Az otthoni munkavégzés feltételei a legtöbb nagyvállalatnál már eddigi is adottak voltak, viszont azok ilyen hirtelen és ilyen szinten tömegessé válásával kevesen számoltak.
Jelen helyzetben mindenki a lehetőségeihez mérten törekszik az üzletmenet-folytonosságának fenntartására, igyekszik minél több kolléga számára biztosítani a távoli és hatékony munkavégzés feltételeit. A rohanásban a biztonsági kontrollok érvényesítésére, számos esetben érthető módon, de nem marad idő.
A helyzet normalizálódása után a legfontosabb, hogy a vállalatok mielőbb felmérjék és kezeljék a távoli munkavégzés tömegessé válásából fakadó, jelentősen megnövekedett „cybersecurity” kockázatokat.
A most nagy sietséggel bevezetett folyamatok és technológiák hosszabb távon velünk fognak maradni, azok kockázatainak kezelése nélkülözhetetlen lesz mindenki számára, ezért fontos a most bevezetett vagy átalakított technológiákban rejlő sebezhetőségek azonosítása.
Az immár évtizedes IT biztonsági tapasztalataink és a piacon általánosságban meglévő jogszabályi követelmények alapján összegyűjtöttük, hogy milyen vizsgálatok végrehajtását javasoljuk, amennyiben az alkalmazott technológia nem volt egy éven belül tesztelve, vagy új technológia került bevezetésre, vagy történt lényeges változtatás az eddig használt környezetben.
- Internetről elérhető vállalati erőforrások – új webalkalmazások, webszerverek, vállalati kollaborációt segítő alkalmazások, fájlmegosztó megoldások, stb. – black-box és gray-box (jogosultságok birtokában végrehajtott) sérülékenység vizsgálatának lefolytatása.
- Szervezet belső hálózatához történő hozzáférést biztosító technológiai környezet gray-box sérülékenység vizsgálata. A vizsgálat választ ad arra a kérdésre, hogy az alkalmazott technológia biztonságos-e, alkalmas a jogosulatlan hozzáférés megakadályozására, a belső hálózat szeparációja biztosítja-e a megváltozott környezetben is a need-to-know elv érvényesülését.
- Belső sérülékenység vizsgálat lefolytatása, mely a fenti vizsgálatot kiegészítve már választ ad arra a kérdésre is, hogy a home-office-ból elérhető hálózati zónában található erőforrások védelme megfelelő szintű és zárt-e.
- Felhasználói munkaállomások, legyen az Windows desktop, Mac, vagy virtual desktop környezet, hardening vizsgálatának lefolytatása. A vizsgálat kiterjed annak ellenőrzésére, hogy a szervezet belső hálózatához csatlakozó eszközök tekintetében a vállalati “endpoint security policy”-k érvényesülnek-e.
- Bevezetett új kollaborációt segítő szoftveres megoldások gray-box sérülékenység és hardening vizsgálata (pl. on-premise chat and conference applications, vagy felhő megoldások esetén a kliens oldali támadások vizsgálata (pl. chat-en XSS-t küldeni)
Csapatunk a következő hetekben azon is dolgozik, hogy a biztonsági kontrollok telepítéséhez milyen támogatást tudunk általánosságban adni, leírások, postok keretében.
Keressék a pár naponta frissülő anyagokat honlapunkon
Kérdés esetén pedig keressék cégünket a praudit@praudit.hu címen.
Üdvözlettel,
A PR-AUDIT Csapata