Kibernetički kriminal je u porastu, a poslovni softveri koji integriraju ključne poslovne procese i podatke, predstavljaju posebno privlačne mete. Gubitak ili kompromitacija podataka je stresna i najčešće ima loše posljedice za poslovanje. U ovom članku podijelit ćemo provjerene strategije koje pomažu u zaštiti podataka i koje primjenjujemo u svojem poslovanju. Njihova primjena pomoći će smanjiti mogućnost uspješnosti hakerskih napada i očuvati sigurnost vaših podataka.
Svaka navedena metoda povećava sigurnost sustava. Sve tvrtke neće biti u mogućnosti implementirati baš sve navedene metode. Međutim, uvođenjem samo jedne od navedenih, učinili ste svoje virtualno okruženje sigurnijim. Naravno, svaki poduzeti korak više podiže razinu zaštite.
1. Educirajte svoje zaposlenike o zaštiti podataka!
Ljudski faktor „zaslužan“ je za više od 82% kibernetičkih napada, bilo kroz phishing napade, loše sigurnosne prakse ili jednostavno ljudske pogreške.
Kako prepoznati prijetnju: Naučite svoje zaposlenike prepoznati phishing e-mailove i druge potencijalno opasne e-mailove i aktivnosti. Čim dobijete informacije o kolanju lažnih e-mailova, pošaljite upozorenje i nemojte se pouzdati u „to svi znaju“.
Inzistirajte na sigurnosnoj praksi: Upoznajte ih sa sigurnosnim postupcima kao što je redovita promjena lozinki i objasnite važnost korištenja jakih lozinki.
Reakcija na prijetnje: Također, naučite ih kako brzo i pravilno reagirati u slučaju sumnjivih aktivnosti. Uputite ih na osobu u tvrtki koju moraju kontaktirati radi provjere sumnjivih radnji ili e-mailova.
2. Propišite dokument Politika promjene lozinke
Osigurajte da svaki korisnik ima svoje vlastito korisničko ime za pristup računalu i pobrinite se da se računalu može pristupiti isključivo i jedino s korisničkim imenom koje je zaštićeno lozinkom. Donesite interni dokument Politika promjene lozinki i u njemu definirajte da korisnici najmanje jednom godišnje moraju promijeniti lozinku. Obavezno propišite kompleksnost lozinki (broj znakova, velika i mala slova, posebni simboli, brojke…).
3. Kriptirajte podatake
Kriptiranje podataka osigurava da su podaci nečitljivi bez odgovarajućeg ključa. U slučaju da napadač dođe do podataka, neće ih moći koristiti bez ključa.
Kriptiranje u prijenosu podataka: Osigurajte da su svi podaci koji se prenose između korisnika i sustava kriptirani.
Kriptiranje u sustavu: Osjetljivi podaci pohranjeni unutar vašeg sustava moraju biti kriptirani.
4. Kontrola pristupa podacima: Definirajte tko ima pristup kojim podacima!
Kontrola pristupa ključno je sredstvo za zaštitu podataka. Promišljeno dodjeljivanje pristupa pojedinim dijelovima sustava može značajno smanjiti rizik od neovlaštenog pristupa.
Role-based access control (RBAC): Definirajte uloge i ovlasti unutar sustava prema funkcijama korisnika.
Princip najmanjih privilegija: Dajte korisnicima samo one privilegije koje su im potrebne za obavljanje njihovih poslova. Jedan od čestih primjera su dijeljene mape na mreži. Osigurajte da im mogu pristupati samo oni korisnici koji uistinu to i trebaju moći.
5. Monitoring i revizija: Kontinuirano pratite aktivnosti unutar sustava!
Kontinuirano praćenje aktivnosti unutar sustava pomaže u prepoznavanju sumnjivih aktivnosti i potencijalnih prijetnji.
Logiranje: Sve aktivnosti korisnika trebaju biti zapisane u logove.
Redovite revizije: Provodite redovite sigurnosne revizije kako biste identificirali i popravili eventualne propuste.
