Nekako tradicionalno je, da ob bližanju in ob prihodu pomladi izvedemo bolj sistematično čiščenje. Prostorov, garderobnih omaric, rolet…
Takšno čiščenje lahko postane tudi lepa navada na področju digitalnih tehnologij, naprav in storitev.
Kratek pregled kaj vse bi bilo in je smiselno vključiti v nabor spomladanske čistilne akcije na področju digitalnih tehnologij je navedeno v nadaljevanju. Seveda to predstavlja samo osnovni nabor. Vedno lahko še kaj dodamo – zelo podobno kot pri domačem spomladanskem čiščenju – vedno lahko vključimo še kakšno dodatno sestanje, pomivanje oken, briskanje praha s polic ali pregled shranjenih računov…
Uporabniški računi
Vedno, ko govorimo o varovanju informacij, hitro pričnemo razmišljati o rabi uporabniških računov. Takšno čiščenje je sestavljeno iz več aktivnosti, saj je smiselno preveriti, če na sistemih, v katere se prijavljamo uporabljamo kompleksna gesla (verjetno je smiselno izvesti tudi ponastavitev gesel). V kolikor je možno, aktiviramo in usposobimo večfaktorsko avtentikacijo. Spet je zanimivo spremljanje uporabe aplikacij in storitev – določene verjetno že dlje časa nismo uporabljali in je smiselno, da celo nekatere uporabniške račune deaktiviramo.
Mogoče je pomlad tudi čas, da si (v kolikor še nimamo) namestimo aplikacijo za upravljanje z uporabniški imeni in gesli. Danes uporabljamo enostavno preveč aplikacij in sistemov, v katere se je potrebno prijavljati, zahteve glede kompleksnosti gesel in potreb po njihovi menjavi pa so tudi vedno bolj intenzivne.
Torej – pregled uporabniških računov, zapiranje tistega česar ne rabimo, ponastavitev prijavnih gesel in njihov zapis v aplikacijo za shranjevanje gesel.
Služben vidik uporabniških računov
Ravno tako je potrebno preveriti, če so vsi uporabniški računi, ki jih imamo in uporabljamo ustrezno »varnostno posodobljeni«. Potem pa so tukaj še skrbniki, ki dodatno izvajajo preglede uporabniških računov. Ne vem, če ste vedeli, da se izvaja mesečno pregledovanje ustreznosti AD in VPN uporabniških računov, sistematično pregledovanje uporabniških računov aplikacije Podpora pa se še določa oz. se še ne izvaja tako sistematično. Razlika pri službenih (poslovnih) aranžmajih in upravljanjih dostopa je tudi v tem, da je v poslovnih informacijskih okoljih potrebno izvajanje preverjanja uporabniških pravic in ne samo aktualnosti računov – torej ali ima posameznik na voljo dostop do tistih storitev in podatkov, da mu je omogočeno njegovo delo. Nič manj in nič več.
Programska oprema
Higiena na področju programske opreme se prične s pregledi skladnosti – ali imamo ustrezne licence za programsko opremo, ki jo uporabljamo? To je še posebej pomembno v poslovnih okoljih, saj obstajajo tudi določeni modeli licenciranja, ki dovoljujejo uporabo programske opreme v namene zasebne uporabe, za uporabo v poslovne namene, pa je potrebno zagotoviti ustrezno licenco.
Drugi del preverjanja in čiščenja na področju programske opreme je pregled opravljanih posodobitev in nadgradenj. Seveda je smiselno imeti vedno aktualno različico programske opreme – nadgradnje so zato pomembne, saj prinašajo največkrat tudi ustrezne dopolnitve, spremembe in dodatne funkcionalnosti. Posodobitve je sicer potrebno izvajati redno, saj predstavljajo varno okolje za delovanje in uporabo programske opreme.
Obseg posodobitve programske opreme se je z leti zelo povečal. Nekoč (ta nekoč je mogoče še leto 2000) je bilo potrebno izvajanje posodobitev operacijskega sistema računalnika. Danes se izvaja posodobitve operacijskega sistema, protivirusne zaščite, spletnih brskalnikov, uporabniške programske opreme… In ta nabor se nanaša samo na računalnik. Ponovi se pri prenosniku, posodobitve pa je potrebno redno izvajati tudi na mobilnih napravah (telefoni in tablice) ter na področju povezljivih aparatov. Ravno slednje je zelo pomembno, saj ga večina uporabnikov IoT tehnologij sistematično zanemarja, s čemer sami sebi povzročijo varnostno tveganje za nepooblaščene dostope v informacijski sistem. Nadgradnje IoT naprav so gotovo v prihodnosti področje, ki bo predstavljalo veliko okno za izvedbe nepooblaščenih dostopov. Pametne ure, aparati bele tehnike, alarmni sistemi,… Vse je potrebno posodabljati.
Služben vidik programske opreme
Posodobitve in nadgradnje programske opreme so načeloma nadzorovane in upravljane. Sistem centralnega preglednega registra sicer še ni vzpostavljen, ravno tako obstaja določen segment računalniške opreme, ki ni ustrezno obvladovan in upravljan (prenosnih računalniki). Tako je potrebno še vedno tudi nekaj ročnega preverjanja stanja in aktualnosti programske opreme.
Na srečo je programska oprema, ki jo razvijamo v podjetju podvržena rednim posodobitvam in nadgradnjam, ki so v večini primerov tudi ustrezno načrtovane in časovno določene. Lepo.
