Лучшие десять рекомендаций по безопасности для нетехнических пользователей

Это кажется, что можно быть человеком за пределами IT, пытающегося обучить коллег. В то время как это - хорошая вещь и что-то, что я поощрил бы, Ваш отдел ИТ должен управлять стандартами обеспечения защиты и политиками.

Это обучение должно служить средством укрепить и уже рассказать о причинах позади политики безопасности на месте. Если нет записанного документа политики безопасности, должно быть.

Многие вещи, которые Вы перечисляете, не должны быть в рамках управления конечных пользователей. Например, среднее число меньше технического конечного пользователя не должно мочь установить программное обеспечение на их рабочей станции. Я подозреваю, что существует многочисленная поддержка, конфигурация и вредоносные проблемы в компании, которая могла легко быть предотвращена политикой, если они могут.

Если основные принципы уже не записаны и осуществлены политикой IT, это проблемы, которые должны быть решены прежде, чем попытаться обучить пользователей. Часть конечного пользователя сфокусировалась, политики включают:

• Наименьшее количество полномочий, необходимых для выполнения функции задания
• Обновления программного обеспечения, автоматически выполненные с вниманием к угрозе безопасности
• Стандарты обеспечения защиты осуществляются политикой (IE. Настройки веб-браузера)
• Истечение пароля (90 дней)
• Осуществление надежности пароля (Алфавитно-цифровой, смешанный случай, 9 + символы, и так далее)
• Не мог использовать последние 5 паролей
• Портативное устройство (ноутбук) шифрование хранилища
• Политика классификации данных
• Обработка диктовки политики ограниченные и конфиденциальные данные, как определено в политике классификации.
• Политика распоряжения данных
• Политика доступа к данным
• Политика портативного устройства

Существует несметное число дополнительных политик и процедур, которые относятся и к надлежащей разработке и к техническому обслуживанию в инфраструктурных группах. (Контроль изменений, обзор кода, системные стандарты, и многое другое.)

После того, как вся основа существует, сотрудникам нужно предоставить копии записанной политики безопасности, и обучение, окружающее ту политику, также было бы соответствующим. Это покрыло бы лучшие практики конечного пользователя, и осуществленные технически и нет. Некоторые из них включают:

• Обработка ограниченной и конфиденциальной информации как часть бизнеса.
  • Не посылайте по электронной почте или передавайте незашифрованный, избавляйтесь правильно и так далее.
• Обработка паролей.
  • Не оставляйте записанными под клавиатурой, на сообщении она отмечает, доля, и так далее.
• Не совместно используйте данные аутентификации или учетные записи. (Снова)
• Не оставляйте рабочие станции разблокированными или свойство компании (данные) незащищенный (ноутбуки)
• Не запускайте программное обеспечение без соображения
  • Такой как почтовые вложения.
• Риски и сценарии, окружающие социальную инженерию
• Текущие вредоносные тенденции, применимые к бизнесу или промышленности.
• Политики и риски, характерные для бизнеса или промышленности.
• Общее образование, относительно как (если) они контролируются
• Как IT осуществляет политику безопасности технически и административно.

Примеры DSS PCI много лучших практик относительно политики безопасности. Кроме того, книга Практика Систем и Администрирования сети касается фундаментальных лучших практик относительно безопасности IT-систем.

Моя главная подсказка (что мне медленно удается учить людей) является изменением Вашего № 1:

Знайте, как проверить, куда электронное письмо действительно прибывает из, и проверьте любое сообщение, это - наименее разрядное странное.

Для Outlook, который означает знать, как отобразить интернет-заголовки и что означают Полученные - От строк.

Для нетехнического штата, загружая и устанавливая программное обеспечение не (и я сказал бы, не должен быть), опция, у них не должно быть доступа администратора для установки программного обеспечения. Даже для программисты, которым мы действительно даем доступ администратора к, мы сильно, сильно убедите их свериться с IT прежде, чем загрузить и установить.

Для паролей я всегда повторяю совет Bruce Schneier: пароли должны быть достаточно сильными, чтобы делать некоторое хорошее, и иметь дело с трудностью, помня их можно записать их на листке бумаги и сохранить, это в кошельке - рассматривает карту пароля как кредитная карта и знает, как отменить (изменяют) их, если Вы теряете свой кошелек.

