Măsuri de securitate IT pentru firme

de | mai 9, 2024 | Securitate IT | 0 comentarii

Cyber Essentials pentru firme

De unde să încep cu securitatea IT? Primesc frecvent această întrebare, iar recomandarea mea este implementarea unui standard de securitate.

Există standardele de securitate NIST SP 800-53 și ISO 27000 , recunoscute pentru maturitatea și fiabilitatea lor. Totuși, pentru companiile mai mici, implementarea acestora poate fi dificilă și costisitoare. Pentru a sprijini aceste companii, sub auspiciile guvernului britanic, a fost creat și publicat în iunie 2014 un standard mai accesibil și cu costuri reduse de implementare, numit Cyber Essentials.

Acest standard oferă un set minim de măsuri de securitate cibernetică, accesibile și ușor de implementat. A fost dezvoltat pentru a proteja împotriva atacurilor externe, presupunând că interiorul organizației este sigur. Domeniul de aplicare include servere, PC-uri, tablete, smartphone-uri și servicii conectate la Internet, precum e-mailul și aplicațiile web.

1. Echipamente de rețea – Firewall-uri și Internet gateways

Acest aspect se concentrează pe protejarea infrastructurii IT împotriva atacurilor externe, constituind prima linie de apărare împotriva amenințărilor din afara organizației.

Factori de control:

1.1 Schimbarea parolelor conturilor administrative ale echipamentelor de rețea, pentru a evita utilizarea celor implicite stabilite de producător.

1.2 Regulile firewall-urilor trebuie documentate și autorizate.

1.3 Ca regulă generală, blocarea oricărei conexiuni neautentificate..

1.4 Echipamentele trebuie să aibă blocate toate serviciile nefolosite, iar interfața administrativă trebuie să poată fi accesată doar din interiorul organizației și este protejată de un al doilea factor de autentificare multi-factor.

2. Configurare sigură

Aceasta implică realizarea tuturor setărilor necesare pentru a crește gradul de securitate al echipamentelor IT.

Factori de control:

2.1 Ștergerea conturilor care nu sunt necesare/utilizate.

2.2 Ștergerea conturilor implicite.

2.3 Schimbarea parolelor implicite.

2.4 Ștergerea sau dezactivarea oricăror aplicații sau servicii care nu sunt necesare.

2.5 Instalarea sau activarea firewall-urilor software pe toate PC-urile.

3. Controlul accesului utilizatorilor

Acest aspect vizează gestionarea și limitarea accesului utilizatorilor la resurse și date sensibile, prin utilizarea de conturi și parole securizate. Implementarea poate fi dificilă, deoarece utilizatorii tind să solicite mai multe drepturi decât necesar.

Factori de control:

3.1 Utilizatorii să aibă minimul de privilegii necesare pentru a-și îndeplini sarcinile de lucru.

3.2 Folosirea conturilor de utilizator (ID) și a unor parole complexe.

3.3 Conturile cu drepturi de administrare nu trebuie utilizate pentru activități online, deoarece e-mailul și navigarea pe Internet pot fi vectori de răspândire a malware-ului.

3.4 Ștergerea sau dezactivarea conturilor care nu sunt folosite.

4. Protecție împotriva malware-ului

Se concentrează pe protecția sistemelor IT împotriva malware-ului și a altor amenințări similare.

Factori de control:

4.1 Instalarea de software antivirus.

4.2 Menținerea la zi a semnăturilor software-ului antivirus.

4.3 Folosirea capabilităților software-ului antivirus de protecție în timp real.

4.4 Efectuarea regulată de scanări antivirus.

4.5 Blocarea accesului la site-uri considerate ca nefiind de încredere.

5. Managementul patch-urilor

Un software poate conține vulnerabilități care, odată descoperite de atacatori, sunt exploatate prin malware pentru a compromite sistemele care folosesc acea versiune. Acest lucru se întâmplă, de obicei, în cel mult 24 de ore de la descoperirea vulnerabilității. Producătorii remediază aceste probleme prin patch-uri, aplicate la intervale de zile sau săptămâni, în funcție de gravitatea vulnerabilității.

Factor de control:

5.1 Aplicarea actualizărilor de securitate, ori de câte ori acestea apar.

 

6.Pași pentru implementarea Cyber Essentials

6.1 Evaluarea inițială

    • Începe prin evaluarea infrastructurii și a politicilor de securitate existente pentru a identifica posibilele lacune și vulnerabilități.

6.2 Planificarea și pregătirea

    • Stabilește un plan detaliat pentru implementarea măsurilor recomandate de Cyber Essentials
    • Pregătește resursele și personalul necesar

6.3 Implementarea măsurilor de securitate IT

    • Aplică și configurează măsurile de securitate IT în conformitate cu cerințele standardului.
    • Verifică respectarea tuturor recomandărilor.

6.4 Monitorizarea și actualizarea constantă

    • Monitorizează periodic sistemele și rețelele  IT pentru a detecta orice anomalii sau activități suspecte
    • Asigură-te că toate soluțiile de securitate sunt actualizate la cele mai recente versiuni.

6.5 Certificarea și auditarea. După implementare, poți lua în considerare:

    • Obținerea certificării Cyber Essentials pentru a valida conformitatea cu standardul;
    • Efectuarea de audituri periodice pentru a menține securitatea cibernetică pe termen lung

Concluzie

Prin implementarea acestui standard simplificat, compania ta poate:

      • reduce riscul de atacuri cibernetice;
      • proteja eficient datele și activitatea în mediul online

Protejează-ți afacerea înainte să fie prea târziu!

Amenințările cibernetice sunt în continuă evoluție, iar o strategie de securitate IT bine pusă la punct poate face diferența între continuitatea operațiunilor și pierderi majore.

Contactează-ne pentru un audit de securitate IT și află ce măsuri trebuie implementate pentru a-ți proteja datele și activitatea online

Dan Stefan

Dan Stefan

Profesionist IT certificat , cu background în inginerie electrică și un MBA. Pasionat de calculatoare, mă ocup cu optimizarea IT-ului pentru afaceri mici – de la securitate la prezență online prin WordPress și SEO

Introdu Comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

I accept the Privacy Policy

Share This