Upravljanje ranljivosti v informacijskih sistemih

Sprašujemo se, ali je res potrebno imeti Hi-Tech naprave in umetno Inteligenco, če že v osnovi nismo naredili domače naloge in zaščitili infrastrukturo, sistem in podatke? Odgovor je, ne.

Ta objava je z namenom osvežiti spomin o tem, da je bil 08.04.2014 dan, ko je Microsoft prenehal s podporo zastarelega operacijskega sistema Windows XP.

Več si lahko preberete na sledeči Microsoftovi povezavi: Microsoft Windows XP end of support

Kljub znanim dejstvom, smo naleteli na izpostavljen ekran (slika spodaj) v javnem sektorju, ki uporablja zastarel operacijski sistem oz. opremo za katero ni več varnostnih popravkov.

Morda je res, da je ta dotični Windows XP za požarnim zidom in v zaprtem okolju pa  vseeno se nekateri prebivalci Slovenije sprašujemo, ali naš javni sektor res nima sredstev za nadgradnjo, vsaj na Windows 7? Hkrati nas skrbi, da se morda naši najbolj osebni podatki nahajajo v tako nevarnem okolju?

Spotoma pa smešno in skorajda sramotno, da vsak mimoidoči vidi, kako še vedno uporabljamo Windows XP.

Citiramo iz spletne strani Ministrstva za Javno Upravo
Vir:http://www.mju.gov.si/si/delovna_podrocja/informatika/informacijska_varnost/
Storitev 3 – Upravljanje ranljivosti v informacijskih sistemih (ang. Vulnerability Management)
Upravljanje ranljivosti je proces, ki temelji na avtomatiziranih skeniranjih produkcijske informacijske infrastrukture organov DU in posameznih okolij centralne infrastrukture z namenskimi orodji. Aktivnosti temeljijo na projektnem pristopu, kjer se najprej vzpostavijo pogoji za izvedbo testa (spoznavanje okolja organa, obseg in namen testa, pripravljalne aktivnosti), sledi faza izvedbe skeniranj z najavami aktivnosti, zajem rezultatov skeniranja, interpretacija, ocena (resnosti) in potrditev ranljivosti za posamezno okolje. Za odpravo ranljivosti v informacijskem sistemu je vedno odgovoren skrbnik informacijskega sistema, zato so v proces vključeni skrbniki (lastniki) in upravljalci, ki v zaključni fazi prevzamejo odgovornost za odpravo ali zmanjšanje tveganj. Skupaj s poročilom so v ITIL orodju za upravljanje z zahtevki avtomatsko ustvarjeni ustrezni zahtevki za skrbnike sistemov.
Storitev 8 – Ozaveščanje in usposabljanje uporabnikov in skrbnikov informacijskih sistemov (ang. Information Security Awareness and Training)
Za informacijsko varnost je pri svojem delu odgovoren vsak posamezen uslužbenec. Neustrezno ravnanje uslužbencev pri svojem delu predstavlja pomembno grožnjo informacijski varnosti.
V Sektorju za informacijsko varnost smo pripravili tečaj ozaveščanja o informacijski varnosti. Namen tečaja je okrepiti zavest o pomenu informacijske varnosti pri vsakdanjem delu in ugotoviti, kakšna je trenutna raven znanja in ozaveščenosti na tem področju.

pomnimo se incidenta, ki se je pripetil prejšnji teden, kot posledica malomarnosti in amaterstva ter pripeljal do tega, da je imela Splošna Bolnišnica Izola na svojem WordPress portalu javno izpostavljene osebne podatke svojih pacientov.

Za več informacij o incidentu v Splošni Bolnišnici v Izoli, prilagam del članka dr. Kovačič Mateja:

In še prikaz, kako je bilo mogoče videti naslove pacientov

V VitaliT Solutions se prizadevamo za kibernetsko varnost v Sloveniji. Zato spodbujamo organizacije in posameznike, da sledijo najboljšim praksam. Želimo si, da bi Slovenija postala ena izmed držav z najboljšimi tehnološkimi praksami, s poudarkom na kibernetski varnosti.

Podjetjem in posameznikom pomagamo, da bolje izkoristijo sistemske in informacijske vire ter zaščitijo svoje podatke.

Naša metodologija je, slediti osnovnim smernicam in ohranjati preprost proces evolucije sistemov, pri kateri upoštevamo osnovne konfiguracije, nastavitve in tako sledimo visokotehnološki kibernetski varnosti.