Информационные системы в компании и их безопасность

Информационные системы (ИС) играют важную роль в современном бизнесе․ Они обеспечивают сбор‚ обработку‚ хранение и передачу информации‚ необходимой для эффективного управления компанией․ Однако‚ с увеличением зависимости бизнес-процессов от информационных систем‚ растет их уязвимость к различным видам угроз и атак․

Виды информационных систем в компании

В компании может быть ряд информационных систем‚ каждая из которых выполняет определенные функции․ Примерами таких систем могут быть⁚

• Система управления ресурсами предприятия (ERP) – связывает все функциональные области компании и предоставляет централизованное управление процессами‚ ресурсами и данными;
• Система управления отношениями с клиентами (CRM) – предназначена для управления клиентской базой‚ взаимодействия с клиентами и анализа данных о клиентах;
• Система управления базами данных (СУБД) – обеспечивает хранение и управление структурированной информацией;
• Система управления контентом (CMS) – позволяет создавать‚ редактировать и публиковать контент на веб-сайте компании;
• Система управления проектами (PMS) – используется для планирования‚ организации и контроля выполнения проектов;
• Система управления предприятием (EIS) – обеспечивает руководству компании информацией для принятия стратегических решений․

Уязвимости и угрозы информационных систем

Информационные системы подвержены различным угрозам и уязвимостям‚ которые могут привести к утере‚ недоступности или неправильной обработке данных․ Некоторые из наиболее распространенных угроз включают⁚

• Внешние атаки – злоумышленники могут попытаться проникнуть в информационную систему с целью получения несанкционированного доступа к данным;
• Вредоносное программное обеспечение – включает в себя вирусы‚ трояны‚ шпионское программное обеспечение‚ которое может нанести ущерб информационной системе;
• Физические повреждения – пожары‚ наводнения‚ стихийные бедствия могут повредить компьютерное оборудование и привести к потере данных;
• Ошибки в конфигурации и управлении системой – неправильные настройки или отсутствие обновлений могут привести к уязвимостям системы;
• Социальная инженерия – атаки‚ основанные на манипуляции и обмане сотрудников компании с целью получения доступа к информации․

Меры по обеспечению безопасности информационных систем

Для обеспечения безопасности информационных систем в компании можно применить следующие меры⁚

• Установка и регулярное обновление антивирусного программного обеспечения;
• Использование паролей сложных и длинных паролей‚ а также внедрение механизмов двухфакторной аутентификации;
• Резервное копирование данных для предотвращения и восстановления от случайного повреждения или потери данных;
• Регулярное обновление операционных систем и приложений для исправления уязвимостей;
• Обучение сотрудников компании правилам безопасности и осведомленность о возможных угрозах;
• Внедрение системы мониторинга и обнаружения вторжений для обнаружения несанкционированной активности;
• Установка эффективных механизмов резервирования данных для обеспечения непрерывности бизнес-процессов в случае отказа системы․

В целом‚ безопасность информационных систем является важной составляющей эффективного функционирования компании․ Использование данных мер по обеспечению безопасности и постоянное обновление с ними поможет минимизировать риски и обеспечить надежность и защищенность информационных систем компании․

Определение информационных систем в компании

Информационные системы представляют собой набор программных и аппаратных компонентов, которые взаимодействуют с другими аппаратными, программными и/или сетевыми элементами. Они выполняют одно или несколько из следующих действий:

Причина, по которой эти системы важны, заключается в том, что они должны работать безопасным образом. Мало того, они должны иметь возможность работать с различными типами оборудования, программного обеспечения и сетей. Например, вам нужно иметь возможность общаться со своим компьютером в информационной системе, даже если он используется кем-то другим или вы находитесь на своем собственном компьютере (что не означает, что вы не можете использовать информационную систему, если хотите). 

