Saya akan memberikan presentasi akhir minggu ini kepada staf di perusahaan tempat saya bekerja. Tujuan dari presentasi ini adalah untuk menjadi penyegar / pengingat praktik-praktik baik yang dapat membantu menjaga keamanan jaringan kami. Audiensi terdiri dari programmer dan staf non-teknis, sehingga presentasi disesuaikan untuk pengguna non-teknis.
Saya ingin bagian dari presentasi ini menjadi daftar teratas "tips". Daftar harus pendek (untuk mendorong memori) dan spesifik dan relevan bagi pengguna.
Sejauh ini saya memiliki lima item berikut:
- Jangan pernah membuka lampiran yang tidak Anda harapkan
- Hanya unduh perangkat lunak dari sumber tepercaya, seperti unduh.com
- Jangan mendistribusikan kata sandi saat diminta melalui telepon atau email
- Waspada terhadap rekayasa sosial
- Jangan menyimpan data sensitif di server FTP
Beberapa klarifikasi:
- Ini untuk jaringan kerja kami
- Ini perlu kiat "praktik terbaik" untuk pengguna akhir, bukan kebijakan TI
- Kami memiliki cadangan, tambalan OS, firewall, AV, dll, semua dikelola secara terpusat
- Ini untuk bisnis kecil (kurang dari 25 orang)
Saya punya dua pertanyaan:
- Apakah Anda menyarankan item tambahan?
- Apakah Anda menyarankan perubahan pada item yang ada?
Jawaban:
Sepertinya Anda mungkin orang di luar TI yang berusaha mendidik rekan-rekan Anda. Meskipun ini adalah hal yang baik dan sesuatu yang saya dorong, departemen TI Anda harus mengendalikan standar dan kebijakan keamanan.
Pelatihan ini harus berfungsi sebagai sarana untuk menegakkan kembali dan mendidik tentang alasan di balik kebijakan keamanan yang sudah ada. Jika tidak ada dokumen kebijakan keamanan tertulis, harus ada.
Banyak hal yang Anda daftarkan seharusnya tidak berada dalam kendali pengguna akhir. Sebagai contoh, rata-rata pengguna akhir yang kurang teknis seharusnya tidak dapat menginstal perangkat lunak pada workstation mereka. Saya menduga ada banyak dukungan, konfigurasi, dan masalah malware di dalam perusahaan yang dapat dengan mudah dicegah dengan kebijakan jika mereka bisa.
Jika dasar-dasarnya belum ditulis dan ditegakkan oleh kebijakan TI, ini adalah masalah yang harus diatasi sebelum mencoba mengedukasi para pengguna. Beberapa kebijakan yang berfokus pada pengguna akhir meliputi:
Ada segudang kebijakan dan prosedur tambahan yang berlaku untuk pengembangan yang tepat dan pemeliharaan teknis dalam kelompok infrastruktur. (Ubah kontrol, tinjauan kode, standar sistem, dan banyak lagi.)
Setelah semua fondasi ada, karyawan harus diberikan salinan kebijakan keamanan tertulis dan pelatihan seputar kebijakan itu juga akan sesuai. Ini akan mencakup praktik terbaik pengguna akhir baik ditegakkan secara teknis dan tidak. Beberapa di antaranya adalah:
The PCI DSS contoh banyak-praktek terbaik mengenai kebijakan keamanan. Selain itu, buku Praktik Sistem dan Administrasi Jaringan mencakup praktik terbaik mendasar tentang keamanan TI.
sumber
Kiat teratas saya (yang secara perlahan saya kelola untuk mengajar orang) adalah variasi dari # 1 Anda:
Untuk Outlook, itu berarti mengetahui cara menampilkan tajuk Internet dan apa arti garis Terima-Dari.
Untuk staf non-teknis, mengunduh dan menginstal perangkat lunak bukan (dan saya katakan tidak seharusnya ) suatu pilihan, mereka tidak boleh memiliki akses admin untuk menginstal perangkat lunak. Bahkan untuk programmer yang kami beri akses admin, kami sangat, sangat mendesak mereka untuk memeriksa dengan IT sebelum mengunduh dan menginstal.
Untuk kata sandi, saya selalu mengulangi saran Bruce Schneier: kata sandi harus cukup kuat untuk berbuat baik, dan untuk mengatasi kesulitan mengingatnya, Anda dapat menuliskannya di selembar kertas dan menyimpannya di dompet Anda - perlakukan kartu kata sandi Anda seperti kartu kredit dan tahu cara membatalkan (mengubahnya) jika dompet Anda hilang.
Bergantung pada berapa banyak laptop yang Anda miliki dan bagaimana Anda mencadangkannya, saya akan menyertakan tip tentang menjaga data pada laptop aman. Jika Anda tidak memiliki sistem untuk mencadangkan / mereplikasi data pada laptop ke jaringan Anda, Anda harus, dan jika Anda memiliki sistem, Anda harus memastikan pengguna laptop tahu cara kerjanya. Laptop yang hilang atau dicuri yang penuh dengan data - paling tidak - menyebalkan.
sumber
Tetapkan apa kata sandi yang lemah dan kuat dan berikan mereka beberapa cara yang baik untuk membuat dan mengingat kata sandi yang kuat.
Poin kedua Anda tampaknya menunjukkan bahwa pengguna diizinkan untuk menginstal perangkat lunak di komputer mereka. Saya akan mengatakan itu masalah dalam banyak kasus. Tetapi jika mereka diizinkan untuk menginstal perangkat lunak maka itu adalah hal yang baik untuk dibahas.
Pastikan Anda memiliki contoh rekayasa sosial. Ini membantu mereka mengetahui apa yang harus dicari dan membuat mereka sedikit takut untuk menjadi lebih paranoid. Saya suka meminta orang untuk berpikir tentang apa yang akan mereka lakukan jika mereka menemukan USB thumb drive di trotoar di luar kantor. Kebanyakan orang jujur akan mengambilnya dan menancapkannya ke komputer mereka untuk melihat apakah sesuatu pada drive akan mengidentifikasi siapa pemiliknya. Kebanyakan orang yang tidak jujur akan melakukan hal yang sama ... tetapi mungkin hanya untuk melihat apakah ada sesuatu yang baik sebelum menghapusnya untuk menggunakannya. Baik melalui autorun, pdf berbahaya, dll. Ini adalah cara yang cukup mudah untuk memiliki komputer di dalam perusahaan pilihan Anda, instal keystroke logger, dll.
sumber
Bagaimana dengan
sumber
Anda memiliki awal yang baik, tetapi seperti yang orang lain katakan Anda mulai pada posisi yang kurang menguntungkan jika pengguna dapat menginstal perangkat lunak. Saya tidak akan menyarankan menggunakan download.com; alih-alih, pengguna harus meminta TI untuk program yang memecahkan masalah mereka alih-alih mencoba menemukannya sendiri (kecuali sebagian besar adalah pengembang atau cukup ahli). Menghapus hak admin memecahkan masalah ini.
Tambahan:
sumber