I dieci consigli di sicurezza per utenti non tecnici

10

Questa settimana darò una presentazione allo staff dell'azienda dove lavoro. L'obiettivo della presentazione è servire da aggiornamento / promemoria delle buone pratiche che possono aiutare a proteggere la nostra rete. Il pubblico è composto sia da programmatori che da personale non tecnico, quindi la presentazione è orientata agli utenti non tecnici.

Voglio che parte di questa presentazione sia la prima lista di "suggerimenti". L'elenco deve essere breve (per incoraggiare la memoria) ed essere specifico e pertinente per l'utente.

Finora ho i seguenti cinque articoli:

  • Non aprire mai un allegato che non ti aspettavi
  • Scarica solo software da una fonte attendibile, come download.com
  • Non distribuire le password quando richiesto via telefono o e-mail
  • Diffidare di ingegneria sociale
  • Non archiviare dati riservati su un server FTP

Alcuni chiarimenti:

  • Questo è per la nostra rete di lavoro
  • Questi devono essere suggerimenti "best practice" per l'utente finale, non criteri IT
  • Abbiamo backup, patch del sistema operativo, firewall, AV, ecc., Tutti gestiti a livello centrale
  • Questo è per una piccola impresa (meno di 25 persone)

Ho due domande:

  1. Suggerisci altri elementi?
  2. Suggerisci qualche modifica agli articoli esistenti?
networking  security  desktop-management 
Justin
fonte
1
Questa domanda appartiene a superuser.com - e per lo meno dovrebbe essere Community Wiki
Mark Henderson
Supponendo che questo sia parte della politica di sicurezza del dipartimento IT, non sono d'accordo. Il mio dipartimento IT ha scritto parte del materiale e istruito il personale addetto alla formazione per la formazione annuale sulla sicurezza degli utenti finali.
Warner,
3
Per lo meno è solo un'altra versione di "Your Favorite (x)", che in realtà dovrebbe essere wiki della community
Mark Henderson
@Farseeker: sono d'accordo.
@Farseeker - questa non è una domanda superuser.com. Questo è per una rete di lavoro.
Giustino,

Risposte:

7

Sembra che tu possa essere una persona al di fuori dell'IT che tenta di educare i tuoi colleghi. Sebbene questa sia una cosa positiva e una cosa che incoraggio, il vostro reparto IT dovrebbe guidare gli standard e le politiche di sicurezza.

Questa formazione dovrebbe servire come mezzo per rafforzare ed educare sui motivi alla base delle politiche di sicurezza già in atto. Se non è presente un documento scritto sulla politica di sicurezza, dovrebbe esserci.

Molte delle cose che elenchi non dovrebbero essere sotto il controllo degli utenti finali. Ad esempio, l'utente medio meno tecnico non dovrebbe essere in grado di installare software sulla propria workstation. Ho il sospetto che ci siano numerosi problemi di supporto, configurazione e malware all'interno dell'azienda che potrebbero essere facilmente evitati dalla politica, se possibile.

Se i fondamenti non sono già scritti e applicati dalla politica IT, questi sono problemi che dovrebbero essere affrontati prima di tentare di educare gli utenti. Alcune delle politiche incentrate sull'utente finale includono:

  • Minimi privilegi necessari per eseguire la funzione di lavoro
  • Gli aggiornamenti del software vengono eseguiti automaticamente con attenzione ai rischi per la sicurezza
  • Standard di sicurezza applicati dalla politica (IE. Impostazioni del browser Web)
  • Scadenza password (90 giorni)
  • Applicazione della forza della password (alfanumerica, maiuscole / minuscole, 9+ caratteri, ecc.)
  • Impossibile utilizzare le ultime 5 password
  • Crittografia di archiviazione di dispositivi portatili (laptop)
  • Politica di classificazione dei dati
  • Politica che determina la gestione di dati riservati e riservati come definito nella politica di classificazione.
  • Politica di smaltimento dei dati
  • Politica di accesso ai dati
  • Criterio del dispositivo portatile

Esistono una miriade di politiche e procedure aggiuntive che si applicano sia allo sviluppo adeguato sia alla manutenzione tecnica all'interno dei gruppi di infrastrutture. (Controllo delle modifiche, revisione del codice, standard di sistema e molto altro.)

Dopo che tutte le fondazioni saranno state istituite, ai dipendenti dovrebbero essere fornite copie della politica di sicurezza scritta e anche la formazione relativa a tale politica sarebbe appropriata. Ciò coprirebbe le migliori pratiche dell'utente finale sia applicate tecnicamente che non. Alcuni di questi includono:

  • Gestione delle informazioni riservate e riservate come parte dell'azienda.
    • Non inviare e-mail o trasmettere senza crittografia, smaltire correttamente, eccetera.
  • Gestione delle password.
    • Non lasciare scritto sotto la tastiera, su post-it notes, condividi, eccetera.
  • Non condividere account o dati di autenticazione. (Ancora)
  • Non lasciare le workstation sbloccate o la proprietà dell'azienda (dati) non protetta (laptop)
  • Non eseguire software senza considerazione
    • Come allegati di posta elettronica.
  • Rischi e scenari relativi all'ingegneria sociale
  • Tendenze attuali del malware applicabili all'azienda o al settore.
  • Politiche e rischi specifici per l'azienda o l'industria.
  • Formazione generale su come (se) sono monitorati
  • In che modo l'IT applica le politiche di sicurezza a livello tecnico e amministrativo.