Чтобы сделать это правильно, нужно говорить о трех основных компонентах информационной системы:

• Информация

• Хранение (данные)

• Обработка (например, обработка данных)

Первые два компонента можно легко разделить; третий не так очевиден. Чтобы решить эту проблему, нам нужен целостный подход, охватывающий все три части информационных систем:

• Информационные системы • Системы хранения • Системы обработки и т. д. Поскольку эти части обычно взаимозависимы, каждая из них должна выполнять свою роль надлежащим образом; например, для обработки данных обычно требуется система хранения для хранения и так далее. Позволить одной части заменить другую, не понимая общей картины, — плохая идея — это вредит безопасности и затрудняет поддержку всей функциональности системы в будущем. Попытка найти способ заставить все три части сосуществовать одновременно — это, вероятно, не то, что люди имеют в виду под «информацией». Если это то, что они подразумевают под «информацией», то почему бы просто не сказать об этом? Или есть что-то особенное в информации? Что может сделать его особенным? Или это может быть просто другое имя для любого вида данных? Мы вернемся к этому позже, когда будем обсуждать такие понятия, как управление контекстом и контроль информации, которые все взаимосвязаны, но не обязательно имеют много общего друг с другом. Кто-нибудь видел какие-либо заметки или статьи, пропагандирующие информационную безопасность как основную деятельность разработчиков автоматизации бизнеса? Я ничего подобного не слышал от своих коллег, занимающихся проектами автоматизации, в которых мало что известно о проблемах безопасности до момента запуска (хотя я уверен, что некоторые пытались). То же самое можно сказать и о многих других областях, включая продукты для тестирования безопасности, дизайн сети и т. д., хотя они вполне могут считаться второстепенными проблемами по отношению к основным направлениям, таким как обучение пользователей тому, как должны вести себя их машины или как лучше всего обмениваться данными между ними.

Типы систем передачи данных

Системы передачи данных состоят из аппаратного обеспечения, программного обеспечения и людей.

Чтобы контролировать доступ к информации, важно знать, как определить правильную политику безопасности для системы. Самый очевидный вопрос, на который необходимо ответить: «Какой тип системы передачи данных мне следует использовать?» или «Какие системы я должен защищать?» Существует множество способов передачи данных.

Есть две основные категории:

• Данные, отправляемые по сети, включают любую сетевую связь между двумя или более компьютерами или электронными устройствами.

• Данные, отправленные по кабелю, включают все данные, которые могут быть переданы по кабелю (например, голос, видео, аудио и изображения).

Выбор системы передачи данных зависит от характера связи между вашим сервером и клиентами. Характер связи зависит от того, какие приложения вы хотите, чтобы ваши клиенты использовали, а также от того, как вы хотите, чтобы они обращались к вашему серверу. Например:

• Для веб-серфинга веб-страницы в формате HTML отправляются по протоколу HTTP/HTTPS, чтобы их можно было просматривать через браузер, но не изменять их пользователями (это называется обычным режимом пользователя). В таких браузерах ставится дополнительная ступенька, чтобы они не отображали какой-либо нестандартный контент (это называется безопасный режим). Этот тип связи обеспечивает повышенную безопасность, поскольку ограничивает объем данных, которые пользователи могут получить с вашего сервера одновременно.

• При передаче электронной почты с одного компьютера на другой также существуют различные типы связи: 1) протокол SMTP для отправки электронной почты; 2) протокол POP3 для получения электронной почты; 3) протокол UPnP/DLNA для воспроизведения музыки с вашего компьютера или других устройств через ресивер; 4) протокол UDP для пересылки файлов с одного компьютера на другой в режиме реального времени; 5) Уровень защищенных сокетов (SSL) для служб шифрования и дешифрования; 6) IPsec для шифрования трафика между компьютерами внутри IP-сети.

Какие информационные системы наиболее важны для компании?

На эту тему было много отличных сообщений в блогах, но я думаю, что это одно из самых важных за последние несколько лет. В некотором смысле, все они об одном и том же: убедитесь, что никто не может понять, что вы делаете (кроме того, что позволяют ваши средства безопасности).

Безопасность — важный вопрос для любого стартапа или любой компании, где хранятся данные — будь то в базе данных или в неизвестном месте на жестком диске. Для тех, кто эксплуатирует автоматизированные системы, это еще важнее: если кто-то получает доступ к вашей системе, если он получает беспрепятственный доступ, значит, он может извлечь из нее информацию по своему желанию и использовать ее против вас.

