IT-turvallisuuden 7 perusperiaatetta

Kirjoittaja: Robert Simon
Luomispäivä: 20 Kesäkuu 2021
Päivityspäivä: 22 Kesäkuu 2024
Anonim
IT-turvallisuuden 7 perusperiaatetta - Tekniikka
IT-turvallisuuden 7 perusperiaatetta - Tekniikka

Sisältö


Lähde: KrulUA / iStockphoto

Ottaa mukaan:

IT-ammattilaiset käyttävät parhaita käytäntöjä pitääkseen yritys-, hallitus- ja muiden organisaatioiden järjestelmät turvassa.

Tietotekniikka on jatkuvaa huolta tietoturvasta. Tietovarkaudet, hakkerointi, haittaohjelmat ja joukko muita uhkia ovat riittäviä pitämään IT-ammattilaiset yöllä. Tässä artikkelissa tarkastellaan perusperiaatteita ja parhaita käytäntöjä, joita tietotekniikan ammattilaiset käyttävät järjestelmiensä turvalliseen pitämiseen.

Tietoturvan tavoite

Tietoturva noudattaa kolmea yleistä periaatetta:

  • Luottamuksellisuus: Tämä tarkoittaa, että tietoja näkevät tai käyttävät vain ihmiset, joilla on valtuudet käyttää niitä.
  • Eheys: Tämä tarkoittaa, että luvattoman käyttäjän tekemät muutokset tietoihin ovat mahdottomia (tai ainakin havaittu) ja valtuutettujen käyttäjien muutoksia seurataan.
  • Saatavuus: Tämä tarkoittaa, että tiedot ovat saatavilla, kun valtuutetut käyttäjät tarvitsevat niitä.

Joten näiden korkeamman tason periaatteiden mukaisesti, tietoturva-asiantuntijat ovat keksineet parhaita käytäntöjä, joiden avulla organisaatiot voivat varmistaa, että heidän tietonsa ovat turvallisia. (Lisätietoja verkkojen suojaamisesta, kun kyseessä on ulkopuolinen laite, katso BYOD Securityn 3 avainkomponenttia.)


IT-tietoturvan parhaat käytännöt

Tietotekniikan turvallisuudessa on monia parhaita käytäntöjä, jotka ovat ominaisia ​​tietyille aloille tai yrityksille, mutta jotkut niistä soveltuvat laajasti.

  1. Tasapainonsuojaus hyödyllisyydellä
    Toimiston tietokoneet voitaisiin suojata täysin, jos kaikki modeemit revittiin ja kaikki potkisivat ulos huoneesta - mutta silloin niistä ei olisi hyötyä kenellekään. Siksi yksi suurimmista IT-tietoturvan haasteista on löytää tasapaino resurssien saatavuuden ja resurssien luottamuksellisuuden ja eheyden välillä.

    Sen sijaan, että yrittäisimme suojautua kaikenlaisilta uhilta, useimmat IT-osastot keskittyvät ensin elintärkeimpien järjestelmien eristämiseen ja sitten etsimään hyväksyttäviä tapoja suojata loput tekemättä niistä hyödytöntä. Jotkut alemman prioriteetin järjestelmistä voivat olla ehdokkaita automatisoidulle analyysille, joten tärkeimmät järjestelmät ovat edelleen painopiste.

  2. Jaa käyttäjät ja resurssit
    Jotta tietoturvajärjestelmä toimisi, sen on tiedettävä kuka saa nähdä ja tehdä tiettyjä asioita. Esimerkiksi kirjanpidon joku ei tarvitse nähdä kaikkia asiakkaan tietokannassa olevia nimiä, mutta hänen on ehkä näytettävä myynnistä tulevat luvut. Tämä tarkoittaa, että järjestelmänvalvojan on määritettävä käyttöoikeudet henkilön työtyypin mukaan ja ehkä jouduttava tarkentamaan näitä rajoituksia edelleen organisaation erottelun mukaan. Tällä varmistetaan, että talousjohtaja voi ihannetapauksessa käyttää enemmän tietoja ja resursseja kuin nuorempi kirjanpitäjä.

