Я даю презентацию позже на этой неделе штату в компании, где я работаю. Цель презентации состоит в том, чтобы служить refresher/remidner хороших методов, которые могут помочь сохранить нашу сеть безопасной. Аудитория составлена из обоих программистов и нетехнического штата, таким образом, презентация приспособлена для нетехнических пользователей.
Я хочу, чтобы часть этой презентации была главным списком "подсказок". Список должен быть коротким (для поощрения памяти) и быть конкретным и относиться к пользователю.
У меня есть следующие пять объектов до сих пор:
Некоторые разъяснения:
У меня есть два вопроса:
Это кажется, что можно быть человеком за пределами IT, пытающегося обучить коллег. В то время как это - хорошая вещь и что-то, что я поощрил бы, Ваш отдел ИТ должен управлять стандартами обеспечения защиты и политиками.
Это обучение должно служить средством укрепить и уже рассказать о причинах позади политики безопасности на месте. Если нет записанного документа политики безопасности, должно быть.
Многие вещи, которые Вы перечисляете, не должны быть в рамках управления конечных пользователей. Например, среднее число меньше технического конечного пользователя не должно мочь установить программное обеспечение на их рабочей станции. Я подозреваю, что существует многочисленная поддержка, конфигурация и вредоносные проблемы в компании, которая могла легко быть предотвращена политикой, если они могут.
Если основные принципы уже не записаны и осуществлены политикой IT, это проблемы, которые должны быть решены прежде, чем попытаться обучить пользователей. Часть конечного пользователя сфокусировалась, политики включают:
Существует несметное число дополнительных политик и процедур, которые относятся и к надлежащей разработке и к техническому обслуживанию в инфраструктурных группах. (Контроль изменений, обзор кода, системные стандарты, и многое другое.)
После того, как вся основа существует, сотрудникам нужно предоставить копии записанной политики безопасности, и обучение, окружающее ту политику, также было бы соответствующим. Это покрыло бы лучшие практики конечного пользователя, и осуществленные технически и нет. Некоторые из них включают:
Примеры DSS PCI много лучших практик относительно политики безопасности. Кроме того, книга Практика Систем и Администрирования сети касается фундаментальных лучших практик относительно безопасности IT-систем.
Моя главная подсказка (что мне медленно удается учить людей) является изменением Вашего № 1:
Знайте, как проверить, куда электронное письмо действительно прибывает из, и проверьте любое сообщение, это - наименее разрядное странное.
Для Outlook, который означает знать, как отобразить интернет-заголовки и что означают Полученные - От строк.
Для нетехнического штата, загружая и устанавливая программное обеспечение не (и я сказал бы, не должен быть), опция, у них не должно быть доступа администратора для установки программного обеспечения. Даже для программисты, которым мы действительно даем доступ администратора к, мы сильно, сильно убедите их свериться с IT прежде, чем загрузить и установить.
Для паролей я всегда повторяю совет Bruce Schneier: пароли должны быть достаточно сильными, чтобы делать некоторое хорошее, и иметь дело с трудностью, помня их можно записать их на листке бумаги и сохранить, это в кошельке - рассматривает карту пароля как кредитная карта и знает, как отменить (изменяют) их, если Вы теряете свой кошелек.
В зависимости от того, сколько ноутбуков Вы имеете и как Вы создаете резервную копию их, я включал бы подсказку о хранении данных по безопасным ноутбукам. Если Вы не имеете в распоряжении систему для поддержки/копировать данных по ноутбукам к сети, Вы должны, и если у Вас действительно есть система, необходимо удостовериться, что пользователи портативных компьютеров знают, как это работает. Потерянный или украденный ноутбук, полный данных, - по крайней мере - боль в заднице.
Определите то, что слабый и сильный пароль и дают им некоторые хорошие способы придумать и помнить сильные пароли.
Ваша вторая точка, кажется, указывает, что пользователям разрешают установить программное обеспечение на их компьютерах. Я сказал бы, что это - проблема в большинстве случаев. Но если им позволяют установить программное обеспечение затем, это - положительная сторона для покрытия.
Удостоверьтесь, что у Вас есть примеры социальной инженерии. Это помогает им знать, что искать и пугает их немного, чтобы быть более параноидальным. Мне нравится просить, чтобы люди думали о том, что они сделали бы, если бы они нашли карту флэш-памяти USB на тротуаре недалеко от офиса. Большинство честных людей взяло бы его и включило бы его в их компьютер, чтобы видеть, определит ли что-то на диске, кто владелец. Большинство нечестных людей сделает то же самое..., но вероятно только видеть, существует ли что-либо хорошее на нем прежде, чем стереть его для использования его. Любой случай через автозапуск, злонамеренный PDF, и т.д. это - довольно простой способ владеть компьютером в компании по Вашему выбору, установить регистратор нажатия клавиш, и т.д.
Что относительно
У Вас есть хорошее начало, но поскольку другие упомянули, что Вы запускаете в неблагоприятных условиях, если пользователи могут установить программное обеспечение. Я не предложил бы использовать download.com; вместо этого, пользователи должны попросить у IT программы, которая решает их проблему вместо того, чтобы пытаться найти ту сами (если большинство не разработчики или довольно опытный). Удаление прав администратора решает эту проблему.
Дополнения: