Při vývoji, správě a provozu klientských webových řešení uplatňujeme řadu organizačních a technických opatření, jejichž cílem je ochrana výsledků naší práce a klientských dat. Management společnosti totiž považuje bezpečnost webových aplikací za stejně důležitou jako užitnou hodnotu realizovaných webů a e-shopů. Podívejme se podrobně, jak k bezpečnosti přistupujeme.
FG Forrest disponuje stabilním zaměstnaneckým týmem IT oddělení. Jeho vedoucí z pozice Chief Information Security Officera (CISO) zodpovídá mj. za realizaci bezpečnostních opatření, která vzejdou z pravidelných jednání managementu. CISO předkládá ke schválení směrnice, jimiž jsou povinni se řídit zaměstnanci - ti jsou základním prvkem bezpečnosti.
Už v přijímacím procesu nového zaměstnance probíhá zaškolení, které je v oblasti bezpečnosti zaměřeno na:
Na každé pobočce FG pořádá CISO pravidelná školení obecné bezpečnosti pro všechny zaměstnance i externí spolupracovníky. Školení neprobíhá pouze formou přednesu, ale jsou předváděny konkrétní možnosti zneužití (zneužití USB zařízení, odposlechy klávesnic, zneužití bezplatné wifi apod.). Posluchači jsou cíleně zapojováni do diskuze a ukázek. Při školení také probíhá revize nastavení svěřených ICT zařízení.
Navíc FG umožňuje zaměstnancům účast na veřejných školeních a konferencích. V minulosti jimi byli např. Akademie CZ.NIC - Bezpečnost webových aplikací, dále Hacker Academy od předního odborníka na hacking Romana Kummela a další. Školení se účastní seniorní vývojáři, kteří pak formou interních seminářů a článků na intranetu předávají zkušenosti kolegům.
FG také podporuje soukromý projekt jednoho ze zaměstnanců, vývojáře Honzy Novotného KafemlejnekTV, který publikuje rozhovory mj. s odborníky z oblasti webového vývoje a zabezpečení.
Při ukončení pracovního poměru nebo externí spolupráce dochází k ukončení všech přístupů do systémů FG. Zároveň jsou změněny přístupové údaje ke sdíleným službám či účtům, což umožňuje centrální správa přístupových údajů.
Uplatňujeme na ně stejné požadavky jako na zaměstnance, tzn.:
FG svěřuje zaměstnancům k užívání ICT prostředky s nastaveným zabezpečením. Zaměstnanci jsou při výkonu povolání povinni využívat pouze tyto prostředky. Na přenosném počítači to znamená šifrovat lokální úložiště (na OS Linux softwarem DM Crypt / Luks, na macOS vestavěnou funkcí Filevault, ve Windows programem Bitlocker), a používat antivirový program Eset s centrálním dohledem IT FG. Podobně i na mobilních telefonech s platformou Android musejí zaměstnanci používat antivirový program s centrálním dohledem (platforma Apple iOS neumožňuje instalovat antivirový software). Stejné zabezpečení se vztahuje i na externí spolupracovníky.
Radek Šafránek, Chief Information Security Officer
Další podobné články:
Jak v FG dbáme na bezpečnost II. (o minimalizaci přístupových práv, dvoukrokovém přihlašování, bezpečnostních testech a dalších technických opatřeních)
Jak v FG dbáme na bezpečnost III. (doporučení pro klientské weby a e-shopy: o využívání Web Application Firewallu a ochraně proti DDoS útokům)
