Ar trebui să ai încredere în departamentul IT?

Este de la sine înțeles că nu oricine cunoaște planurile de dezvoltare ale companiei. Nu au acces la bazele de date cu clienți și contracte decât persoanele care au nevoie. Ba chiar ai precizat în regulamentul de ordine interioară că salariile sunt confidențiale. Și dormi liniștit pentru că informațiile tale sensibile sunt “protejate”. Oare chiar așa este?

Răspunsul în varianta scurtă: Nu. Există câteva persoane care au mijloacele și cunoștințele necesare să acceseze orice informație stocată electronic – este vorba despre angajații departamentului IT sau ai companiei către care ai externalizat serviciile IT.

Este ușor să uiți sau ignori faptul că informațiile tale circulă pe rețea, în cea mai mare parte necriptate. Sau că mailurile tale sunt stocate pe server. Iar atunci când administratorul “intră pe calculator” pentru a-ți instala un software sau a-ți configura rețeaua, are acces la absolut toate datele stocate pe el.

Un om tehnic competent poate să extragă datele direct de pe serverele companiei, poate captura traficul pe care îl faci pe Internet și în rețeaua internă, poate să se conecteze cu un cont de administrator/root pe calculatorul tău, poate să-ți instaleze un program de monitorizare a parolelor/fișierelor sau să-ți copieze pur și simplu fișierele când face o operațiune de rutină.

Securitate perfectă nu există, iar metodele de protejare împotriva unui om bine pregătit tehnic, care te atacă “din interior”, nu sunt foarte eficiente. Nu e nevoie să devii paranoic, dar poți să iei câteva măsuri:

• Ai grijă pe cine angajezi. Șmecherați, hackerați și alți ași – evită-i. Cere referințe și fii atent la profilul psihologic. Evită și persoanele care s-ar putea răzbuna dacă sunt nemulțumite de ceva, justificat sau nu.
• Semnează NDA-uri bune. Probabil că nu ții neapărat să-ți dai angajații și colaboratorii în judecată, dar un NDA puternic, scris de un avocat cu experiență, este un stimul suplimentar excelent pentru discreție.
• Fii atent la informațiile publice. Dacă unele nu ar fi trebuit să fie publice, încearcă să afli în ce context au “transpirat” și cine a fost implicat. Înainte să acuzi concurența de spionaj, asigură-te că nu ți-a citit un angajat mailurile.
• Criptează tot ce e sensibil. Este recomandat ca toate email-urile interne care conțin date secrete să fie criptate – convinge-ți și colaboratorii și partenerii externi să facă la fel. Și fișierele pe care le stochezi pe hard-disk ar trebui să fie criptate.
• Șterge definitiv. Ești forțat de multe ori să lucrezi cu fișiere necriptate sau primești email-uri necriptate de la parteneri. După ce le citești, șterge-le, iar atunci când le ștergi, utilizează un program care știe să facă acestă operațiunie în așa fel încât orice recuperare de date să fie imposibilă.
• Fă regulat un audit extern al sistemelor pe care le folosești. Este aproape imposibil să fii sigur că nu ai instalat pe calculator un program spy sau că nu-ți sunt citite email-urile direct de pe server. O verificare externă a sistemelor pe care le folosești direct sau indirect poate să-ți indice o neregulă (programe instalate pe calculatorul tău, accesări ale fișierelor pe server).

Este neplăcut să nu ai încredere în proprii angajați, dar trăim într-o lume imperfectă și trebuie să ne protejăm. Există suficient de multe exemple de companii a căror încredere în angajați a fost “răsplătită” cu furt de informații și pierderi cel puțin la nivel de imagine.

Tu ce crezi? E bine să ai încredere totală în angajații de la departamentul IT sau “better safe than sorry”? Scrie un comentariu mai jos!

Image credit: richard.

No related posts.