Dobre prakse za varnost informacijskih sistemov

Svetovni splet je neskončen vir informacij, zato si danes brez njega ne znamo več predstavljati našega vsakdana. Uporabljamo ga tako za pridobivanje novih znanj ter komunikacijo v zasebni in poslovni sferi, kot raziskovalno orodje in ne nazadnje za ogled večpredstavnostnih vsebin. Zaradi njegove vseprisotnosti pa je tudi zatočišče številnih nepridipravov, ki tam iščejo načine, kako se okoristiti na račun drugih uporabnikov.

Da ne bi postali žrtev spletnih nepridipravov, so pri podjetju ADM Adria, ki je specializiran in certificiran implementator varnostnih rešitev, pripravili nasvete, kako se zaščititi pred tovrstnimi napadi. Tu je velik poudarek predvsem na zdravstvene organizacije, saj so te zaradi občutljivih osebnih podatkov posameznikov vse bolj poljubljena tarča organiziranega spletnega kriminala. V nadaljevanju si poglejmo nekaj dobrih praks, ki nam bodo v pomoč pri zaščiti naših informacijskih sistemov.

Varnostna tveganja jemljite resno

Za zdravstvene organizacije trenutno zdaleč največje tveganje predstavljajo izsiljevalske kode, v prihodnje pa bo kvečjemu le še slabše. Zaradi tega je ključnega pomena, da se management zaveda pomena vzpostavitve primernega nivoja varnosti, za kar so seveda potrebna tako sredstva kot ljudje. Zaradi tega je ključnega pomena, da je vodstvo seznanjeno z varnostnimi tveganji in da je vključeno v proces varovanja informacij, saj to ne sme in ne more biti v izključni domeni oddelka za informacijsko tehnologijo (IT).

Poskrbite za izobraževanje uporabnikovim

Pri varovanju informacij so uporabniki pogosto tisti, ki so najbolj na udaru s strani spletnih kriminalcev, še posebej ko gre za izsiljevalske kode, škodljive programske kode in spletne udore. To še posebno drži na področju zdravstvenih vsebin, zato je izobraževanje uporabnikov s tega področja ključnega pomena.

Izdelajte strategijo varovanja informacij za vašo organizacijo

Dobra strategija varovanja informacij je ključnega pomena za zagotovitev varnostni vašega informacijskega sistema, saj v nasprotnem primeru bodo tveganja še vedno prisotna in to kljub temu, da bomo v varovanje informacij vložili veliko sredstev. Tu se moramo osredotočati predvsem na prepoznavo tveganj, vključno s tem, koliko računalnikov še vedno poganja zastareli sistem Windows XP, koliko naprav nima nameščenih varnostnih popravkov, koliko ljudi ima dostop do informacij, ki jih ne potrebuje za njihovo delo in še mnogo več. Šele ko bomo prepoznali tveganja, katerim smo izpostavljeni, bomo lahko postavili učinkovito strategijo varovanja informacij.

Postavite jasne in podrobne varnostne politike

Vašo strategijo varovanja informacij prelikajte tudi v primerno število jasnih in podrobnih varnostnih politik. Te morajo biti jasno posredovane vsem zaposlenim in poslovnim partnerjem, pri čemer morajo te vključevati seznam varnostnih orodij za zaščito informacijskega sistema, seznam dobrih varnostnih praks, primerno in neprimerno uporabo informacijskih virov in še mnogo več. Če pa zdravstveno osebje uporablja zasebne računalnike in drugo informacijsko tehnologijo, moramo poskrbeti za to, da bodo pacientovi občutljivi osebni podatki ustrezno zavarovani.

Uporabite šifriranje na vseh točkah

Šifriranje podatkov bi moralo biti uporabljeno povsod tam, kjer imamo opravka z občutljivimi ali zaupnimi podatki, in sicer pri njihovem prenosu, obdelavi in shranjevanju. Poleg tega bi moral vsak nakup programske in strojne opreme vključevati tudi zahtevo za močno varnostno šifriranje. Če pa uporabljamo »zastarelo« programsko in strojno premo, ki je vsaj v doglednem času ne bomo zamenjali, se moramo pozanimati za šifrirne rešitve, ki jih ponujajo različna varnostna podjetja.

