„A hangadatok biztonsága egy folyamat, nem pedig egy ellenőrző lista.” Mindannyian hallottuk már ezt a szlogent – és jó okkal. Az érzékeny információk be-, ki- és kiáramlásának módja a vállalati hálózaton vagy az Ön által fejlesztett szoftvertermékeken folyamatosan fejlődik. Hasonlóképpen, a hackerek és az adattolvajok is kockázatot jelentenek, mivel alkalmazkodnak az erőfeszítéseik meghiúsítására hozott intézkedésekhez. Az adatbiztonság egy-és kész hozzáállással történő megközelítése figyelmen kívül hagyja a valóságot, amellyel itt és most szembe kell néznie. Éppen ezért a Start With Security azt javasolja, hogy a vállalatok olyan folyamatokat hozzanak létre, amelyek a biztonság naprakészen tartását és az esetlegesen felmerülő sebezhetőségek kezelését szolgálják.
Egy pillantás az FTC bűnüldözési intézkedéseire, lezárt nyomozásaira és a vállalkozások által velünk megosztott tapasztalatokra bizonyítja e tanácsok bölcsességét. Ezek a példák bemutatják, miért érdemes naprakészen tartania biztonságát, és gyorsan reagálni a hiteles fenyegetésekre.
Szoftver frissítése és javítása.
Néha a vállalatok felfedezik, hogy hálózataik – vagy a hálózatukra telepített harmadik féltől származó szoftverek – ki vannak téve a fenyegetés új formájának. Ha ez a helyzet, nézze meg, mit javasolnak a szakértők, és járjon el ennek megfelelően.
Más esetekben a vállalat megállapítja, hogy saját termékei, amelyek már a fogyasztók kezében vannak, ki vannak téve egy meglévő vagy új fenyegetésnek. Ebben az esetben tegyen lépéseket a probléma megoldására egy frissítéssel vagy javítással, és tájékoztassa az ügyfeleket a korrekciós lépésekről.
Példa: Egy otthoni vállalkozás tulajdonosa vásárol egy új laptopot, hogy irányítsa vállalkozását. Vírusirtó szoftvereket telepít egy jó hírű cégtől. Ha megadja a képernyőn megjelenő lehetőséget, a vállalkozás tulajdonosa lehetővé teszi a szoftver számára, hogy automatikusan frissítse a laptop vírusvédelmét. Ebben a helyzetben bölcs döntés az automatikus frissítések választása.
Példa: A fodrászszalonok regionális lánca harmadik féltől származó szoftvereket használ a kiskereskedelmi eladások és készletek kezelésére. Amikor a szállítótól e-mail érkezik, amelyben a szoftver felhasználóinak a biztonsági rést javító javítás telepítését javasolják, egy kijelölt munkatárs felkeresi a szállító webhelyét, és megerősíti az üzenet hitelességét, majd megteszi a szükséges lépéseket a szoftver frissítéséhez. Azáltal, hogy felállított egy rendszert a gyártók biztonsági kommunikációjának figyelésére és reagálására, a vállalat segített naprakészen tartani a biztonságát.
Példa: Egy cég a személyes pénzügyi szoftverek népszerű termékcsaládját árulja. Miután több fogyasztó már megvásárolta a terméket, a vállalat biztonsági rést fedez fel a szoftverben. A vállalat kiadja a szoftver új verzióját, amely orvosolja a biztonsági rést. Nem veszi fel azonban a kapcsolatot a meglévő ügyfelekkel, hogy javításokat kínáljon, és nem veszi figyelembe a kiskereskedelmi polcokon még elérhető sebezhető szoftvereket. A megoldás hatékony megvalósításának elmulasztásával a vállalat veszélybe sodorta a fogyasztók érzékeny információit.
Tervezze meg a termék szoftverének biztonsági frissítéseinek terjesztését.
Nem számít, mennyire biztonságosnak gondolja termékét, a jövőben szoftveres sérülékenységeket fedezhetnek fel. A biztonsággal foglalkozó cégek azt tervezik, hogy időben kiadják a biztonsági frissítéseket. A módszer a termék jellegétől függ, de bölcs dolog, ha ezeket az előre nem látott eseményeket a forgalomba hozatal előtt előkészíti.
