中小企業のITで誤解されているトップ10

Top 10 mistakes IT people in SMBs make


David Vellaは、IT管理者から多くのメールや警告を受け取っているが、機密保護違反が起こるか、または何かネットワークで支障をきたすときはいつも、それはエンドユーザーが原因であったことが多かったと報告している。
時には、従業員のメモパッドにパスワードを張り付けられたままなど、ワークステーションへの最も基本的なセキュリティ推薦さえ無視し続けていたと報告している。
エンドユーザーのエラーで99%は機密保護違反が原因で、その非難がITアドミニストレータ事務所に向けられることが多いとも報告している。
とくにSMB(Small and Medium Business/中小企業)ではIT管理者さえ、誤解していることがある。
ITに敏感でない問題を起こすエンド・ユーザーは論理を理解できないので、彼らと異なって、IT管理者が技術に関するところで絶対確実であると予想されていることが最大の問題になっている。
残念ながら、今日の技術の消耗性、そして、過酷な世界で中小企業のIT管理者がただ座って、ネットワークをモニターするより多くのことを強制されている。
彼らは会社でほとんどあらゆるハードウェアの原因となって、電気屋かんさえさせられている。
多くがビルで事実上の雑役夫になって、さらに彼らはエンドユーザー問題にまで対処しなければならないのが現状である。
重過ぎるワークロード、少ない時間、および必然的な締め切り、ボスを幸福に保つ圧力は、IT管理者の判断と時には重大なものについても誤りをしていると報告している。
最初に、もっとも古典的な誤りとして、
Connecting systems to the Internet before hardening them.(システムを確実にする前に、インターネットに接続する)
コンピュータは、インターネットに関係づけられて設計されていない。
新しいコンピュータを電話回線、イーサネットケーブル、またはワイヤレス・カードと接続する前に、少なくともウイルス防止、スパイウェア・スキャナ、などのプログラムをインストールして、悪意があるソフトウェアがインストールされるのを防いでください。
2番目は攻撃者が夢のように望むこと、
Connecting test systems to the Internet with default accounts/passwords.(デフォルト・アカウント/パスワードでテスト・システムをインターネットに接続する)
デフォルトアカウント/パスワードを残すことで、攻撃者は簡単に攻撃の窓口を得ることができる。
すぐに、デフォルト・アカウント/パスワードを削除するか、または改名してください。
3番目が、Failing to update systems.(システムをアップデートしない)
キュリティーホールはすべてのオペレーティング・システムには存在している。
そして、どんなソフトウェアも完全ではない。
脆弱性がいったん見つけられると、通常、それは非常に短い期間以内に利用される。
したがって、アップデートの前に試験環境でそれらを調べるには時間がかかっても、できるだけ早くセキュリティー・パッチをインストールすることは必須です。
4番目、Failure to properly authenticate callers.(訪問者を容易に認証しない)
リクエスターが認証されないとき、電話でパスワードをユーザーに与えるか、または電話か個人的な要求に対応してユーザー・パスワードを変えることが、サポート・コールチケットを減少させる最も簡単な方法であるかもしれない。
それはソーシャル・エンジニアリングの取り組みにおける喜びです。
声が身近であっても、いつも適切な認証を実施してください。
5番目、Failing to maintain and test backups.(バックアップを維持し、検査しない)
不精が最も大きい軍事的脅威の1つで、適切なバックアップをするのは最初からデータを休養させるよりはるかに簡単です。
バックアップはしばしばすべきで、そして、コピーはオフサイト(ボス達の金庫でないところ)に保存する。
6番目、Failure to confirm that your disaster recovery plan actually works.(災害復旧が計画されていると確認しないで、働かせ続ける)
間違いなく、バックアップ中である場合。
マシンは働いているか?本当にバックアップを開始して良いか?災害回復対策中か?を確かめてください。
マシンが混乱します。
7番目、Failing to implement or update virus detection software.(ウイルス検出ソフトを実装しないか、アップデートしない)
最新のスキャナは、最新の悪意があるソフトウェアがすぐに検出されるのを確実にします。
アップデートしないなら、何のためにウイルスとスパイウェア・スキャナを使用しているのですか
8番目、Failing to educate users.(ユーザー教育をしない)
ユーザーは、どんな種類の脅威があるかを知る必要があります。
しばしば無教育なコンピュータ・ユーザーは、ユーザーの同意なしで第三者にシステムを崩壊させるか、または個人情報を漏らすように設計されているウイルス、スパイウェア、およびフィッシング攻撃の犠牲になる人です。
ユーザーを当然のことと思わないでください、またはあまりに彼らを信じないでください。
9番目、Trying to do it all yourself.(自分ですべてを行おうとする)
大企業にはIT部があり、彼らにそれらのネットワークを設立することで問題があるなら、中小企業の管理者は、アドバイスを求め、助けを求めるべきです。
時には高価ですが、外部の助けは、仕事の正しくして、初めてのラウンドを確実にします。
10番目、Failing to recognize 'insider threats'.(「インサイダーの脅威」を認識しない)
あまりに多くを信頼し、ネットワークを殺すことがあります。
適切にモニターしていないなら、不満を抱いた従業員と他の大問題を引き起こす場合があります。
ITの人々はネットワーク活動、特にiPods、メモリースティック、他のモバイル機器の使用をモニターするべきです。
あなたは怒っている従業員に、会社の秘密のデータを競争で販売させるべきではありません。
面白いね〜
でも、いくつかは、忘れていることが多い。
大企業にも、同じような失敗は、結構多い。
警察から個人情報が流出したり、自衛隊からイージス艦の情報が漏洩したり、想像できないことが頻繁に起こっている。
そして、謝罪して終わりにしている。
以前、今では大学の学長にまでなった人が、IT責任者になったなったとき、その大学のサーバーからポルノ画像が大量に配信され、そのIT責任者は、私の責任ではない。
誰かがやった!と言っていたことを思い出す。
こんな無責任なIT責任者が学長で、教授部長で、経済産業省や総務庁にまで出入りしている。
みんな、もう「裸の王様」と「裸の女王様」になっている。