В зависимости от того, сколько ноутбуков Вы имеете и как Вы создаете резервную копию их, я включал бы подсказку о хранении данных по безопасным ноутбукам. Если Вы не имеете в распоряжении систему для поддержки/копировать данных по ноутбукам к сети, Вы должны, и если у Вас действительно есть система, необходимо удостовериться, что пользователи портативных компьютеров знают, как это работает. Потерянный или украденный ноутбук, полный данных, - по крайней мере - боль в заднице.

Определите то, что слабый и сильный пароль и дают им некоторые хорошие способы придумать и помнить сильные пароли.

Ваша вторая точка, кажется, указывает, что пользователям разрешают установить программное обеспечение на их компьютерах. Я сказал бы, что это - проблема в большинстве случаев. Но если им позволяют установить программное обеспечение затем, это - положительная сторона для покрытия.

Удостоверьтесь, что у Вас есть примеры социальной инженерии. Это помогает им знать, что искать и пугает их немного, чтобы быть более параноидальным. Мне нравится просить, чтобы люди думали о том, что они сделали бы, если бы они нашли карту флэш-памяти USB на тротуаре недалеко от офиса. Большинство честных людей взяло бы его и включило бы его в их компьютер, чтобы видеть, определит ли что-то на диске, кто владелец. Большинство нечестных людей сделает то же самое..., но вероятно только видеть, существует ли что-либо хорошее на нем прежде, чем стереть его для использования его. Любой случай через автозапуск, злонамеренный PDF, и т.д. это - довольно простой способ владеть компьютером в компании по Вашему выбору, установить регистратор нажатия клавиш, и т.д.

Что относительно

• Сохраните свою ОС и приложения полностью актуальными. Это включает основные версии также, по крайней мере, после того как основная версия имела несколько месяцев для назревания. Полностью исправленный XP SP3, выполняющий полностью исправленный IE6, еще намного менее безопасен, чем Windows 7, выполняющий IE8 (или еще лучше, Chrome).
• Избегайте популярных Ose и приложений - они, намного более вероятно, будут использованы. Если можно избежать ключевой Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime), и Adobe (Flash, читатель PDF) продукты, Вы, намного менее вероятно, будете скомпрометированы подавляющим большинством активного использования там.
• Сохраните свой антивирус (комплект антивируса) актуальный и сканирующий регулярно.
• Усовершенствуйте свой персональный брандмауэр и выполнение.
• Используйте безопасные почтовые протоколы (т.е. удостоверьтесь, что Ваш POP/IMAP/SMTP защищается от SSL).
• Не включайте совместный доступ к файлам Windows (SMB) или sshd (это - два самых подвергшихся нападению порта).
• Включите шифрование WPA2 на своей домашней сети Wi-Fi.
• Даже не посещайте ненадежные веб-сайты.

У Вас есть хорошее начало, но поскольку другие упомянули, что Вы запускаете в неблагоприятных условиях, если пользователи могут установить программное обеспечение. Я не предложил бы использовать download.com; вместо этого, пользователи должны попросить у IT программы, которая решает их проблему вместо того, чтобы пытаться найти ту сами (если большинство не разработчики или довольно опытный). Удаление прав администратора решает эту проблему.

Дополнения:

1. Используйте различные пароли для большинства сайтов и используйте Пароль, Безопасный из некоторого вида отслеживать их (KeePass, PWSafe, и т.д.). Обход через, как электронная почта MediaDefender была взломана и спрашивает пользователей, какие меры предотвратили бы проникновение. Никогда не используйте свой пароль пользователя в домене работы больше нигде и не пересылайте почту компании через недоверяемые системы.
2. Выберите прилично сложные пароли. Сделайте живую трещину с помощью John Превосходный человек на демонстрационном хэше пароля (удостоверьтесь, что получили разрешение использовать инструменты IN WRITING взламывания от компании сначала, в случае, если люди слишком остро реагируют). При показе пользователям, что 'PRISCILLA1' взламывается в <2 секунды являются сенсационным сообщением. Мы используем Средство обеспечения выполнения Политики паролей Anixis здесь, чтобы удостовериться, что паршивые пароли не входят.
3. Не включайте ничего, что не предоставляется Вам IT. Проиллюстрируйте тезис путем включения карты с интерфейсом USB Клавиатурного перехватчика, или одно автоматическое выполнение троянца (автоматически выполненный должен быть отключен, но это - другая история).
4. Предположите, что весь трафик во всех сетях прослежен и зарегистрирован в обоих концах, даже если зашифрованный для предотвращения нападений на MitM. WikiScanner является хорошим примером использования IP-адресов к пальцу, кто сделал "анонимные" редактирования.