4 IT eksperto taisyklės, kurios padės apsaugoti verslą nuo piktavalių

Duomenys ir jų saugumas debesų kompiuterijos eroje yra vienas sudėtingiausių uždavinių ne tik verslui, bet ir IT specialistams. Vis dažniau verslo kompanijos IT sprendimus patiki debesijos sprendimams.

Tačiau organizacijos yra tam ne visada pasiruošusios ir gerai susipažinusios su iššūkiais, kurie laukia transformuojant savo IT organizaciją veiklai debesų kompiuterijoje.

JAV programavimo paslaugų įmonės „Devbridge“ DevOps praktikų vadovo M. Guobio teigimu, ypač svarbu yra užtikrinti duomenų saugumą, kai dirbame su debesų kompiuterijos sprendimais. Nors mums gali atrodyti, kad viską kontroliuojame, tačiau niekada negalime būti visu šimtu procentų tikri, kad atidavus visą IT ūkį į debesų sprendimų kūrėjų rankas, mūsų visos problemos magiškai išnyks.

„Yra gajus mitas, kad debesų kompiuterijos sprendimai išsprendžia visas jūsų problemas ir nereikės niekuo rūpintis, ar tai daug mažiau kainuos įmonei. Tai yra labai klaidingas ir pavojingas požiūris, kuris priveda prie įvairiausių problemų, kaip serverių nulaužimai, duomenų praradimai ar net finansiniai nuostoliai. Ypatingai reikia nepamiršti, kad naudojant debesų sprendimus nebūtinai sutaupysi pinigų, o kartais toks taupymas priveda ir prie liūdnų pasekmių, kaip duomenų vagystės“, – tikina M. Guobys ir dalijasi praktiniais patarimais, kokių saugumo reikalavimų, taisyklių bei standartų būtina laikytis, norint išvengti nemalonių incidentų ir vartotojų duomenų nutekėjimo.

1 taisyklė. Surenkamų duomenų stiprus šifravimas

Anot IT eksperto, vien tai, kad perkėlėme duomenis iš fizinio duomenų centro į vieną iš debesų paslaugos teikėjo kaip AWS, Azure ar GCP, dar neišsprendžia prieš tai egzistavusių problemų.

„Jeigu mes laikėme vartotojų slaptažodžius pilno teksto pavidalu, tai juos perkėlus į debesiją, jie stebuklingai netaps saugesniais. Jei neturime susiformavusios praktikos atlikti atsarginių duomenų kopijų griežtai nustatytu laiku, debesyje niekas to už mus nepadarys, nebent mes konkrečiai nurodysime, jog tokiospaslaugos norime. Tuo pačiu, kai keliame atsargines kopijas, mes turime jas patalpinti į saugią ir sunkiai prieinamą vietą, kuri reikalautų ir vartotojų autentifikacijos, ir priėjimo kontrolės/audito, kopijos turėtų būti šifruojamos taip pat“, – akcentuoja „Devbridge“ darbuotojas.

2 taisyklė. Griežtai laikytis duomenų saugumo tvarkos taisyklių

M. Guobys pabrėžia, kad nors ir kiekviena IT organizacija turi vienokį ar kitokį įsivaizdavimą apie IT saugumą,jis tikrai nėra ir neturi būti visur vienodas, kadangi daugeliui tenka dirbti su skirtingo pobūdžio sistemomis, duomenimis ir klientais. Tačiau kiekvienu atveju organizacijos viduje derėtų nusistatyti griežtus reikalavimus ir tvarkas, kuriais visi galėtų aiškiai vadovautis.

„Jeigu kuriame tiesiog interneto puslapį apie mezgimą – mūsų reikalavimai tikrai gali pasirodyti minimalūs. Turbūt visi norėtume, kad niekas negalėtų be mūsų sutikimo prisijungti ir valdyti turinio puslapyje, tuo pačiu apsaugome ir serverį, kuriame guli puslapis, jog jis nebūtų nulaužtas. Pats kuriamas puslapis turi atitikti tam tikrus gerosios praktikos pavyzdžius, kurie yra viešai prieinami ir turėtų būti suprantami kiekvienam IT specialistui, kaip, pavyzdžiui, kiekvienais metais skelbiamas OWASP Top 10 sąrašas“, – pataria specialistas.