Il PCI DSS illustra molte best practice relative alle politiche di sicurezza. Inoltre, il libro Practice of Systems and Network Administration tratta le migliori pratiche fondamentali in materia di sicurezza IT.

Ammonitore
fonte
Perché è stato votato in giù?
Warner,
Grazie per la risposta premurosa. Abbiamo buone politiche, ecc., Che sono firmate. Per essere chiari, sto cercando un buon elenco di suggerimenti utili per favorire comportamenti che aumentano la sicurezza degli utenti finali. (Non abbiamo problemi di malware / virus, ecc. Non capisco tutta la confusione di essere un amministratore locale. A partire da un articolo che ho letto qualche anno fa questa è l'impostazione predefinita come MSFT corp.)
Justin
Il voto negativo è stato un mio errore, ma non riesco a cambiarlo. Penso che se modifichi la tua risposta (aggiungi uno spazio o qualcosa del genere) posso risolvere questo problema.
Giustino,
Ah fantastico, grazie. È stato un po 'scoraggiante! Ho trascorso un po 'di tempo sulla mia risposta. Per quanto riguarda l'amministrazione locale, sono in qualche modo d'accordo con te. Dipende dall'azienda e dall'ambiente tecnologico. A volte è stato dimostrato che gli utenti finali stanno bene con l'amministratore in società tecniche o gruppi altamente tecnici. Ho visto lavorare entrambi i lati dello spettro. Un mio collega è responsabile di una intranet composta da dipendenti privi di competenze tecniche e l'azienda richiede di disporre di un amministratore, in cui deve gestire regolarmente problemi di malware su diverse scale.
Warner,
Nessun problema, l'ho risolto :)
l0c0b0x
2

Il mio consiglio principale (che sto lentamente riuscendo a insegnare alle persone) è una variazione del tuo numero 1:

Sapere come controllare da dove proviene un'e-mail e controllare qualsiasi messaggio che sia almeno un po 'strano.

Per Outlook, ciò significa sapere come visualizzare le intestazioni di Internet e il significato delle righe Da-ricevute.

Per il personale non tecnico, il download e l'installazione di software non è (e direi che non dovrebbe essere) un'opzione, non dovrebbero avere accesso come amministratore per installare il software. Anche per i programmatori a cui diamo accesso come amministratore, li consigliamo vivamente di verificare con l'IT prima di scaricare e installare.

Per le password, ripeto sempre il consiglio di Bruce Schneier: le password dovrebbero essere abbastanza forti da fare del bene, e per far fronte alla difficoltà di ricordarle puoi scriverle su un foglio di carta e tenerle nel tuo portafoglio - tratta la tua password come una carta di credito e sapere come cancellarle (cambiarle) in caso di smarrimento del portafoglio.

A seconda di quanti laptop hai e di come esegui il backup, includerei un suggerimento su come proteggere i dati sui laptop. Se non disponi di un sistema per eseguire il backup / replica dei dati sui laptop nella tua rete, dovresti, e se disponi di un sistema, assicurati che gli utenti dei laptop sappiano come funziona. Un laptop smarrito o rubato pieno di dati è - almeno - un dolore nel culo.

Ward: ripristina Monica
fonte
Grazie. Disponiamo di buoni backup. Distribuiremo condivisioni TrueCrypt per proteggere i dati sui laptop. Password forti + esempi meritano sicuramente una menzione. Grazie.
Giustino,
Se vuoi convincermi che un'e-mail è autentica, includi del testo nel corpo, in modo che io possa collegarlo a te.
David Thornley,
2

Definisci che cos'è una password debole e sicura e dai loro alcuni buoni modi per inventare e ricordare password complesse.

Il secondo punto sembra indicare che agli utenti è consentito installare software sui propri computer. Direi che è un problema nella maggior parte dei casi. Ma se è permesso loro di installare software, allora è un buon punto da considerare.

Assicurati di avere esempi di ingegneria sociale. Questo li aiuta a sapere cosa cercare e li spaventa un po 'per essere più paranoici. Mi piace chiedere alle persone di pensare a cosa farebbero se trovassero una chiavetta USB sul marciapiede appena fuori dall'ufficio. La maggior parte delle persone oneste lo raccolgono e lo collegano al proprio computer per vedere se qualcosa sull'unità identificherà chi è il proprietario. La maggior parte delle persone disoneste farà la stessa cosa ... ma probabilmente solo per vedere se c'è qualcosa di buono prima di cancellarlo per usarlo. In entrambi i casi tramite esecuzione automatica, file PDF dannosi, ecc. È un modo abbastanza semplice per possedere un computer all'interno di un'azienda di tua scelta, installare un registratore di tasti, ecc.