6. Dvofaktorska (2FA)/multifaktorska autentifikacija kao dodatni sloj sigurnosti
Dvofaktorska (2FA) ili multifaktorska autentifikacija (MFA) daje dodatnu sigurnost uz standardnu autentifikaciju korisničkim imenom i lozinkom. Čak i ako lozinka bude kompromitirana, napadač neće moći pristupiti sustavu bez drugog faktora.
Implementacija autentifikacije
Odabir metode: Organizacije mogu birati između različitih metoda: poput SMS kodova, aplikacija za autentifikaciju, biometrijskih podataka i hardverskih tokena.
Integracija sa sustavom: Osigurajte da odabrana autentifikacijska metoda bude kompatibilna sa sustavom i jednostavna za korisnike.
Edukacija korisnika: Mnogima to zna biti zamorno i dodatna komplikacija pa je žele izbjeći na sve načine. Zato korisnici moraju biti educirani o razlozima i važnosti autentifikacije te pravilnom korištenju odabrane metode.
7. Penetracijsko testiranje
Redovitim provođenjem pentestinga, organizacije mogu identificirati i ispraviti sigurnosne propuste, povećati otpornost na napade, osigurati usklađenost s propisima, te očuvati povjerenje svojih korisnika i partnera.
Može biti provedeno interno ili eksterno, a svrha im je: identificirati ranjivosti, procijeniti sigurnosne mjere, osigurati usklađenost sa zakonskim i industrijskim standardima, razvijati svijesti o potencijalnim napadima, poboljšati reakcije na napad i očuvati reputaciju.
8. Plan B
S obzirom na sve sofisticiranije metode cyber kriminala, znamo da je velik izazov osigurati 100% sigurnost podataka. Zato je važno osvijestiti i razmotriti situaciju „Što ako…“ Izradite strategiju postupanja u slučaju da cyber napada da možete trenutačno reagirati ako se dogodi napad. Opremite se sigurnosnim kopijama i redundantnom ključnom opremom, provodite back up sustava i imajte sigurno mjesto za oporavak od katastrofe (Disaster Recovery) na kojemu čuvate podatke i koje će omogućiti tvrtki brz nastavak rada.
9. Poslovna rješenja u Cloudu
Kvalitetna rješenja u oblaku su sigurnija nego lokalno instalirana rješenja. Lokalno instalirana rješenja velik su izazov tvrtkama jer unutar tvrtke moraju imati djelatnika koji se bavi sigurnošću podataka, a pronaći stručnjake nije lagan zadatak. S druge strane tvrtkama koje pružaju slugu rješenja u oblaku prioritet je informacijska sigurnost njihovih rješenja te su primorani pratiti trendove i implementirati najbolje svjetske prakse. Ukoliko birate cloud rješenje, osigurajte da je vaš dobavljač ugovorno obvezan provoditi mjere zaštite poput kriptiranja prijenosa podataka i redovitu izradu sigurnosnih kopija vaših podataka.
Implementacija nove ISO norme 27001:2022
Faros ERP svoje poslovne procese provodi sukladno međunarodnom standardu za informacijsku sigurnost 27001:2022. U sklopu tranzicije na novu verziju norme u tvrtki RIS d.o.o. izvršena je procjena cyber sigurnosti i analiza trenutne razine sigurnosti unutar kompanije. Provjerene su i unaprijeđene sigurnosne kontrole i zaštita infrastrukture. Norme iz serije ISO 27001 predstavljaju odgovor na izazov provođenja mjera informacijske sigurnosti u organizaciji.
Zaključak: sigurnost podataka je izazov
Kibernetička sigurnost u poslovnim sustavima ključna je za zaštitu podataka i poslovnih procesa. Primjena provjerenih metoda kao što su edukacija zaposlenika, kriptiranje podataka, kontrola pristupa, redovito ažuriranje softvera, praćenje aktivnosti i dodatna više faktorska autentifikacija može značajno povećati sigurnost vašeg sustava. Organizacije koje ozbiljno shvaćaju sigurnosne prijetnje trebale bi integrirati metode koje su u mogućnosti kao dio sveobuhvatne sigurnosne politike.