3 taisyklė. Paisyti visų duomenų apsaugos standartų ir reglamentų

M. Guobys pabrėžia, kai yra pradedama dirbti ir kurti sistemas, kurios renka daug jautresnius duomenis, kaip, pavyzdžiui, žmonių adresai, ID ar kreditinių kortelių numeriai, atsiranda įvairūs standartai, kuriuos būtina atitikti.

„Jeigu jūsų kuriama sistema kaupia duomenis apie žmones ir jų ligos istorijas JAV, būtina atitikti HIPAA standartą. Tai itin aukšti JAV asmenų duomenų saugumo ir jautrių duomenų apsaugos reikalavimai (angl. k. HIPAA compliant – Health Insurance Portability and Accountability act), su kuriais teko susidurti „Devbridge“ programuotojams, kuriant technologinį įrankį JAV medikų veiklai administruoti.

Įvertinus šių duomenų svarbą ir jautrumą, reikėjo užtikrinti duomenų atsarginių kopijų kūrimą ir jų šifravimą. Pavyzdžiui, jeigu mes renkame duomenis apie pacientus JAV, tie duomenys negali būti kaupiami ir saugomi už šios šalies ribų“, – pavyzdį pateikia DevOps praktikų vadovas.

M. Guobys akcentuoja, kad, pavyzdžiui, saugant kreditinių kortelių duomenis ir dirbant su žmonių asmeniniais finansiniais duomenimis būtina atitikti PCI DSS standartą, kuris užtikrina, jog kaupiami duomenys yra saugūs, šifruoti, sunkiai prieinami, atitinkamai saugomi, daromos reikalingos atsarginės kopijos.

„Kai yra kaupiami žmonių vardai, pavardės, el. pašto adresai, ID numeriai ir pan., Europos Sąjungos šalysemes privalome vadovautis Bendruoju duomenų apsaugos reglamentu – GDPR. Tačiau GDPR paliečia ne tik piliečius, bet ir IT organizacijas. Jos turi pritaikyti esamas ir kuriamas sistemas, kad atitiktų GDPR reikalavimus, tai tampa ypač sudėtinga, kai reikia atnaujinti senas sistemas. Todėl dažnai pasitaiko atvejų, kaiį tai pažiūrima pro pirštus. Tai yra tik keletas GDPR gairių, kurių privalo laikytis organizacijos, plačiau apie tai galima pasiskaityti čia“, – pataria M. Guobys.

4 taisyklė. Reguliarus testavimas ir auditavimas

„Devbridge“ DevOps praktikų vadovas atkreipia dėmesį, kad patalpinus savo aplikaciją/programą į debesį irpaleidus ją į platųjį internetą galima ir nesusimąstyti, kad mes tuo pačiu metu galimai atversime skyles potencialiems piktavaliams, jeigu bus atlikti neteisingi nustatymai.

„Užtektų atverti netinkamą tinklo prievadą, vadinamąjį „port'ą“, po kuriuo slepiasi prisijungimas prie serverio ir mes iš karto pamatysime, kiek vadinamųjų „bot'ų“ pradeda laužti ir spėlioti slaptažodžius, norėdamiprisijungti. Potencialios skylės mūsų naudojamose debesijos sprendimuose yra prieinamos visiems pasaulyje, kadangi serveris, kuriame nugula mūsų duomenys, jau yra nebe spintoje už sienos, bet duomenų centre Amsterdame, Londone, Niujorke ar dar kitame pasaulio gale. Tad jeigu mes pasilengviname sau kelią atverdami vieną ar kitą prieigą prie esamų sistemų, reikia suprasti, jog ta prieiga pasinaudosime ne tik mes“, – sako ekspertas.

Anot M. Guobio, neužtenka vien tik laikytis griežtų taisyklių. Taip pat būtina atlikti kasmetinius (rekomenduojama ir dažniau) saugumo auditus, pageidautina, kad šie auditai būtų atliekami trečiųjų šalių, kurios nėra jūsų kompanijos dalis, tokiu būdu bus užtikrinamas nešališkumas.

