Tartalom
Elvitel:
Még ha úgy gondolja, hogy az ügyfelek adatai biztonságosak, soha nem lehet túl óvatos. Ez néhány bevált gyakorlat az adatok biztonságának megőrzése érdekében.
A vállalkozások nem engedhetik meg maguknak, hogy önelégültséget vállaljanak az adatbiztonságról, mivel szigorúbb szabályok és magasabb vevői elvárások rájuk bocsátják ma őket.
Még ha biztosított is olyan intézkedéseket, amelyek védelmet nyújtanak és biztosítják az információk biztonságos tárolását, hogyan lehet biztos benne, hogy valóban immunitást élvez a nem kívánt expozíció ellen?
Itt található néhány a taktika, amelyet a számítógépes bűnözők használnak az adatok kinyerésére a vállalkozásoktól, valamint a megsértések megelőzésének lépései.
Közös fenyegetések
A modern üzleti környezetben az ügyfelek adataival szembesülő kockázatok sokrétűek és veleszületetten bonyolultak, és az információk digitális tárolásának kényelme és rugalmassága ellensúlyozza a potenciális sebezhetőségek sorát.
Még ha az adatokat is rejtjelezzük és tároljuk egy tűzfal mögött, rosszindulatú harmadik felek csak a kiberbiztonsági ismeretek hiányának és az alkalmazottak képzésének kihasználásával férhetnek hozzá hozzájuk.
Az adathalász kampányok és a csalók különösen hatékonyak az adatok ellopásának eszközeként, mivel ezek inkább az emberi alkalmazottak hamisságára támaszkodnak, nem pedig a trükkös biztonsági rendszerek megrontására tett kísérletekre.
További, alkalmazottakkal kapcsolatos problémák merülnek fel az eszközök elvesztése, lopása és általános hibák következtében, amelyek nem kívánt szivárgáshoz vezethetnek. Noha az alkalmazottak szándékos adat-szabotázs cselekedeteket, miközben chipük van a vállukon, nem ritka, a missziókritikus információk eltűnésének valószínűbb oka véletlenszerű.
Ha az alkalmazottak személyes okostelefonját használják az ügyfelek adatainak elérésére vagy tárolására, akkor azok rendkívüli sérülékenységi ponttá válnak. Ennek oka nem csak az, hogy elveszhet vagy ellopták, hanem azért is, mert olyan rosszindulatú alkalmazásokat tartalmazhat, amelyeket nem a vállalkozás ellenőrzött vagy hagyott jóvá.
Az első védelmi vonal egy tűzfal, amelynek célja az illegális forgalom folyamatos beáramlása az üzleti hálózatba, illetve az onnan való kikapcsolása, miközben megakadályozza a rosszindulatú harmadik felek által elcsábított kísérleteket.
A tűzfalnak elegendőnek kell lennie ahhoz, hogy a házon belül tárolt adatokat ne lehessen ártalmatlanítani. De ha úgy dönt, hogy felhő-alapú tárolási megoldásokat alkalmaz, akkor hatékonyan kiszervezheti az adatbiztonság biztosítását egy dedikált szolgáltatóra. Különösen a kisvállalkozások számára ez lehet költséghatékony lehetőség, pótolva a helyszíni hardverforrások és a szakértelem hiányát.
Akár szándékos, akár nem szándékos, az alkalmazottak jelentős veszélyt jelentenek. Az alkalmazottak megkísérelhetik letölteni az ügyféladatokat cserélhető adathordozókra, vagy személyes fiókba. Ezen felül letölthetnek adathalász szoftvert egy munkagépre. Létfontosságú, hogy fontolja meg az ilyen bennfentes fenyegetéseket, és rendelkezzen szoftverrel vagy rendszerrel annak védelme érdekében. A biztonságos internet és a használat kulcsfontosságú, és javasolt összeállítani és végrehajtani az engedélyezett programok listáját, amelyeket az alkalmazottak telepíthetnek munkatermináljukra.
Még akkor is, ha elfogadott olyan megoldásokat, amelyek célja az ügyféladatok biztonságának megőrzése, akkor biztos lehet abban, hogy támadás vagy eszköz elvesztése esetén a hirdetések ténylegesen működnek-e?
Ez az, ahol a penetrációs tesztelés kerül játékba. Ez egy olyan etikai hackelés, amelyet tapasztalt, akkreditált szakértők hajtanak végre, és amely képes lesz tesztelni a biztonsági rendszerek és stratégiák határait, hogy megbizonyosodjon arról, hogy azok a vártnál kemények-e.
Például a tollteszt egyik célja az, hogy megkérdezze: „Megszerezheti-e az ügyfélinket?”, Majd a különféle valós világbeli csapkodási taktikákkal meg tudja határozni a választ.
A behatolásteszt mindent befolyásolhat, kezdve az üzleti vállalkozás hálózati infrastruktúrájának ellenőrzött beszivárgásától a fizikai biztonsági szintek kivizsgálásáig, amelyek a helyszínen vannak jelen.
A vállalkozásokat annak alapján lehet megbecsülni, hogy mennyire reagálnak egy eszköz lopása miatt bekövetkező adatvesztésre, hogy a jól felszerelt alkalmazottak képesek azonosítani és elkerülni az adathalász támadásokat, és hogy a kulcsfontosságú szoftveralkalmazások megfelelőek-e. (A penetrációs tesztelésről bővebben a Penetration Testing és a biztonság és a kockázat finom egyensúlya című szakaszban olvashat.)
A jelenlegi helyzetben egyszerűen nem lehetséges a fogyasztói adatok biztonságával kapcsolatos feltételezések megfogalmazása; a vállalkozásoknak nagyfokú bizonyossággal kell rendelkezniük abban, hogy az általuk alkalmazott megoldások a védelmet nyújtják.
Nem elég csupán egy eladó szavát felvenni a platformjuk ellenálló képességére, vagy elfogadni, hogy az alkalmazottak valószínűleg jól tudják a számítógépes fenyegetéseket anélkül, hogy bármilyen képzést kapnának az ügyről. A rendszeres frissítések és a szigorú tesztelés az egyetlen módja annak, hogy érdemi fejlesztéseket érjünk el.