Za varnost uporabljajte aktiven seznam tveganj

Ker se tveganja na področju varovanja informacij neprestano spreminjajo je ključnega pomena, da poskrbimo za sistem, ki nas bo sproti obveščal o tem. S tem pristopom bomo lahko namreč precej lažje odkrili neželene aplikacije in neobičajno obnašanje uporabnikov, kar nam bo v pomoč pri zaustavitvi odtekanja zaupnih informacij. Ti sistemi morajo biti seveda avtomatizirani, kar pomeni, da v primeru napada bomo o tem obveščeni v realnem času in na primeren način.

Preverite vašo pripravljenost v primeru uspešnega napada

Ker spletnih napadov ni mogoče povsem preprečiti je zelo pomembno, da smo pripravljeni tudi na to, da bomo v prihodnje imeli opravka z varnostnim incidentom. Zaradi tega je ključnega pomena, da preverimo našo pripravljenost v primeru uspešnega napada, predvsem pa v smislu obnove podatkov v primeru uspešnega napada z izsiljevalsko programsko kodo. Poleg tega moramo preizkusiti še naše plane za neprekinjeno poslovanje in naš varnostni program.

Vlagajte sredstva v izobraževanje upornikov

Varnostne politike so ključnega pomena za preprečevanje varnostnih vdorov, pri tem pa moramo poskrbeti za to, da postanejo del vsakdana in to predvsem v zdravstvenih organizacijah. Pri tem seveda igra ključno vlogo izobraževanje uporabnikov, ki mora biti ciljno in izvedeno v določenih časovnih intervalih. Zaposleni morajo biti seznanjeni s tem, kakšne nevarnosti jim pretijo, kako prepoznati lažno elektronsko pošto, lažne spletne strani in podobno. Pri tem poskrbimo še za to, da izobraževanje ne poteka le enkrat letno, kar je sicer praksa v kar 44 odstotkih organizacij.

Uporabljajte centralizirana orodja za varovanje informacij

Centralo vodena varnostna orodja so ključnega pomena za varovanje informacij, saj zagotavljajo homogeno dobro prakso varovanja informacij skozi celotno organizacijo. Ta namreč poskrbijo za to, da je naprava varna še preden uporabnik pridobi dostop do podatkov, da ima podjetje možnost oddaljenega izbrisa podatkov v primeru kraje mobilne naprave in podobno. Varnostna orodja pa so še posebno pomembna v primerih, ko se uporabnik priključi na javna omrežja Wi-Fi.

Poskrbite za ustrezno politiko gesel in dostopa

Ker so uporabniki pogosto najšibkejši člen varovanja informacij, moramo poskrbeti za to, da ti uporabljajo varna dostopna gesla in da imajo dostop le do tistih podatkov, ki jih nujno potrebujejo za opravljanje njihovega dela. Poleg tega moramo poskrbeti še za aktivno nadzorovanje dostopov do podatkov občutljive narave in za hitro ukrepanje v primeru kršitev. Tu gre predvsem za ukrep odvzema dostopnih pravic zdravstvenemu osebju v primeru neupravičenega dostopa.

Priskrbite si prava varnostna orodja

Varnostna strategija, politike, varnostna izobraževanja in pripravljenost so ključni elementi zagotavljanja informacijske varnosti, vendar pri tem potrebujemo še ustrezna varnostna orodja, saj v nasprotnem primeru ne bomo dosegli želenega cilja. Predvsem zdravstvene organizacije potrebujejo napredna varnostna orodja za preprečitev poskusov ribarjenja, napadov s škodljivimi kodami, okužbo z izsiljevalskimi zlonamernimi programi in podobno. Med dobrimi praksami na tem področju najdemo redno izdelovanje varnostnih kopij, priprava seznama dovoljenih aplikacij, uporaba naprednih požarnih zidov, namestitev programov za varovanje končnih uporabnikov in še mnogo več. Tu je dejansko ključnega pomena predvsem to, da zagotovimo varovanje informacij »v globino«, kar pomeni, da poskrbimo za ustrezno varnost na vseh nivojih informacijskega sistema.

Želite izvedeti več?

Za več informacij o vsestransko uporabnem orodju Toad Edge podjetja Quest se obrnite na info@adm-adria.eu ali telefon 059 251 955.