Как обеспечить IT-безопасность в компании? Просто о главном.
0 likes629 views
Документ обсуждает важность обеспечения IT-безопасности в компаниях, указывая на значительные финансовые потери от нарушений безопасности. Он подчеркивает основные угрозы и методы защиты, такие как ограничение доступа, шифрование данных и использование специфических протоколов, таких как SSH. Также отмечается необходимость создания отдела безопасности для эффективного управления защитой информации.
Как обеспечить IT-безопасность в компании? Просто о главном.
- 1. Дмитрий Пискарёв Как обеспечить IT-безопасность в компании? Просто о главном.
- 4. Зачем нужна безопасность? 58%компаний потеряли более $50 000 11% более $10 000 000 За 2014 год из-за нарушений безопасности
- 5. Зачем нужна безопасность? Больше всего интеллектуальной собственности теряют отрасли: Нефтегазовая Аэрокосмическая и оборонная Технологическая Телекоммуникационная
- 6. От чего защищаться? Большинство успешных атак проведено с помощью меньшинства известных инструментов.
- 7. Самое слабое звено инцидентов происходит из-за ошибки пользователей ● Соц. инженерия; ● спам; ● фишинг; ● слабые пароли; ● нерациональное использование ресурсов; ● вирусы; ● халатность; ● нарушение правил ИБ.
- 9. Простые и действенные инструменты ● Генерация паролей и использование локальных хранилищ; ● учет использования внутренних ресурсов, получения доступов и т.д.; ● отслеживание установки нового ПО, конфигурации (железо) компьютеров.
- 10. Активы После сотрудников, самым ценными активами для нас являются сетевые ресурсы и внутренние разработки.
- 11. Ограничение по портам Все порты на серверах, кроме необходимых, должны быть закрыты.
- 12. Ограничение по IP IP 1 IP 2 IP 3 IP 4 PROXY Ограничение доступа к сетевым ресурсам: ● Через IP офисов ● Через выделенные прокси
- 14. Система сертификатов На внутренние образовательные ресурсы доступ только по сертификатам. У каждого пользователя индивидуальный сертификат
- 15. Защита скриптов и внутренних разработок
- 17. Обфускация скриптов ● Последний рубеж защиты; ● в случае завладения скриптом, достаточно трудно понять логику работы; ● есть неплохие алгоритмы обфускации в открытом доступе; ● позволяет внедрять разработки на сайты клиентов с минимальным риском.
- 19. OpenID Сотрудник Скрипт на клиентском сайте LOGIN PASSWORD ● Существует ли сотрудник? ● Аутентифицир ован? ERP/CRM Подтверждение аутентификации
- 20. Что используем мы? Программные закладки и реестр загрузок
- 21. Реестр загрузок ● Единый центр загрузок. ● Кто скачал скрипт? ● Когда скачал? ● Зачем скачал?
- 22. Программные закладки Каждый экземпляр скрипта или программы уникален и позволяет идентифицировать, кто его загрузил и когда.
- 23. Что используем мы? Шифрование критических данных ● личные данные сотрудников и клиентов; ● данные по заказам и услугам; ● зарплаты; ● финансовые операции; ● прочее.
- 24. Что мы используем? SSH — сетевой протокол, позволяющий получать удаленный доступ к компьютеру с большой степенью безопасности соединения.
- 25. SSH Мастер ключ Ключ программиста 1 Ключ программиста 2 Ключ программиста 3 Все ключи связаны с мастер- ключом и могут быть одновременно заблокированы
- 26. Внедрение инструментов безопасности В идеале, в компании есть отдел безопасности. В реальности - защитой информации занимается IT отдел.
- 27. Расширенная база знаний программистов ● Криптографические алгоритмы и их применение; ● работа с сервером (LAMP); ● расширенные знания Git; ● cloud computing; ● и т.д.
- 28. Подготовка и переподготовка кадров