Защититься от такого нападения очень сложно. Будь то вредоносное ПО или недовольный сотрудник, есть много способов сделать это:

• Доступ к системе без авторизации

• Доступ к сетевым ресурсам без авторизации

• Доступ к данным без авторизации (например, просмотр электронной почты)

• Доступ к файлам без авторизации (например, открытие файлов в браузере)

Если вы не будете осторожны и не предпримете надлежащих шагов для защиты своей системы, то со временем эти атаки будут происходить. В худшем случае злоумышленник получает доступ и делает плохие вещи; в лучшем случае злоумышленник «натыкается» на небезопасную среду и совершает плохие поступки. Что бы ни случилось, зависит от атакующего; в худшем случае он просто крадет ваши данные; в лучшем случае он/она вообще ничего не делает, а вместо этого оставляет вас карабкаться за ним/ней, понятия не имея, что произошло и почему! Итак, вот некоторые вещи, которые вы должны сделать:  (1) убедитесь, что только люди, которые должны иметь доступ к определенной информации, могут получить к ней доступ, например разработчики, которым требуется разрешение генерального директора); (2) Не позволяйте пользователям за пределами вашей компании открывать почтовые ящики, в которых находятся конфиденциальные документы; (3) Не допускайте неавторизованных пользователей во внутренние сети, где хранятся конфиденциальные данные; (4) Не позволяйте пользователям открывать личные папки на своих компьютерах под своими учетными записями (никогда не создавайте папки, защищенные паролем) и т.д.)

Компоненты информационных систем

В прошлом информационная безопасность определялась как защита от вредоносных атак на цифровую инфраструктуру компании. Наиболее распространенными решениями, которые мы использовали до сих пор, были физическая безопасность, включающая физическую защиту зданий, и программная безопасность, включающая физическую защиту серверов и предотвращение несанкционированного доступа к ним.

Гораздо более интересный вопрос: каковы лучшие практики в отношении информационной безопасности? Как вы гарантируете, что ваши системы всегда обеспечивают высочайший уровень информационной безопасности, включающий все основные проблемы (например: а) киберпреступность и ее последствия; б) юридические вопросы; c) сетевые эксплуатационные проблемы; г) оперативные вопросы, такие как автоматизация, защита данных, резервное копирование и восстановление.

Если вы хотите начать с чего-то другого, кроме физической безопасности, вам нужно посмотреть на политики, касающиеся того, кто имеет доступ к чему и как эти системы настроены. Это область, в которой элементы управления политикой варьируются от одной организации к другой. Незнание этих соглашений заранее может привести к дорогостоящим ошибкам: например, если бы не было политики в отношении того, как люди получают авторизованный доступ к информационным системам компании, пользователям было бы трудно или невозможно узнать, кому и когда они должны предоставлять доступ. .

Вот отрывок из моего поста «Безопасность данных» (который я написал после того, как понял, что на самом деле никогда не читал дорожную карту безопасности данных Uber):

Правила, касающиеся обмена данными, можно разделить на три широкие категории: обмен данными в рабочее время, обмен данными в нерабочее время.

Обмен данными в рабочее время означает, что ваши сотрудники или подрядчики (например, водители Uber) предоставляют свою личную информацию, такую как адреса, номера телефонов, учетные записи в социальных сетях, вам или кому-то еще, например, разработчикам партнерских приложений. Это верно независимо от того, идет ли речь о создании лучшего продукта или о встрече с друзьями в «счастливые часы». Обмен данными в нерабочее время означает, что ваши сотрудники передают свою личную информацию в нерабочее время, например личные документы, такие как налоговые декларации, вам или кому-либо еще, например, разработчикам партнерских приложений. Это верно независимо от того, не работает ли это время, потому что они могут путешествовать с друзьями, чтобы встретиться позже вечером в счастливый час (что происходит каждую неделю).

Первая категория охватывает все вероятные сценарии, в которых ваша компания может передавать личную информацию третьим лицам в рабочее время, например, разработчикам партнерских приложений, которые встраивают функции в ваши приложения. Вторая категория охватывает все вероятные сценарии, в которых вы делитесь личной информацией в нерабочее время, например, партнеры, которые встраивают функции в ваши приложения и в конечном итоге становятся их неотъемлемой частью.

Информационные системы и безопасность передачи данных

Возможно, в последнее время вы часто встречали термин «информационная безопасность». Он используется для описания ряда разных вещей, но общая черта заключается в том, что вам нужно убедиться, что информация, которую вы отправляете, защищена, чтобы она была полезной.

