Tea, millist riist- ja tarkvara kasutad
Kõigepealt tuleb saada ülevaade, mis seadmed ja tarkvara on organisatsioonis üldse kasutuses.
Selleks, et ettevõtte võrku edukalt kaitsta, peab kõigepealt olema ülevaade, mis seadmed ja tarkvara selles võrgus on. Seetõttu on inventuur turvalise süsteemi loomise esimene ja väga oluline samm. Kui ei ole teada, mis seadmed või tarkvara võrgus olema peaksid, ei saa ka tuvastada, kui sinna on tekkinud tundmata ja lubamata seadmeid või tarkvara. Just selliseid seadmeid või tarkvara võivad ründajad ära kasutada, et saada ligi kontori võrgule. Kui ei teata, et tarkvara on kasutusel, siis ei saa korraldada ka selle uuendamist. Samuti on oht, et installitud on tarkvara, mille kaudu võib sattuda süsteemi pahavara (näiteks ebaseaduslik muusika/filmide allalaadimise tarkvara). Iga seadme kohta, mis on kontori võrgus, peaks teadma järgnevat infot:
- seadme nimi;
- IP-aadress;
- seadme eesmärk või põhjus, miks see võrgus on (kellegi arvuti, server, võrguseade jne);
- seadmesse installitud tarkvara nimekiri.
Soovitatud tegevused
Kõigepealt peab kindlaks tegema, mis seadmed võrgus asuvad. Isegi kui tegemist on väikese võrguga, kus on ainult paar seadet, tuleb nende info dokumenteerida. Kui seda ei tehta, võivad need seadmed jääda kaitseta. Ründajad otsivadki just kaitsmata seadmeid, et sealtkaudu ettevõtte võrku rünnata. Ülevaade võrgus olevatest seadmetest on vajalik ka siis, kui IT-personal vahetub, sest neil peab olema teave võrgu ja selles olevate seadmete kohta.
Kui ettevõtte võrk on suurem kui paar arvutit, siis on soovitatav kasutada inventeerimiseks tarkvara, mis teeb seda automaatselt. Käsitsi inventeerimisel võivad sisse sattuda vead ja kui on rohkem seadmeid, võtab see töö väga palju aega. Riistvara registrisse tuleks lisada ka kõik seadmed, mis parajasti pole küll võrgus, kuid mis võivad sellesse ühenduda või mille varguse korral võivad andmed kaduma minna.
Kui on olemas ülevaade võrgus olevatest seadmetest, tuleb kindlaks teha, milline tarkvara on nendes kasutusel. See on vajalik selleks, et kontrollida, kas tarkvara on uuendatud ja ega seadmetesse pole installitud tööks tarbetut tarkvara. Ka tarkvara inventeerimisel on mõistlik kasutada mõnda tööriista, mis suudab andmeid automaatselt koguda. Automaatne tarkvara inventuur aitab muu hulgas tuvastada selle, kui seadmesse on tekkinud uut tarkvara. Kogutud tarkvara andmed peaksid olema seotud seadmete registriga nii, et kõiki seadmeid ja nendega seotud tarkvara saaks jälgida ühest kohast.
Küsi IT-spetsialistilt
Riist- ja tarkvara inventeerimiseks on saadaval nii tasuta kui ka tasulist tarkvara. Tasuline tarkvara pakub tavaliselt rohkem funktsionaalsust. Küsi oma IT-personali või -teenusepakkuja käest sobivat tarkvara.
Et oma seadmeid ja tarkvara paremini hallata, tasub kaaluda keskhalduslahenduse kasutusele võtmist. Keskhaldus võimaldab seadmeid keskselt hallata ja määrata, missugune tarkvara peaks olema neisse installitud, ning ühtlasi kaotab vajaduse mitme erineva inventeerimistarkvara ja haldussüsteemi järele. Keskhaldus võimaldab teha nii inventuuri kui ka rakendada seadmetele turvanõudeid. Mõne keskhaldustarkvara abil saab interneti teel eemaldada seadmetes olevad andmed, mis on kasulik juhul, kui töötaja peaks seadme kaotama või see varastatakse.
Küsi IT-spetsialistilt
Keskhalduseks on saadaval mitmeid lahendusi vastavalt sellele, millised seadmed (arvutid, nutiseadmed) on kasutuses. Tavaliselt on need tasulised. Küsi oma IT personali või -teenusepakkuja käest ettevõttele sobivaid lahendusi
Tänapäeval on järjest tavalisem, et töötajad soovivad tööks kasutada isiklikke seadmeid. Väga levinud on
nutiseadmed (telefonid ja tahvelarvutid), aga üha enam kasutatakse ka isiklikke arvuteid. Lisaks tuuakse tööle enda USB-mälupulki ja väliseid kõvakettaid, mis võimaldavad kiiresti ja lihtsalt andmeid sisevõrgust välisele andmekandjale liigutada. Kui töötajatel on lubatud isiklikke seadmeid kasutada, peaks sätestama selle kohta reeglid, sest nad töötavad isiklikel seadmetel ettevõtte andmetega. Kui võimalik, tuleks reeglid koostada koostöös kasutajate ja IT-personaliga.
Isiklike seadmete kasutamise reeglite koostamisel tuleb:
- määrata, millised turvanõuded on kehtestatud isiklike seadmete kohta. Näiteks peab kindlasti nõudma, et seadmed oleks kaitstud parooliga ja neisse oleks installitud viirustõrje tarkvara. Kui seadmes hoitakse konfidentsiaalseid andmeid, peaks see seade olema krüpteeritud;
- koostada nimekiri seadmetest ja operatsioonisüsteemidest, mida pole lubatud ettevõttes kasutada, näiteks turvaaukudega seadmed või seadmed, mille tarkvara tootja enam ei toeta (näiteks Windows XP arvutid peaks olema keelatud). Lisaks peaksid olema keelatud ka isiklikud võrguseadmed (kasutaja isiklikud switchid, ruuterid, WiFi-seadmed jne), mis võivad tekitada ettevõtte võrgu töös tõrkeid;
- võimalusel pidada nimekirja seadmete kohta, mida töötajad soovivad kasutada. Selles peaks olema töötaja nimi, seadme nimi, tarkvara loetelu jne;
- vajaduse korral luua reegel, mis keelab talletada isiklikes seadmetes tööalast teavet.
Kasutajad peavad loodud reeglite ja nõuetega tutvuma ja nõustuma ning kinnitama seda oma allkirjaga (muidu ei lubata nende isiklikku seadet tööks kasutada).