    Sitä vastoin sijoitus ei tarkoita täydellistä pääsyä. Yrityksen toimitusjohtaja saattaa joutua näkemään enemmän tietoja kuin muut henkilöt, mutta hän ei tarvitse automaattisesti täydellistä pääsyä järjestelmään. Tämä vie meidät seuraavaan kohtaan.

  3. Anna vähimmäisoikeudet
    Henkilölle olisi annettava vähimmäisoikeudet, joita hänen vastuunsa suorittaminen edellyttää. Jos henkilön vastuut muuttuvat, muuttuvat myös etuoikeudet. Vähimmäisoikeuksien myöntäminen vähentää mahdollisuuksia, että suunnittelija Joe kävelee ovesta kaiken markkinointitiedon kanssa.

  4. Käytä riippumattomia puolustuksia
    Tämä on sotilaallinen periaate kuin tietoturva. Yhden todella hyvän puolustuksen, kuten todennusprotokollien, käyttäminen on hyvää vain, kunnes joku rikkoo sitä. Kun käytetään useita riippumattomia puolustuksia, hyökkääjän on käytettävä useita erilaisia ​​strategioita päästäkseen läpi niihin. Tämän tyyppisen monimutkaisuuden käyttöönotto ei tarjoa 100-prosenttista suojaa hyökkäyksiltä, ​​mutta se vähentää onnistuneen hyökkäyksen mahdollisuuksia.

  5. Epäonnistumissuunnitelma
    Epäonnistumisen suunnittelu auttaa minimoimaan sen todelliset seuraukset, jos sitä tapahtuu. Varmuuskopiointijärjestelmien ennakkoon asettaminen antaa IT-osastolle mahdollisuuden seurata jatkuvasti turvatoimenpiteitä ja reagoida nopeasti rikkomuksiin. Jos rikkomus ei ole vakava, yritys tai organisaatio voi jatkaa varmuuskopiointia ongelman ratkaisemisen aikana. Tietoturva tarkoittaa rikkomuksista aiheutuvien vahinkojen rajoittamista ja rikkomusten estämistä.

  6. Record, Record, Record
    Ihannetapauksessa turvajärjestelmää ei koskaan rikota, mutta kun tietoturvarikkomus tapahtuu, tapahtuma tulisi kirjata. Itse asiassa IT-henkilöstö tallentaa usein niin paljon kuin pystyy, jopa silloin, kun rikkomusta ei tapahdu. Joskus rikkomusten syyt eivät ole selviä tosiseikan jälkeen, joten on tärkeää, että sinulla on tietoja taaksepäin jäljitettäviksi. Rikkomuksista saadut tiedot auttavat lopulta parantamaan järjestelmää ja estämään tulevia hyökkäyksiä - vaikka sillä ei alun perin olekaan järkeä.

  7. Suorita tiheät testit
    Hakkerit parantavat jatkuvasti aluksiaan, mikä tarkoittaa, että tietoturvan on kehityttävä pysyäkseen ajan tasalla. IT-ammattilaiset suorittavat testit, tekevät riskinarviointeja, lukevat uudelleen katastrofin palautussuunnitelman, tarkistavat liiketoiminnan jatkuvuussuunnitelman hyökkäystapauksissa ja tekevät sen sitten kokonaan. (Luuletko hakkereiden olevan kaikki pahoja? Lue sitten 5 syytä, miksi sinun pitäisi olla kiitollinen hakkereille.)

Takeaway

IT-turvallisuus on haastava työ, joka vaatii huomiota yksityiskohtiin samalla kun se vaatii korkeamman tason tietoisuutta. Kuten monet ensi silmäyksellä monimutkaiset vaikutukset, tietoturva voidaan kuitenkin jakaa perusvaiheisiin, jotka voivat yksinkertaistaa prosessia. Ei tarkoita, että se tekee asioista helppoa, mutta pitää IT-ammattilaiset varpaissaan.