Информационная безопасность касается не только электронной почты — она распространяется на все виды связи между людьми и компьютерами, в том числе:

• Сети

• Компьютерные системы

• Системы баз данных

• Почтовые серверы

• Веб-серверы

• Сайты (включая блоги)

В этих случаях участвуют несколько сторон, поэтому важно, чтобы вы позаботились о каждой из них. Например, если у вас есть брандмауэр в вашей компьютерной системе, но нет в вашей сети или на сервере базы данных, или наоборот, информация, поступающая в вашу сеть, также нуждается в защите. Заблаговременное уведомление людей о возникновении инцидентов безопасности (например, простоев) может помочь им правильно справиться с ними и снизить уровень стресса; в идеале они все равно не заметят или не узнают об этом. Однако в целом мы советуем избегать неожиданностей в любое время: заранее уведомлять людей о новых выпусках и изменениях, чтобы они могли подготовиться к ним, делая резервные копии и планируя заранее; сообщить людям по электронной почте, если будут большие изменения; разослать объявление через ИТ-сайт компании, когда такое изменение произойдет. Мы также не рекомендуем делать что-либо, что может привести к неожиданному простою для клиентов в целом (например, отключение серверов). Это стоит денег, и в конечном итоге пользователи могут испытывать неудобства, если это происходит достаточно часто (помните: время простоя раздражает только в том случае, если вы его не предвидели), поэтому наш совет здесь — не делать ничего, что может привести к значительному риску для пользователей. Вы можете проверить, сколько пользователей затронуто каким-либо сбоем, на веб-сайте ИТ компании. Наконец, важно помнить, что информационная безопасность — это не только защита отдельных записей: базы данных могут представлять различные угрозы в зависимости от того, какие данные они содержат и насколько они конфиденциальны (например, конфиденциальные медицинские записи не так уязвимы, как личные финансовые данные). данные). Наиболее распространенная угроза исходит от хакеров, которые либо крадут ваши пароли, либо получают доступ с помощью векторных атак (таких как социальная инженерия), которые в последние годы неуклонно растут в таких крупных компаниях, как наша, потому что сейчас их гораздо проще выполнить, чем раньше. . Но вместо того, чтобы забирать пароли пользователей или подвергать риску их учетные записи напрямую, взламывая инфраструктуру какого-либо поставщика услуг

Способы защиты информационных систем компании

Есть несколько распространенных мест, где автоматизированные системы должны пройти проверку безопасности:

— ОС: это должен делать кто-то с нужными полномочиями и опытом.

— База данных: если вы не можете доверять своим пользователям (общий принцип), то вы также не должны доверять своей базе данных.

— Сеть: вы можете установить на компьютер ненадежный сетевой адаптер или убедиться, что он не взаимодействует с сетью, которой компания не доверяет.

Вы хотите защитить свои данные. Для этого вам нужно сначала понять, что такое данные, а что нет, и как определить угрозы, которые могут повлиять на ваши информационные системы. Существуют разные виды угроз: физические, технические, человеческие факторы и социальные. Какие из них наиболее важны? В этой статье подробно объясняется, какие угрозы к какому типу относятся.

Заключение

«Информационная безопасность» в основном означает наличие безопасной конструкции вашей системы (и, возможно, ее подсистем), которая может быть защищена от несанкционированного доступа и использования. «Безопасность» системы заключается в том, что она делает, а не в том, как она выглядит или как она работает. Это также означает, что даже если у вас есть наилучшая защита в определенной части вашей системы, если кто-то сможет понять, как проникнуть в другие части, он все равно сможет получить доступ к вашей. Цель состоит в том, чтобы убедиться, что части вашей системы работают должным образом и имеют мало слабых мест, которые можно использовать.

Если вы разрабатываете автоматизированные системы, такие как операционная система или система управления базами данных (СУБД), например, вам необходимо убедиться, что эти части работают правильно и не допускают несанкционированного доступа к ним. Вам также необходимо убедиться, что вы непреднамеренно не вводите уязвимости в те системы, которые допускают несанкционированный доступ и использование третьими лицами (или хуже).

Специалист по информационной безопасности — кто это и как им стать | GeekBrains