמכים לגשת אליו.
  • יושרה: משמעות הדבר היא כי כל שינוי במידע על ידי משתמש לא מורשה בלתי אפשרי (או לפחות מתגלה), ומעקב אחר שינויים על ידי משתמשים מורשים.
  • זמינות: משמעות הדבר היא שהמידע נגיש כאשר משתמשים מורשים זקוקים לו.

לכן, חמושים בעקרונות אלה ברמה גבוהה יותר, מומחי אבטחת IT מצאו שיטות מומלצות כדי לעזור לארגונים להבטיח שהמידע שלהם יישאר בטוח. (למידע על הגנה על הרשת שלך כאשר מדובר במכשירים חיצוניים, ראה את 3 מרכיבי המפתח לביטחון BYOD.)


שיטות עבודה מומלצות לאבטחת IT

קיימות שיטות עבודה מומלצות רבות בתחום אבטחת ה- IT הספציפיות לתעשיות או לעסקים מסוימים, אך חלקן חלות באופן נרחב.

  1. איזון הגנה עם השירות
    מחשבים במשרד יכולים להיות מוגנים לחלוטין אם כל המודמים נקרעים וכולם נזרקים מהחדר - אבל אז הם לא היו מועילים לאף אחד. זו הסיבה שאחד האתגרים הגדולים ביותר בתחום אבטחת ה- IT הוא מציאת איזון בין זמינות המשאבים לבין סודיותם ושלמות המשאבים.

    במקום לנסות להתגונן מפני כל מיני איומים, מרבית מחלקות ה- IT מתמקדות בבידוד המערכות החיוניות ביותר ואז במציאת דרכים קבילות להגן על השאר מבלי להפוך אותן לחסרות תועלת. חלק מהמערכות בעלות עדיפות נמוכה עשויות להיות מועמדות לניתוח אוטומטי, כך שהמערכות החשובות ביותר יישארו במוקד.

  2. פיצול המשתמשים והמשאבים
    כדי שמערכת אבטחת מידע תפעל, עליה לדעת למי מותר לראות ולעשות דברים מסוימים. מישהו בחשבונאות, למשל, לא צריך לראות את כל השמות במאגר לקוחות, אך יתכן שהוא יצטרך לראות את הנתונים שמגיעים למכירות. המשמעות היא שמנהל מערכת צריך להקצות גישה לפי סוג העבודה של אדם, וייתכן שיהיה עליו לחדד עוד יותר את המגבלות הללו על פי ההפרדות הארגוניות. זה יבטיח שמנהל הכספים הראשי יוכל באופן אידיאלי לגשת ליותר נתונים ומשאבים מאשר רואה חשבון זוטר.

    עם זאת, דרגה לא אומרת גישה מלאה. ייתכן שמנכ"ל חבר יצטרך לראות יותר נתונים מאשר אנשים אחרים, אך הוא אינו זקוק אוטומטית לגישה מלאה למערכת. זה מביא אותנו לנקודה הבאה.

  3. הקצה הרשאות מינימליות
    יש להקצות לאדם את ההרשאות המינימליות הדרושות בכדי לבצע את אחריותו. אם האחריות של האדם תשתנה, כך גם יתרונותיהם. הקצאת הרשאות מינימליות מקטינה את הסיכוי שג'ו מעיצוב יצאת מהדלת עם כל הנתונים השיווקיים.

  4. השתמש בהגנות עצמאיות
    זהו עיקרון צבאי כמו עקרון אבטחת IT. שימוש בהגנה אחת טובה באמת, כמו פרוטוקולי אימות, זה רק טוב עד שמישהו מפר אותו. כאשר פועלות מספר הגנות עצמאיות, על התוקף להשתמש בכמה אסטרטגיות שונות כדי לעבור אותן. הצגת מורכבות מסוג זה אינה מספקת הגנה של מאה אחוז מפני התקפות, אך היא מצמצמת את הסיכוי להתקפה מוצלחת.

  5. תוכנית לכישלון
    תכנון לכישלון יעזור למזער את השלכותיו בפועל במידה ותתרחש. קביעת מערכות גיבוי לפני כן מאפשרת למחלקת ה- IT לפקח כל העת על אמצעי האבטחה ולהגיב במהירות להפרה. אם ההפרה איננה חמורה, העסק או הארגון יכולים להמשיך לפעול בגיבוי בזמן הטיפול בבעיה. אבטחת IT עוסקת בהגבלת הנזק מהפרות כמו במניעתן.

  6. הקלטה, הקלטה, הקלטה
    באופן אידיאלי, מערכת אבטחה לעולם לא תופר, אך כאשר מתרחשת הפרת אבטחה, יש להקליט את האירוע. למעשה, אנשי IT לרוב מקליטים ככל שהם יכולים, אפילו כאשר הפרה אינה מתרחשת. לפעמים הסיבות להפרות אינן ניכרות לאחר מעשה, לכן חשוב שיהיו נתונים למעקב אחר אחורה. נתונים מהפרות יסייעו בסופו של דבר לשפר את המערכת ולמנוע התקפות עתידיות - גם אם זה לא הגיוני בתחילה.

  7. הפעל בדיקות תכופות
    האקרים משפרים כל העת את מלאכתם, מה שאומר שאבטחת מידע חייבת להתפתח כדי להמשיך. אנשי IT מריצים בדיקות, מבצעים הערכות סיכון, קרא שוב את תוכנית התאוששות האסון, בודקים את תוכנית ההמשכיות העסקית במקרה של תקיפה ואז מבצעים את זה שוב. (חושבים שהאקרים כולם רעים? אז קראו 5 סיבות שאתה צריך להיות אסיר תודה להאקרים.)

המסדרון

אבטחת IT היא עבודה מאתגרת הדורשת תשומת לב לפרטים בד בבד עם שהיא דורשת מודעות ברמה גבוהה יותר. עם זאת, כמו משימות רבות שנראות מורכבות ממבט ראשון, ניתן לפרק את אבטחת ה- IT לשלבים בסיסיים שיכולים לפשט את התהליך. זה לא אומר שזה הופך את הדברים לקלים, אבל זה אכן מקפיד על אנשי IT על קצות אצבעותיהם.