Jak na IT bezpečnost v agentuře

Proč je bezpečnost důležitá? Mnohdy se může zdát, že nám jen komplikuje život. Nicméně je nezbytnou součástí našich pracovních a soukromých činností a aktivit. 

Představte si následující situaci: máte pod správou Google Ads a někdo vám ukradne přihlašovací údaje. V lepším případě vám odcizí firemní statistiky a data, v horším případě zapne reklamu na svůj produkt a nastaví vysoké spendy.
Nebo obráceně: v lepším případě zapne reklamu, v horším vám odcizí firemní data.
Už asi tušíte, že oba případy mohou znamenat pořádný průšvih.

Malá vs. velká firma

Říkáte si, že se podobná rizika netýkají malých a středních firem, ale pouze těch velkých? Jenže to není tak úplně pravda. Na menší firmy se útočí lépe, protože nemají prostředky ani lidi na řešení bezpečnosti. Bezpečnost někdy mají až na posledním místě. Naproti tomu velké firmy mají desítky, ne-li stovky lidí zaměřujících se na bezpečnost, kteří odpovídají za ochranu dat firmy i uživatelů.

Jak jsme otázku bezpečnosti řešili my

Jako online marketingová agentura musíme chránit data klientů stejně jako naše data. Stále rosteme, nabíráme nové lidi a někteří samozřejmě i odcházejí. Musíme řešit přístupy na platformy, které nám zefektivňují práci. Používáme Google Workspace ekosystém, proto jsme udělali audit a nastavili určitá pravidla na spamové e-maily. Zavedli jsme password manager Bitwarden a rozdělili zaměstnance do skupin, aby si každé oddělení mohlo spravovat hesla ke svým platformám. Bitwarden dokonce umí pracovat s dvoufázovým ověřením. To dokážeme zapnout u každé služby, která ho podporuje. Dvě mouchy jednou ranou: silná hesla a dvoufázové ověření.

Protože v kanceláři pracujeme na stejné internetové síti, máme postavený firewall, který kontroluje odchozí a příchozí požadavky uvnitř sítě. Pomáhá nám sledovat, jestli se v síti neděje něco podezřelého a pokud ano, tak víme přesně, kdo to byl, jak a kdy se to stalo. Problém tak můžeme řešit dřív, než napáchá škody.

Máme povinnost mít antivirový program, protože každý z nás na práci používá osobní počítač. Zároveň nemůžeme nikoho nutit instalovat korporátní sledovací programy.

V neposlední řadě je důležité proškolení. Pokud si lidé budou uvědomovat rizika a co všechno se může stát, naučí se rozpoznávat falešný e-mail či přílohu. Internet je skvělá technologie s neomezenými možnostmi, ale má i svoji temnou stránku. Je to úplně stejné, jako když zamykáte byt/dům. Věříte, že se u vás nekrade... ale co kdyby?

Základní pravidla

Jaká jsou podle mého názoru základní pravidla bezpečnosti?

1. Bezpečná hesla

Tento bod by měl být samozřejmostí. Na internetu se to hemží statistikami, jaká jsou nejčastější a nejslabší hesla – například Passw0rd apod. Nejlepší je silné a rozumné heslo, které si dokážete zapamatovat. Ideální je mít na každou službu heslo jiné, což však může být docela výzva, která může skončit v lepším případě psaním hesel do poznámkového bloku uloženém na ploše, nebo v horším případě hesly napsanými na papíře někde u počítače.

Jak takovým situacím předejít? Používejte password manager, u kterého si pamatujete jedno heslo, takzvané master password (hlavní heslo), které dešifruje hesla uložená v password manageru. Obrovská výhoda je, že password manager generuje velice silná hesla pro každou službu. A nejznámější správci hesel jako Bitwarden, LastPass, 1Password mají oficiální doplňky do prohlížeče a na dva kliky vám předvyplní heslo do formuláře. S password managerem máte o starost méně.

2. Dvoufázové přihlašování

Další level bezpečnosti, který vás chrání před tím, aby vám uniklo heslo. Jak funguje? Po přihlášení do dané služby vám přijde na e-mail, formou SMS nebo do aplikace kód, který musíte vyplnit a tím dokončit přihlašování. Nejčastěji se s dvoufázovým přihlašováním setkáte při loginu do vašeho internetového bankovnictví, kde už nestačí jen heslo, ale přijde vám SMS s kódem. Dvoufázové přihlašování doporučuji nastavit alespoň u hlavních služeb jako Google, bankovnictví a víceméně všude, kde máte citlivé údaje, včetně uložených platebních karet.

3. Zamykání počítače

Ať už jste v kanceláři, v kavárně nebo na konferenci, vždy si zamykejte počítač. Případnému útočníkovi stačí chvilka, aby vám do něj natáhl viry nebo odcizil vaše údaje. V kanceláři se může stát, že budete pod útokem nějaké pranku. Je alarmující, pokud se na zamykání počítače zapomíná. Pak je zřejmé, že chybí potřebná školení, proč je potřeba zamykat PC. I když znáte lidi v kanceláři, stále hrozí riziko, že k vám přijde klient či například správce budovy a nikdy nevíte, co se může stát.

4. Antivir

Existuje mnoho antivirů, některé jsou dostupné zdarma. Jestli pracujete s e-mailem a často dostáváte přílohy nebo stahujete poměrně hodně souborů z neznámých zdrojů, je Antivir vaší druhou obrannou linií, tou první bude další bod. 

5. Zdravý rozum

Opravdu potřebuje stáhnout ten úžasný program, co vám poslal kamarád? Je ta příloha e-mailu v pořádku? Proč se jmenuje příloha uzasnevysledky.pdf.exe? Pochází tento e-mail od věrohodného zdroje? Má web, na který chcete zadávat citlivé údaje, na začátku adresy URL adresy takzvaný https, tedy protokol umožňující zabezpečenou komunikaci v počítačové síti? Všechny tyto otázky by vám měly naskočit ve chvíli, kdy na něco takového dojde. Jak se říká: dvakrát měř, jednou řež a tady to není výjimka. A určitě jste i vy zaregistrovali zprávy v médiích, jak někdo poslal peníze neznámému člověku, nalítl na phishing e-mail a podobně.

6. Zálohování a šifrování

Pod pojmem zálohování není myšleno, že si zkopírujete práci na externí disk/flashku. Co když ji ztratíte a nebyla zašifrovaná? Ideální je na práci používat firemní cloud, ve kterém budete mít firemní data a na tento účet mít nastavené dvoufázové přihlášení. Také na šifrování nezapomínejte. Pokud ztratíte disk, flasku nebo dokonce notebook, víte, že se k datům nikdo nedostane bez vašeho hesla.

7. Mít aktuální systém

Tady pouze ve zkrátce – aktualizujte operační systém a programy. Nejenom že dostanete nové funkce, ale i záplaty na chyby.