Чтобы свести к минимуму киберинциденты в вашей организации, мы подготовили инструкцию с базовыми правилами информационной безопасности и предлагаем передавать ее каждому новому сотруднику.
Руководство по информационной безопасности может помочь свести к минимуму повторяющиеся ошибки, мы подготовили ля вас базовое руководство, к которому вы можете добавить пункты, специфичные для вашей компании и ее правил и положений.
На наш взгляд, это стандартные требования по обеспечению минимальной защиты после того, как вы подготовите его под свою сферу деятельности, не просто отправляйте его в архив: покажите всем новым сотрудникам и также доведите до сведения постоянных сотрудников.
Доступ к корпоративным ресурсам и сервисам
- Используйте надежные пароли для всех учетных записей - не менее 12 символов, не содержащие слов в словаре, включая специальные символы и цифры. Злоумышленники могут легко подобрать простые пароли.
- Создайте уникальный пароль для каждой учетной записи. Не используйте его в личных целях.
- Храните пароли в секрете, без исключения. Не записывайте их, не сохраняйте в файл и не делитесь ими с коллегами. Случайный посетитель офиса или уволенный коллега может использовать ваш пароль, чтобы нанести вред компании.
- Включите двухфакторную аутентификацию для каждой службы, которая это позволяет. Использование поможет предотвратить доступ злоумышленника к сервисам даже в случае утечки пароля.
Личные данные
- Измельчайте документы для утилизации, а не просто выбрасывайте их. Лично идентифицируемая информация в мусорной корзине гарантирует внимание регулирующих органов и высокие штрафы.
- Используйте безопасные каналы для обмена файлами, содержащими личные данные (например, делитесь документами Google Doc с определенными коллегами, а не через опцию «любой, у кого есть ссылка»). Google, например, индексирует документы, которые может просмотреть любой пользователь в Интернете, то есть они могут появляться в результатах поиска.
- Не делитесь персональными данными клиентов с коллегами, только в крайне необходимости. Помимо проблем с регулирующими органами, обмен данными увеличивает риск утечки данных.
Распространенные киберугрозы
- Внимательно проверяйте ссылки в сообщениях электронной почты перед тем, как нажимать на них, и помните, что убедительное имя отправителя не является гарантией подлинности. Среди множества уловок киберпреступников, заставляющих людей переходить по фишинговым ссылкам, они могут адаптировать сообщения специально для вашего бизнеса или даже использовать взломанный аккаунт коллеги.
- Для отдела финансов или бухгалтерии: никогда не переводите деньги на неизвестные счета исключительно на основании электронной почты или прямого сообщения. Вместо этого напрямую свяжитесь с лицом, предположительно авторизовавшим перевод, чтобы подтвердить его.
- Не проверяйте нашедшие и неизвестные вам флешки; не подключайте найденный носитель к компьютеру. Атаки через зараженные флеш-накопители — это не просто фантастика: киберпреступники могут размещать вредоносные устройства в общественных местах и в офисах.
- Перед открытием файла убедитесь, что он не является исполняемым (злоумышленники часто маскируют вредоносные файлы под офисные документы). Не открывайте и не запускайте исполняемые файлы из ненадежных источников.
Контакты для экстренных случаев
- К кому обращаться - имя и номер телефона - в случае подозрительного электронного письма, странного поведения компьютера, сообщения о программе-вымогателе или любых других сомнительных проблем. Это может быть сотрудник службы безопасности, системный администратор или даже владелец бизнеса.
Это самые основные вещи, которые необходимо знать каждой компании.
