Ochrona informacji - uczyć czy nie?

[Gaga]

Witajcie,
jesteśmy grupą studentek Politechniki Poznańskiej i w ramach przedmiotu Bezpieczeństwo Informacji tworzymy projekt odnośnie zabezpieczania informacji.

Chciałybyśmy się dowiedzieć jak do takiego problemu podchodzą forumowicze.
a dokładniej chodzi nam o to jakie macie zdanie na temat nauczania o bezpieczeństwie informacji : czy uważacie, że w szkołach powinny być prowadzone zajęcia na temat bezpieczeństwa w sieci, jak chronić się przed włamaniami na prywatne dyski, jak zabezpieczać własne dane?

Chciałybyśmy się także dowiedzieć jakie są najpopularniejsze wśród Was zabezpieczenia, jakie sami stosujecie?

Z góry dziękujemy za pomoc

[TQM]

Witam serdecznie na forum!

Tym razem postaram sie odpowiedziec na temat (bez zbednych dygresji, choc kiepsko mi to wychodzi) - edukacja uzytkownikow to podstawa bezpieczenstwa informacji i im wczesniej sie zacznie tym lepiej. Firmy wydaja ogromne pieniadze na programy szkoleniowe dla pracownikow aby wyjasnic im co to jest phishing, czego nie umieszczac na forach internetowych, mowia o przenoszeniu i o niszczeniu danych. Skutecznosc szkolen jest rozna i powinna byc regularnie weryfikowana (phishing assessment, ataki social engineering, itp).

Starego psa ciezko nauczyc nowych sztuczek, wiec zaczynajmy edukacje w wieku dzieciecym jesli to mozliwe.

BTW. Wiecie ile maili z exploitem w pliku XLS zostalo wyslanych do RSA Security w ubieglym roku (przynajmniej wg tego co mowia media)? To powinno byc wystarczajacym argumentem aby ludzi uswiadamiac i uczyc o bezpieczenstwie.

[Crowman]

Jako pracownik departamentu bezpieczeństwa w dużej korporacji powiem jedno: wbijać młotkiem do głowy. Wszystko! Od blokowania stacji przy odejściu nawet do czajnika, przez zakaz dzielenia się hasłami po zakaz rozmawiania o sprawach służbowych poza firmą.

[TQM]

Crowman - rece mozemy sobie podac
Ile razy ktos cos palnal po paru glebszych o pol tonu za glosno i sprawa sie rypnela, firma stracila kase itp itd... to nie sa opowiesci z palca wyssane - tak dziala biznes

Nie bez powodu w czasie II w.sw. Anglicy mieli taki plakat:

[Crowman]

Mało tego. Każda aktywność użytkownika powinna być logowana. Zwłaszcza wszystkie zapisy i odczyty plików na mediach przenośnych typu pendrive czy dysk zewnętrzny.

[Gaga]

A co ze zmianami haseł dostępu do dokumentacji?
Jak często Waszym zdaniem powinny być zmieniane? Czy w ogóle powinny być? Głównie chodzi mi to o przedsiębiorstwa i firmy

[Crowman]

W dużej ilości przedsiębiorstw (w tym także w moim) używa się Active Directory. Jest tam możliwość wymuszenia zmiany hasła, ustalenia poziomu bezpieczeństwa, czy interwału (w dniach) w jakim ma nastąpić zmiana hasła. Statyczne hasło to już przeszłość. Należy także uczulić użytkowników na takie rzeczy jak zapisywanie nazwy użytkownika i hasła na kartce przyklejanej do monitora, pod klawiaturę czy chowanej do szafki. Każdy pierwszy-lepszy złodziej danych przeszuka te miejsca (sam bym tak zrobił).

[TQM]

AD to bardzo rozbudowany system... w mojej ostatniej pracy haslo musialo byc zmienione minimum co 42 dni, mialo miec minimum 8 znakow (duze + male litery, cyfra i znak specjalny), system pamietal ostatnie 10 hasel i nie pozwolil ustawic ich ponownie a do tego po 3-krotnym podaniu zle hasla konto bylo blokowane.
Zapisywanie hasel na kartkach to zmora... poza tym po co to robic, skoro sa swietne darmowe aplikacje do zarzadzania haslami?! KeePass to jeden przyklad tylko.

Napedy CD/DVD/USB byly oczywiscie zablokowane - w firmie majacej ponad 3000 pracownikow bylo tylko 15-20 wyjatkow zatwierdzone, gdzie ludzie mieli dostep czasowy - 30 dni do 6 miesiecy, po czym musieli na nowo uzasadniac ze dostep jest im niezbedny.

[Crowman]

AD to bardzo rozbudowany system... w mojej ostatniej pracy haslo musialo byc zmienione minimum co 42 dni, mialo miec minimum 8 znakow (duze + male litery, cyfra i znak specjalny), system pamietal ostatnie 10 hasel i nie pozwolil ustawic ich ponownie a do tego po 3-krotnym podaniu zle hasla konto bylo blokowane.
Zapisywanie hasel na kartkach to zmora... poza tym po co to robic, skoro sa swietne darmowe aplikacje do zarzadzania haslami?! KeePass to jeden przyklad tylko.

Napedy CD/DVD/USB byly oczywiscie zablokowane - w firmie majacej ponad 3000 pracownikow bylo tylko 15-20 wyjatkow zatwierdzone, gdzie ludzie mieli dostep czasowy - 30 dni do 6 miesiecy, po czym musieli na nowo uzasadniac ze dostep jest im niezbedny.

U mnie (ponad 20tys pracowników w Grupie Kapitałowej) jest tak, że przełożony wnioskuje o dostęp do napędów i/lub USB. Dostęp do USB może też być ograniczony jedynie do kluczy podpisu cyfrowego. Ja mam pełny dostęp do USB na przykład.

Hasła na kartkach to jedna sprawa. U nas przeniesiono całą korespondencję do formy elektronicznej. Każdy ma podpis cyfrowy, więc papier nie jest potrzebny (a jakie oszczędności...) - nie zagubi się, nie wyląduje przypadkowo na śmietniku... To także jest krok w stronę bezpieczeństwa informacji.