Pусский
English
« Все новости

30.11.15 4 Вопроса о безопасности Вашей компании.

4-questions-about-enterprise-security-and-compliance2-777x437

Главенствующую роль в Вашем датацентре имеют IT администраторы и IT менеджеры. Они имеют доступ ко всему, начиная от учетных записей сотрудников, заканчивая частными конфиденциальными данными клиентов. Такая власть в руках нескольких людей является пугающей перспективой для организаций.

Истина в том, что сегодня в большинстве организаций сотрудники IT пользуются анонимным, неаудированным доступом к приложениям, компьютерам и устройствам через привилегированные данные учетных записей. Аудиторы IT отметили опасность такого положения вещей. Теперь требования для безопасности привилегированных учетных записей установлены в таких нормативах как PCI-DSS, HIPAA, Sarbanes-Oxley и других.   

Организации, стремящиеся усовершенствовать свою систему администрирования (IGA) и управления идентификационными данными, в целях повышения безопасности, должны задать себе эти вопросы:

1. Когда в последний раз мы изменяли наши привилегированные учетные записи?

Чаще всего, кража данных происходит с помощью паролей привилегированных учетных записей, использующихся администраторами для входа в систему, учетных записей служб и записей, используемых при взаимодействии приложений. Нормативы PCI-DSS, HIPAA, Sarbanes-Oxley и некоторые другие требуют контролировать регулярное обновление паролей для предотвращения злоупотреблений. Однако отсутствие автоматизированного решения, - такого как network password management, -  в крупных компаниях не позволяет выполнять задачу по регулярной смене пароля привилегированных записей.

2. Соблюдает ли наш штат IT культуру «минимума полномочий»?

Поставьте себя на место IT администратора. Вы сразу же поймете, почему им удобно использовать анонимные «всевластные» учетные записи для решения стандартных задач. Однако такой подход подвергает опасности всю систему безопасности. В конечном счете у слишком многих людей, включая и бывших сотрудников, будет доступ к конфиденциальным данным и секретным паролям организации. Эти же старые статические пароли, используемые IT специалистами, для получения доступа к системам, могут быть использованы хакерами во время атак.

3. Можем ли мы определить, кто получал доступ и с какой целью?

Когда кто-то использует привилегированную учетную запись, чтобы скопировать или изменить пользовательскую запись, изменить схему базы данных или конфигурацию Network Appliance, - этот процесс нигде не фиксируется. Поэтому нет никакого доказательства того, кто внес изменения, когда он это сделал и по какой причине. Без контрольного журнала трудно отличить правомерное действие от незаконной деятельности или же простой человеческой ошибки.

4. Смогут ли наши секретные пароли выйти за пределы компании при смене IT штата?

Отсутствие возможности отслеживания привилегированного доступа, подразумевает, что при уходе сотрудников из IT отдела, может подтолкнуть человека  взять пароль и доступ к уязвимой информации с собой. В тот момент, когда сотрудник IT покидает компанию, все пароли, предоставляющие привилегированный доступ к системам, устройствам и приложениям, должны быть обновлены.

Лучшие в своем классе решения по управлению привилегированными данными регулярно обновляют учетные записи, проводят аудит и создают полные отчеты. Все это позволяет мгновенно изменить ролевые возможности любой записи сотрудника.

Привилегированный доступ - увидь картину целиком

За эти годы мы помогли многим организациям повысить безопасность своих предприятий, управляя их привилегированными идентификационными данными. Таким образом, мы узнали, что совместно использующиеся и редко изменяемые привилегированные учетные данные сотрудников со слишком большими возможностями доступа и нулевой отслеживаемостью, зачастую правило, а не исключение. Результат всегда плох: запутанные проникновения в систему с утечкой данных и дорогостоящий IT аудит. Ваша организация, регулярно задавая себе вопросы выше, может избежать такой судьбы.

 

http://www.identityweek.com/4-questions-about-enterprise-security-and-compliance/

 


Компания Web Control. Тел./факс: +7 (495) 925-7794
email: info@web-control.ru, 107023, г. Москва, Электрозаводская ул., д. 24
Яндекс.Метрика