3dinfluence
fonte
Il tuo esempio di chiave USB è buono, un avvertimento sull'uso e l'uso improprio delle chiavi USB dovrebbe probabilmente essere uno dei suoi consigli.
Ward - Ripristina Monica
Grazie. Ri: esempi di social enginerring, sì, di solito mi piace parlare degli appunti + dell'invisibilità della tuta da lavoro. L'USB è un ottimo esempio.
Giustino,
2

Che dire

  • Mantieni il tuo sistema operativo e le tue app completamente aggiornati. Questo include anche le versioni principali, almeno una volta che una versione principale ha avuto alcuni mesi per maturare. Un XP SP3 con patch completo che esegue un IE6 con patch completo è ancora molto meno sicuro di Windows 7 con IE8 (o meglio ancora, Chrome).
  • Evita i sistemi operativi e le app più diffusi: è molto più probabile che vengano sfruttati. Se riesci a evitare i principali prodotti Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) e Adobe (Flash, lettore PDF), avrai molte meno probabilità di essere compromesso dalla stragrande maggioranza di exploit attivi là fuori.
  • Mantieni aggiornato il tuo antivirus (suite anti-malware) e scansiona regolarmente.
  • Mantieni il tuo firewall personale aggiornato e funzionante.
  • Utilizzare protocolli di posta elettronica sicuri (ovvero assicurarsi che POP / IMAP / SMTP siano protetti con SSL).
  • Non abilitare la condivisione di file di Windows (SMB) o sshd (queste sono le due porte più attaccate).
  • Abilita la crittografia WPA2 sulla tua rete Wi-Fi domestica.
  • Non visitare siti Web inaffidabili.
spiff
fonte
Suppongo che la domanda riguardi una rete aziendale, quindi aggiornamenti, impostazioni AV, wireless e firewall dovrebbero essere il problema dell'IT piuttosto che dell'utente.
Bene, sembra essere una rete aziendale in cui consentono agli utenti di scaricare / installare il proprio software, dato il suggerimento "Scarica solo software da una fonte attendibile, come download.com" nella domanda originale. Quindi penso che il mio consiglio su come mantenere aggiornato il tuo software sia importante. Inoltre, molti corpi consentono ai computer portatili di proprietà di andare a casa (e viaggiare) con gli utenti, quindi anche la sicurezza della rete domestica è valida.
Spiff
Questa è la nostra rete di lavoro, sì. Patch, firewall, backup, ecc. Sono tutti curati a livello di team GPO / IT. Gli aggiornamenti per il proprio software, tuttavia, sono importanti. Lo citerò.
Giustino,
+ Un sito Web non affidabile è buono.
Giustino,
1

Hai un buon inizio, ma come altri hanno già detto che stai iniziando in svantaggio se gli utenti possono installare software. Non consiglierei di utilizzare download.com; invece, gli utenti dovrebbero chiedere all'IT un programma che risolva il loro problema piuttosto che cercare di trovarne uno da soli (a meno che la maggior parte non sia sviluppatori o abbastanza esperto). La rimozione dei diritti di amministratore risolve questo problema.

aggiunte:

  1. Usa password diverse per la maggior parte dei siti e usa una password sicura di qualche tipo per tenerne traccia (KeePass, PWSafe, ecc.). Scopri come l'email di MediaDefender è stata violata e chiedi agli utenti quali misure avrebbero impedito l'intrusione. Non utilizzare mai la password del dominio di lavoro da nessun'altra parte e non inoltrare la posta / il traffico dell'azienda attraverso sistemi non attendibili.
  2. Scegli password decentemente complesse. Fai un crack live usando John the Ripper su un hash di password di esempio (assicurati di ottenere prima il permesso di utilizzare gli strumenti di cracking IN SCRITTURA dalla società, nel caso in cui le persone reagiscano in modo eccessivo). Mostrare agli utenti che "PRISCILLA1" è rotto in <2 secondi è un apri gli occhi. Usiamo qui Anixis 'Password Policy Enforcer' per assicurarci che le password scadenti non entrino.
  3. Non collegare nulla che non sia fornito dall'IT. Illustra il punto inserendo una chiavetta USB Keylogger o una esecuzione automatica di un Trojan (l'autorun dovrebbe essere disabilitato, ma questa è un'altra storia).
  4. Supponiamo che tutto il traffico su tutte le reti sia monitorato e registrato ad entrambe le estremità, anche se crittografato per prevenire attacchi MitM. WikiScanner è un buon esempio di utilizzo di indirizzi IP per finger che hanno fatto modifiche "anonime".
hurfdurf
fonte
Siamo una piccola impresa, quindi non abbiamo un reparto IT a tempo pieno. Buoni consigli, però. Grazie.
Giustino,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.