Документ обсуждает важность обеспечения IT-безопасности в компаниях, указывая на значительные финансовые потери от нарушений безопасности. Он подчеркивает основные угрозы и методы защиты, такие как ограничение доступа, шифрование данных и использование специфических протоколов, таких как SSH. Также отмечается необходимость создания отдела безопасности для эффективного управления защитой информации.

1. Дмитрий
Пискарёв
Как обеспечить IT-безопасность в
компании? Просто о главном.

2. Зачем нужна безопасность?

3. Зачем нужна безопасность?
41%

4. Зачем нужна безопасность?
58%компаний потеряли
более
$50 000
11%
более
$10 000 000
За 2014 год из-за
нарушений безопасности

5. Зачем нужна безопасность?
Больше всего интеллектуальной
собственности теряют отрасли:
Нефтегазовая
Аэрокосмическая и оборонная
Технологическая
Телекоммуникационная

6. От чего защищаться?
Большинство успешных атак
проведено с помощью
меньшинства известных
инструментов.

7. Самое слабое звено
инцидентов происходит
из-за ошибки пользователей
● Соц. инженерия;
● спам;
● фишинг;
● слабые пароли;
● нерациональное
использование
ресурсов;
● вирусы;
● халатность;
● нарушение правил
ИБ.

8. Netpeak принимает вызов!

9. Простые и действенные инструменты
● Генерация паролей и использование
локальных хранилищ;
● учет использования внутренних
ресурсов, получения доступов и т.д.;
● отслеживание установки
нового ПО, конфигурации
(железо) компьютеров.

10. Активы
После сотрудников, самым ценными
активами для нас являются сетевые
ресурсы и внутренние разработки.

11. Ограничение по портам
Все порты на серверах,
кроме необходимых,
должны быть закрыты.

12. Ограничение по IP
IP 1
IP 2
IP 3 IP 4
PROXY
Ограничение доступа
к сетевым ресурсам:
● Через IP офисов
● Через выделенные
прокси

13. Безопасное соединение
TLS/SSL

14. Система сертификатов
На внутренние образовательные
ресурсы доступ только по сертификатам.
У каждого пользователя
индивидуальный
сертификат

15. Защита скриптов и внутренних разработок

16. Что мы используем?
Обфускация

17. Обфускация скриптов
● Последний рубеж защиты;
● в случае завладения скриптом,
достаточно трудно понять логику
работы;
● есть неплохие алгоритмы
обфускации в открытом доступе;
● позволяет внедрять разработки на
сайты клиентов с минимальным
риском.

18. Что мы используем?
OpenID

19. OpenID
Сотрудник Скрипт на клиентском
сайте
LOGIN
PASSWORD
● Существует ли
сотрудник?
● Аутентифицир
ован?
ERP/CRM
Подтверждение
аутентификации

20. Что используем мы?
Программные закладки
и реестр загрузок

21. Реестр загрузок
● Единый центр загрузок.
● Кто скачал скрипт?
● Когда скачал?
● Зачем скачал?

22. Программные закладки
Каждый экземпляр скрипта или программы
уникален и позволяет идентифицировать, кто его
загрузил и когда.

23. Что используем мы?
Шифрование критических данных
● личные данные
сотрудников и
клиентов;
● данные по заказам и
услугам;
● зарплаты;
● финансовые
операции;
● прочее.

24. Что мы используем?
SSH — сетевой
протокол, позволяющий
получать удаленный
доступ к компьютеру с
большой степенью
безопасности
соединения.

25. SSH
Мастер
ключ
Ключ
программиста 1
Ключ
программиста 2
Ключ
программиста 3
Все ключи
связаны с мастер-
ключом и могут
быть
одновременно
заблокированы

26. Внедрение инструментов безопасности
В идеале, в компании есть отдел
безопасности.
В реальности - защитой
информации занимается IT
отдел.

27. Расширенная база знаний программистов
● Криптографические алгоритмы и их
применение;
● работа с сервером (LAMP);
● расширенные знания Git;
● cloud computing;
● и т.д.

28. Подготовка и переподготовка кадров