„Išorinis saugumo auditas leis įsivertinti, ar jūsų IT procesai atitinka geriausias praktikas versle, ar jūsų turimos sistemos yra saugios ir atitinka visus reikalavimus. Audito išvadas būtina ne tik perskaityti, bet ir atlikti reikiamus pakeitimus, esant būtinybei. Tam tikrose industrijose ir dirbant su ypatingai jautriais vartotojų duomenimis, tokie auditai yra privalomi ir kontroliuojami industrijos. Jeigu auditai yra praleidžiami, nepraeinami, jums gali būti atimtos įmonių licencijos dirbti su vartotojų duomenimis“, – sako „Devbridge“ atstovas.

• Ruošiesi bikinio sezonui? Pasigamink sumuštinį! 3 gardūs receptai.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 1397.
• Ekspertas: Kodėl vadovams save googlinti yra privalu?
• VK teikia atnaujintą COVID-19 pasekmių valdymo informacijos suvestinę.
• Įmonė, kuri IT talentus užsiaugina pati.
• Muzikinis testas jūsų ausinėms: prireiks šių 7 dainų.
• Mėginimas namuose vienu metu atlikti kelis darbus – tiesus kelias į traumas.
• 3 būdai kaip užtikrinti patrauklias darbo sąlygas šiuolaikiniam darbuotojui.
• Trečios koronaviruso COVID-19 bangos naujas REKORDAS: 1597.
• 5 priežastys, kodėl jaučiame alkį ir kaip jį nugalėti.
• Atsiradus naujai erkių rūšiai Lietuvoje, pasikeitė ir jų aktyvumo pikai.
• 3D spausdintuvas – kada jį naudosime kasdienybėje?
• Duomenų apžvalga: imunitetą nuo koronaviruso turi jau per 30 proc. asmenų.
• Ar triukšmas gali įtakoti klausos sutrikimą?
• Išmanusis telefonas senjorams – kuo gali būti naudingas ir kokį rinktis?
• Prof. J. Skirius. Lietuvos valstybės skola dabar ir prieškaryje: trumpa apžvalga.
• Persikai ar nektarinai: kokia giminystė juos sieja ir kuris iš jų naudingesnis.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 1072.
• IT specialistų trūkumas: kiek absolventų parengia Baltijos šalių universitetai?
• Darome klaidą koncentruodamiesi ne į vaistų naudą, o į jų šalutinį poveikį.
• Arbūzai jau pasiekė parduotuves – kaip išsirinkti skaniausią vaisių.
• Ką daryti, jei kažkas įsilaužė ar bandė įsilaužti į jūsų interneto svetainę?
• Specialistai atskleidžia 2021 metų televizorių ir pramogų kategorijų tendencijas.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 529.
• 6 pavasario makiažo tendencijos: pasidažyti taip, kad atrodytų, jog nesidažei.
• Darbuotojų kritimas iš aukščio – dažniausia nelaimingų atsitikimų priežastis.
• „Lidl“ kviečia švęsti 5-ąjį gimtadienį: pirkėjams - du „Audi Q5“ automobiliai.
• Per pirmąjį šių metų ketvirtį „airBaltic“ skraidino 18500 Lietuvos keleivių.
• Tyrimai išryškino moterų meilės sau problemą: jos išgyvena emocinę pandemiją.
• Renkamės vejapjovę: į ką atkreipti dėmesį, kad pirkinys pateisintų lūkesčius.
• Negaliojantis draudimas, „žiedų valdovai“ ir psichologinis spaudimas.
• Susigyvenimas su alergija – misija įmanoma?
• Ketinate imti ar turite paskolą? Nedarykite šių 3-jų klaidų.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 763.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 1288.
• Žemės ūkio ekspertas: „Ūkininkauti sugeba tik patys stipriausi“.
• Geriausio žmogaus draugo diena: 5 išmanūs patarimai auginantiems šunis.
• Praėjusią parą Lietuvoje registruoti nauji koronaviruso atvejai: 1317.
• Vilniaus, Klaipėdos ir Biržų regionuose bus keičiami televizijos DVB-T dažniai.
• Instrukcija deklaruojantiems pajamas – kaip sumokėti įmokas „Sodrai“.

Šio sąrašo naujienos detaliau

Daugiau ankstesnių naujienų:  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31  32  33  34  35  36  37  38  39  40  41  42  43  44  45  46  47  48  49  50  51  52  53  54  55  56  57  58  59  60  61  62  63  64  65  66  67  68  69  70  71  72  73  74  75  76  77  78  79  80  81  82  83  84  85  86  87  88  89  90  91  92  93  94  95  96  97