Példa: Egy cég termosztátot gyárt, amely csatlakozik az internethez. A vállalat úgy konfigurálja az alapértelmezett beállításokat, hogy automatikusan megkeresse és telepítse a vállalat által telepített biztonsági frissítéseket. Azáltal, hogy termékét a szükséges frissítések biztosításával tervezte, a vállalat biztonságosabb tervezési döntést hozott.
Példa: Egy cég olyan konyhai készüléket gyárt, amely csatlakozik az internethez. A korai termékfejlesztési szakaszban a vállalat megállapítja, hogy az automatikus biztonsági frissítések nem lehetségesek. Éppen ezért a vállalat egy figyelmeztető gombbal tervezi az eszközt, amely vizuálisan jelzi, hogy egy biztonsági frissítés online elérhető. Ezenkívül a kezdeti beállítási varázsló során a fogyasztóknak lehetőségük van további kommunikációs módot – például szöveges vagy e-mailt – hozzáadni, hogy értesítést kapjanak, amikor a biztonsági frissítések elérhetővé válnak. Azzal, hogy a kezdetektől fogva kiépítette ezeket a kommunikációs csatornákat, a vállalat megkönnyítette az ügyfelek tájékoztatását a jövőbeni biztonsági frissítésekről vagy javításokról.
Ügyeljen a megbízható biztonsági figyelmeztetésekre, és haladjon gyorsan a probléma megoldásához.
A biztonság témájában sok beszélgetés folyik műszaki szakértők, kutatók, kormányzati szervek, iparági szakemberek és fogyasztók között. A rengeteg szakértelem birtokában bölcs dolog a terepre összpontosítani, amikor a téma a felmerülő kockázatokra és lehetséges sebezhetőségekre irányul. Figyeljen, ha olyan biztonsági figyelmeztetésekről hall, amelyek hatással lehetnek hálózatára vagy termékére. Ezen túlmenően, ha szakértők megpróbálják elérni az Ön cégét egy adott riasztás megszólaltatásával, akkor üzeneteik gyorsan eljutnak a megfelelő emberekhez?
Példa: Egy alkalmazásfejlesztő naponta több ezer e-mailt kap. Weboldalán e-mailekre irányítja az embereket Customerservice(kukac)cgnev.com Jelszó-visszaállítással, fizetéssel és egyéb konkrét fogyasztói problémákkal kapcsolatos kérdésekkel vagy megjegyzésekkel. Azonban potenciális biztonsági aggályok esetén e-mailekre irányítja az embereket security(kukac)cgnév.comAz alkalmazásfejlesztő kijelöl egy hozzáértő munkatársat, aki rendszeresen figyeli a postafiókot, és azonnal jelezze az esetleges problémákat a megfelelő személyzetnek – például a fejlesztő szoftverbiztonsági mérnökének. Ha odafigyel a hiteles biztonsági riasztásokra, és gyorsan kivizsgálja és megoldja azokat, az alkalmazásfejlesztő képes lehet megelőzni a problémát vagy csökkenteni a kockázatot,
Példa: Egy biztonsági kutató komoly biztonsági rést fedez fel egy alkalmazásban. A kutató megpróbálja felvenni a kapcsolatot az alkalmazás fejlesztőjével, de az általános vállalati telefonszámon kívül nem talál semmilyen módot a cég elérésére. A képzés során az adminisztratív személyzet, aki visszaállítja a hangpostát egy általános számról, arra utasítja, hogy törölje az ismeretlen harmadik felektől érkező üzeneteket. A jobb gyakorlat az lenne, ha a lehetséges sebezhetőségekről szóló közleményeket – hibajelentéseket – egy erre a célra kijelölt csatornára küldené, ahol azokat képzett biztonsági személyzet értékelheti.
A lecke azoknak a vállalatoknak, amelyek elkötelezettek a biztonság terén, az, hogy előre hozzon létre csatornákat a lehetséges sebezhetőségekkel kapcsolatos kritikus információk fogadására és küldésére. Gyorsan haladjon a megfelelő biztonsági intézkedések végrehajtásához.
Következő a sorozatban: Biztonságos papír, fizikai adathordozó és eszközök