Finančni podatki in storitve
V sklopu spomladanskega čiščenja digitalnih storitev je skoraj obvezno opraviti še pregled bančno-finančnih storitev, ki jih uporabljamo. Seveda je smiselno narediti konfiguracija spletnega bančništva na način, da nas sistem obvešča o morebitnih prijavah ter aktivnostih. Posebej smiselno je, da imamo aktivirano SMS obveščanje o izvedbi prijave v sistem elektronskega bančništva, da imamo aktivirano obveščanje za primere večjih nakazil ali večjih plačil. Obveščanje preko SMS omogoča kar čimprejšnje ukrepanje v primeru zaznane nepooblaščene prijave v sistem in/ali izvajanja nepooblaščene finančne transakcije. Prej, ko smo o morebitnem nestandardnem obnašanju obveščeni, prej lahko dejansko tudi odreagiramo.
Služben finančnih podatkov in storitev
Dostop in opravljanje finančnih aktivnosti in uporabe storitev so omejene na ozek obseg ljudi. Mogoče pa je smiselno pregledati in razmisliti o kakšnem dodatnem varnostnem mehanizmu, ki ga bi bilo možno uporabiti v naši rešitvi, da bi bila omogočena in zagotovljena še kakšna dodatna varnost. Med najpogostejše oblike prevar na področju izvedbe plačil sodijo prevare tipa »Letter from the President« in pa prevare, kjer napadalec posreduje zahtevek za spremembo matičnih podatkov.
Uničenje ali ponovna uporaba naprav
S časom se nam kaj hitro dogodi, da se nam pričnejo zbirati z leti nabrane elektronske naprave, ki jih več ne uporabljamo – to so lahko tako stari računalniki, kot mobilne ali tablične naprave. V primeru, da želimo te naprave odstraniti ali predati, je potrebno iz njih odstraniti vse podatke in aplikacije, predvsem pa prijavne podatke, ki smo jih na napravi uporabljali. Večina mobilnih naprav že ima vgrajeno funkcijo za sistematično brisanje tovrstnih podatkov (tovarniška ponastavitev).
Službena ponovna uporaba naprav
Določene naprave lahko krožijo med uporabniki – po tem ko je napravo uporabljal en uporabnik, bo ta predana drugemu uporabniku. Seveda pa se naprave po koncu tehnično smiselne rabe predajo v uničenje. Podatkovni mediji se uničujejo ločeno, uničenje pa se tudi ustrezno evidentira. O tem obstaja celo pravilnik in obrazec za evidentiranje uničenih podatkovnih medijev. Ob predaji opreme, se ustrezno evidentira tudi sprememba na področju osebne zadolžitve opreme.
Varnostne kopije
Ne glede na to kako zelo varni smo in kako zelo skrbimo za dostope in upravljanje podatkov, vedno je potrebno zagotoviti da se izvaja tudi učinkovito in uspešno izvajanje varnostih kopij podatkov. Posebej pozorni moramo biti, ko izvajamo prenos podatkov iz ene na drugo napravo (menjava naprave). Vsako napravo, ki jo uporabljamo je potrebno ustrezno nastaviti, da se izvajajo varnostne kopije.
Službeno izvajanje varnostnih kopij
Podatke, ki shranjujemo na sistemska sredstva se centralno in organizirano varnostno kopirajo. Podatke, ki shranjujemo v oblačne storitve, pa moramo ustrezno nastaviti, da je zagotovljeno in da se izvaja kopiranje podatkov. Tisti, ki dodatno upravljajo posamezna mesta na oblačnih storitvah (SharePoint online) morajo ustrezno nastaviti izvajanje varnostnega kopiranja na lokalne diske delovnih postaj.
Vsebinska varnost – nadzor dostopa do vsebin
Če si starš ali skrbnik je smiselno, da pregledaš tudi nastavitve starševskega nadzora za otroke. Ko otroci rastejo, je verjetno smiselno spremeniti tudi nastavitve vsebinske varnosti.
Službena vsebinska varnost
Tudi v poslovnem informacijskem sistemu obstajajo in so prisotne nastavitve glede vsebinske varnosti – to pomeni, da vse spletne vsebine niso dostopne vsem uporabnikom. Sem sodijo kategorije vsebin kot so na primer spletno igralništvo, poronografija in sorodne vsebine. V sklopu opravljanja spomladanskega čiščenja je smiselno pregledati in ažurirati še sisteme vsebinske varnosti.
Družbena omrežja
Preglej nastavitve zasebnosti na svojih profilih družbenih omrežij. Ta predstavljajo namreč veliko in pomembno bazo podatkov, ki so lahko dostopni poleg naših »prijateljev« tudi širokem naboru ostalih uporabnikov omrežja. Pregled naj bo usmerjen predvsem v preglede fotografij, deljenje podatkov kot so rojstni podatki, kontaktne telefonske številke, domač naslov, bančni podatki ali na primer podatki o gelokaciji.
Službena varnost družbenih omrežij
Ni redkost, da imajo tudi podjetja ustvarjene svoje profile družbenih omrežij preko katerih lahko obveščajo tako poslovne partnerje kot potencialne partnerje ali sodelavce. Redno spremljanje objav in skrbno potrjevanje »prijateljstev« je ključnega pomena za ohranjanje kredibilnosti takšnega profila. Seveda je rast števila sledilcev pomembna za domet obveščanja, vseeno pa je smiselno pregledati in negovati tudi objave in omembe družbe na družbenih omrežjih (tudi med drugimi profili). Smiselno je razmisliti tudi o uporabi storitve preverjenih profilov.
