Аудит безопасности ИТ

Цели

Провести аудит безопасности информационных систем промышленного предприятия, собственники которого были озабочены возможными утечками конструкторской документации к конкурентам.

Результат

Аудит показал, что утечка конфиденциальной информации — это вопрос времени, для злоумышленника копирование служебных данных не представляло особых сложностей. По результатам клиенту было предложено перейти на инфраструктуру виртуальных рабочих столов (VDI), когда пользователь работает в виртуальной машине, а все данные хранятся на одном сервере. Это исключает возможность копирования любых документов и позволяет в несколько раз сократить расходы на администрирование клиентских мест.

Детали

У клиента отсутствовала комплексная политики информационной безопасности, были выявлены уязвимости на всех уровнях.

  • Аутентификация и авторизация к информационным ресурсам была ненадежна, одни и те же пароли использовались годами, часто лежали в открытом доступе.
  • Имелась возможность подключения носителей данных и копирования любой информации, копии служебных документов располагались на жестких дисках персональных компьютеров;
  • Регулярная установка обновлений проводилась только на серверах компании, компьютеры пользователей имели ряд уязвимостей на уровне операционной системы;
  • Система администрирования требовала большого количества сотрудников, поскольку каждое рабочее место обладало уникальной конфигурацией, с уникальными проблемами;
  • Отсутствовало разграничение доступа к конструкторской документации других разработчиков, многие документы хранились в общих папках.