IT žinių centras
užsisakykite naujienas!
Eksperto įžvalgos

Nemokamas įrankis „Office 365“ saugumo stiprinimui, galintis padėti atitikti ir BDAR

Debesijos paslaugų naudotojai susiduria su vis įvairesnių grėsmių spektru – nuo duomenų nutekėjimo iki paskyrų užgrobimo. Bandydamas pagelbėti savo klientams susikurti saugesnę debesijos aplinką, „Microsoft“ tapo pirmuoju gamintoju, pasiūliusiu visiems „Office 365“ paslaugų naudotojams nemokamą saugumo sprendimų vertinimo sistemą  „Secure Score“. Kokie svarbiausi šio dažnai pamirštamo įrankio privalumai ir kokia apimtimi jis gali padėti stiprinti saugumą įžvalgomis dalijasi sistemų inžinierius Vidmantas Šulskis.

Alternatyva mokamiems sprendimams

Neretai organizacijos, naudojančios „Office 365“ paslaugas, net nežino apie „Secure Score“ ir ieško kitų gamintojų sprendimų, kurie atliktų panašias funkcijas – t. y. leistų stebėti, kokias saugumo rizikas organizacija patiria tapatybės valdymo, duomenų apsaugos, įrenginių, programų ir IT infrastruktūros srityse.

„Galima drąsiai sakyti, kad didėjant „Microsoft“ produktų kompleksiškumui ir įvairovei, „Secure Score“ gali maloniai nustebinti. Šis įrankis nemokamas, paprastas naudoti ir pritaikytas būtent „Office 365“ paslaugoms. Trumpai tariant, ši sistema gali būti puiki įžanga į kibernetinio saugumo stiprinimą ir yra tikrai verta dėmesio, juolab, kad prieš ją naudojant reikia tik susipažinti su instrukcija, o jokių papildomų konfigūracijų, diegimo ar licencijų nereikia“, – pabrėžia V. Šulskis, pridurdamas, kad „Secure Score“ aktuali ne tik bazinio saugumo lygio siekiančioms organizacijoms.

„Ilgesnį laiką naudojant šį įrankį galima atlikti kokybišką saugumo pokyčių stebėseną, išskirti saugumo požiūriu stipriąsias ir silpnąsias sritis ir atlikti išsamesnę saugumo situacijos analizę – t. y. gauti duomenis, kurių reikia kuriant nuoseklią ir ilgalaikę „Office 365“ paslaugų saugumo politiką“, – sako pašnekovas.

Balų sistema – paprastas rodiklis sudėtingiems procesams

„Secure Score“ centre – saugumo taškų sistema, kurioje naudojamos saugumo priemonės įvertinamos balais pagal naudą ir svarbą. Tai leidžia greitai pamatyti, kiek saugumo balų organizacija šiuo metu turi, palyginti šiuos rezultatus su industrijos arba panašų darbo vietų skaičių turinčių organizacijų vidurkiu ir imtis veiksmų, mažinančių saugumo rizikas.

„Didžiausias galimas taškų skaičius gaunamas susumavus visų, pagal licencijas turimų saugumo priemonių, taškus ir gali būti naudojamas kaip atspirties taškas vertinant savo saugumo situaciją. Kiekviena organizacija gali pasirinkti jos galimybes ir poreikius geriausiai atitinkantį saugumo lygį – bazinį, balansuotą arba agresyvų. Siekiant surinkti didesnį taškų skaičių, nereikia jokių papildomų išlaidų – saugumas stiprinamas keičiant jau turimų licencijų konfigūracijas ir išnaudojant „Office 365“ suteikiamas galimybes“, – pasakoja „Blue Bridge“ sistemų inžinierius.

Gali pasiūlyti priemones, atitinkančias BDAR reikalavimus

Pasakodamas apie konkrečias saugumo problemas, kurias padeda spręsti „Secure Score“, V. Šulskis pateikia vieną šio įrankio rekomenduojamų veiksmų pavyzdį.

