La parte fondamentale della tecnologia è che si evolve .
Certo, puoi applicare le best practice, come ad esempio:
- Mantenersi aggiornati sulle vulnerabilità
- Assicurare che software e sistemi operativi siano aggiornati
- Controllo dei log per potenziali intrusi / problemi
A seconda del tuo ambiente, potresti anche voler proattivo . Ciò include:
- NIDS e HIDS (Network / Host Intrusion Detection Systems)
- Controllo dei pacchetti con stato con UTM o "firewall di nuova generazione"
- Advanced, multi-livello, back-up del sito on / off usando uno schema GFS (Nonno, Padre, Figlio).
La sicurezza delle informazioni riguarda la valutazione del rischio , che disegna un approccio simile a quello del business, dell'economia e di molti altri campi. Le vulnerabilità Zero Day e gli attacchi che li utilizzano non possono essere prevenuti seguendo le best practice . Questo dovrebbe sempre essere preso in considerazione in una valutazione del rischio , così come altri argomenti. Per una piccola azienda, gli attacchi zero-day potrebbero essere troppo costosi per pianificare e difendersi. C'è semplicemente la mancanza di personale, attrezzature o capitale (denaro) per farlo.
La parte fondamentale da ricordare è che le best practice dovrebbero essere una linea di base e, in ogni caso, non complete. Tuttavia, ci sono situazioni che richiedono che sia "abbastanza buono". Come evidenziato in precedenza, un ambiente SoHo (Small Office / Home Office) non avrebbe le risorse per implementare un firewall statico basato su hardware. Certamente l'ambiente dovrebbe avere una semplice forma di backup e anti-virus, ma dovrebbe esserci un piano per la perdita di dati a causa di un incendio, un terremoto o un altro evento serio? Che dire della perdita del disco rigido esterno che contiene backup settimanali? Dovrebbe essere predisposto un piano per il furto della macchina stessa? Sono presenti dati sensibili sulla macchina?
Ci sono molte domande che dovranno essere risolte e solo quando queste verranno poste e potenzialmente risposte, ci sarà una chiara comprensione del fatto che applicare le migliori pratiche di sicurezza e usabilità non sia sufficiente.