Przewodnik po bezpieczeństwie informacji może pomóc w zminimalizowaniu popełnienia błędów, jednak pisanie go od podstaw jest dość trudne. W tym celu przygotowaliśmy ogólny zarys takiego przewodnika, do którego możesz dodać punkty charakterystyczne dla Twojej firmy, własne zasady i przepisy. Naszym zdaniem jest to standard, który zawiera niezbędne informacje oraz wymaga personalizacji. Po dostosowaniu do własnych warunków prześlij go do wszystkich pracowników, nie tylko nowych.
Dostęp do systemów i usług korporacyjnych
1. Używaj silnych haseł dla wszystkich kont — muszą one mieć co najmniej 12 znaków, nie mogą zawierać wyrazów znajdujących się w słowniku i powinny składać się ze znaków specjalnych i cyfr. Proste hasła mogą zostać łatwo złamane metodą siłową.
2. Dla każdego konta utwórz unikatowe hasło. Jeśli w kilku miejscach używasz tego samego hasła, to w sytuacji, gdy wycieknie jedno z nich, pozostałe nie będą spełniać swojej funkcji.
3. Trzymaj swoje hasła w tajemnicy. Nie zapisuj ich na kartce ani w pliku oraz nie udostępniaj współpracownikom. Przypadkowy gość w biurze lub zwolniony kolega mogą użyć Twojego hasła, aby zaszkodzić firmie, a możliwości są tu praktycznie nieograniczone.
4. W każdej usłudze, która ma taką opcję, włącz uwierzytelnianie dwuskładnikowe. W ten sposób uniemożliwisz uzyskanie dostępu przez osobę atakującą do usługi nawet w przypadku, gdy hasło wycieknie.
Dane osobowe
5. Dokładnie rozdrabniaj dokumenty przeznaczone do utylizacji. Jeśli w koszu na śmieci znajdą się informacje umożliwiające identyfikację jakiejś osoby, to z pewnością sprawą zainteresują się organy regulacyjne, gdyż za takie niedopatrzenie grożą wysokie grzywny.
6. Podczas wymiany plików zawierających dane osobowe korzystaj z bezpiecznych kanałów (na przykład udostępniaj dokumenty przez usługę Dokumenty Google określonym współpracownikom, a nie za pośrednictwem opcji „każda osoba posiadająca link”). Na przykład wyszukiwarka Google indeksuje dokumenty, które każda osoba może wyświetlać w internecie, co oznacza, że mogą one pojawiać się w wynikach wyszukiwania.
7. Dane osobowe klientów udostępniaj współpracownikom tylko wtedy, gdy naprawdę jest taka potrzeba. Udostępnianie danych nie tylko może przysporzyć problemów ze strony organów regulacyjnych, ale także zwiększa ryzyko wycieku danych.
Popularne cyberzagrożenia
8. Zanim klikniesz jakieś łącze w wiadomości e-mail, dokładnie je sprawdź i pamiętaj, że przekonująca nazwa nadawcy nie gwarantuje, że wiadomość jest autentyczna. Cyberprzestępcy stosują wiele sztuczek, aby nakłonić ludzi do kliknięcia łączy phishingowych. W tym celu mogą oni specjalnie dostosować wiadomość pod kątem Twojej firmy, a nawet użyć porwanego konta kolegi.
9. Zasada przeznaczona dla osób zarządzających budżetem: nigdy nie przelewaj pieniędzy na nieznane konta wyłącznie w oparciu o otrzymaną wiadomość e-mail lub wiadomości bezpośrednie. Zamiast tego skontaktuj się bezpośrednio z osobą, która rzekomo autoryzowała przelew, aby go potwierdzić.
10. Nie ruszaj dysków flash, których nie znasz. Nie podłączaj znalezionych nośników danych do komputera. Ataki realizowane za pośrednictwem zainfekowanych dysków flash to nie miejskie legendy — cyberprzestępcy mogą podrzucać takie szkodliwe urządzenia w miejscach publicznych i biurach i tak już było nie raz.
11. Przed otwarciem pliku sprawdź, czy nie jest on wykonywalny (atakujący często ukrywają szkodliwe pliki jako dokumenty pakietu Office). Nie otwieraj ani nie uruchamiaj plików wykonywalnych z niezaufanych źródeł.
Osoby do kontaktu w nagłych przypadkach
12. Z kim się skontaktować — imię i nazwisko oraz numer telefonu — w przypadku otrzymania podejrzanej wiadomości e-mail, dziwnego zachowania komputera, notatki z żądaniem okupu lub innych problemów.
Powyżej zebraliśmy zaledwie podstawy bezpiecznego funkcjonowania, które musi znać każda osoba w każdej firmie. Aby zwiększyć świadomość w zakresie współczesnych cyberzagrożeń, zalecamy jednak skorzystanie ze specjalnego szkolenia.