„Siekiant padidinti bazinio lygio taškų skaičių, dažniausiai susiduriama su silpna slaptažodžių apsaugos politika. Tokiu atveju „Secure Score“ parodo, kad slaptažodžiai nėra pakankamai gerai apsaugoti ir nurodo, kokių konkrečių priemonių reikia imtis, pavyzdžiui, naudoti dviejų faktorių autentifikavimą“, – dėsto pašnekovas.

Tokių ir panašių rekomendacijų įgyvendinimas leidžia padidinti organizacijos atsparumą socialinės inžinerijos metodams, tarp jų – fišingui. Taip pat leidžia įsitikinti, kad duomenys valdomi ir saugomi pagal Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.

„Pavyzdžiui, sąlyginės prieigos taikymas, kuris yra viena iš „Secure Score“ rekomendacijų, padeda siekti atitikimo BDAR reikalavimams. Apibendrinant šio įrankio konkrečią naudą, galima pasakyti, kad jis leidžia ne tik detaliai matyti skirtingų sričių saugumo sprendimų naudojimo situaciją, bet ir sužinoti, kokie veiksmai leistų ją pagerinti“, – sako V. Šulskis.

Ką daryti, jei rekomendacijos sudėtingėja?

Siekiant aukščiausio – dar vadinamo „agresyvaus“ – saugumo lygio su „Secure Score“ sistema, gali tekti įgyvendinti ir kompleksinius sprendimus, apimančius kelias sritis, pavyzdžiui, debesų paslaugų integraciją su turima IT infrastruktūra.

„Svarbu pažymėti, kad ne visi „Secure Score“ siūlomi sprendimai, ypač siekiant maksimalaus saugumo lygio, yra paprasti. Pavyzdžiui, saugumo politikos sukūrimas mobiliesiems įrenginiams arba sertifikatų dalijimas į įrenginius – tai užduotys, kurioms būtinas rimtesnis techninis pasirengimas ir tam tikrų procesų peržiūrėjimas. Tai reiškia, kad ambicingiausioms organizacijoms verta apsvarstyti išorinių IT konsultantų pagalbą, kuri leistų efektyviai įgyvendinti  sudėtingiausias rekomendacijas“, – sako V. Šulskis.

Nepaisant gana įspūdingų „Secure Score“ galimybių, ši sistema nefiksuoja saugumo incidentų ir seka tik saugumo sprendimų naudojimą, taip pat akcentuoja V. Šulskis: „Reikėtų nepamiršti, kad šis įrankis pateikia tik rekomendacijas, kokius saugumo sprendimus būtų logiška diegti pagal dabartinę saugumo sprendimų konfigūraciją.“

Didesnė pridėtinė vertė – bėgant laikui

Nors pažintis su „Secure Score“ prasideda nuo patrauklios bei aiškios balų sistemos ir tikslinių rekomendacijų įgyvendinimo, svarbiausias šio įrankio privalumas – pokyčių stebėjimas – turi po truputį virsti konkrečia saugumo politika, kure apima daugiau nei saugumo sprendimų naudojimą, pažymi „Blue Bridge“ sistemų inžinierius.

„Pradedantiesiems „Secure Score“ iškart tampa paspirtimi stebint, kaip ir kokie „Microsoft“ produktai naudojami, ir įvertinant, kokie saugumo pažeidžiamumai didžiausi. Tačiau vien tokia „momentine nuotrauka“ apsiriboti negalima. Šis įrankis taip pat leidžia stebėti saugumo situacijos pokyčius, atvaizduoja juos grafiškai ir būtent ši „Secure Score“ funkcija turėtų sulaukti daugiausiai dėmesio, kadangi kibernetinio saugumo užtikrinimas yra nuolatinis procesas“, – pabrėžia „Blue Bridge“ atstovas.


Jau išbandėte „Secure Score“ įrankį, tačiau reikia pagalbos įgyvendinant saugumo rekomendacijas? 

Susisiekime:  Kipras.Kretavicius@bluebridge.lt

Kipras Kretavičius – „Blue Bridge“  infrastruktūros sprendimų vadybininkas