Сигурност на устройствата е една обширна тема, която обхваща широк спектър от политики, правила и норми в информационната сигурност. Тя е и ясно дефинирана като изисквания в групата от стандарти по ISO 27000.

 

Какво обхваща сигурността на устройствата?

 

Редица организации използват комбинация от политики, които да ограничат въздействието от физическото компрометирането на устройства и информацията на тях в организацията. Примери за такива политики са:

Политика за приемлива и неприемлива употреба на устройства и преносители на информация – обхваща дефиниране на всички неприемливи поведения, които са забранени. Препоръки за работа с временна и междинна информация, принтирани документи.
Политика за чисто бюро и чист екран –  дефиниране на минималните изисквания към служителите за работа с външна медия като (USB памети и дискове), отговорното използване на мобилни устройства и служебни лаптопи и техника в защитена среда, задаване на кратки срокове за заключване на екраните при наличие на неактивност или напускане на мястото.

 

Какви заплахи могат да настъпят при липса на адекватно и отговорно поведение?

 

Най-честата заплаха е човешкото любопитство. В този ред на мисли любопитството представлява сериозна заплаха, защото хора без необходимите правомощия могат да се доберат до чувствителна или конфиденциална информация собственост на организацията и в последствие тя да бъде изнесена преднамерено или непреднамерено. Това е причината за редица препоръки за заключване на устройствата след кратък период на неактивност

Друга заплаха е работата с външни памети (USB flash памет & USB дискове). При работата с тях трябва да се спазват редица процедури за безопасност поради високият риск от заразяване с вирус и компрометиране на информацията. Освен вирусите или небрежното съхраняване и използване на информация от временни преносими носители съществуват и други далеч по-опасни заплахи свързани с т.нар лоши USB (bad USBs)

 

Какво  представляват лошите USB (Bad USB)??

 

Това са малки USB устройства, които наподобяват USB памет, но в действителност симулират клавиатура. Тяхната основна функция е да изпълнят поредица от команди върху компютърната система, в която е включена. По този начин може да бъде инсталиран вирус отвътре или критична информация да бъде компрометирана. Лошите USB-та участват в класификацията от вътрешни заплахи за организацията, при които имаме преднамерено или непреднамерено действие от вътрешно лице за нея.

 

Какви базови правила трябва да спазваме за да се защитим?

 

• Не трябва да използваме едни и същи устройства за работа и личен живот. Това е свързано с риск ако дадено устройство бъде компрометирано (откраднато или изгубено) да навреди както в професионално напрвление, така и в направление на личния живот. Друг известен риск при такава комбинация е неумишлено миксиране и разпространение на данни поради невнимание или проумора
• Не трябва да използваме външна медия (USB памет и дискове) с неясен произход и съдържание, защото антивирусните програми и допълнителни защити не са перфектни и могат да пропуснат и да не засекат опасност.
• Трябва да използваме силни и уникални пароли, пин кодове и биометрични методи за автентикация с цел да затрудним максимално достъпа ако даденото устройство попадне в чужди ръце
• Устройствата ни трябва да са криптирани.
• Потребителските сесии трябва да бъдат прекратявани в кратък срок на неактивност. Например потребителя да бъде разлогнат не повече от 5 мин от последната активност на компютър или лаптоп, за да не се създава предпоставка любопитен или злонамерен човек да упражни неоторизиран достъп до информация