Je donne une présentation plus tard cette semaine au personnel de l'entreprise où je travaille. L'objectif de la présentation est de servir de rappel / rappel des bonnes pratiques qui peuvent aider à garder notre réseau sécurisé. Le public est composé à la fois de programmeurs et de personnel non technique, de sorte que la présentation est destinée aux utilisateurs non techniques.
Je veux qu'une partie de cette présentation soit une liste de "conseils". La liste doit être courte (pour encourager la mémoire) et être spécifique et pertinente pour l'utilisateur.
J'ai jusqu'à présent les cinq éléments suivants:
- N'ouvrez jamais une pièce jointe à laquelle vous ne vous attendiez pas
- Télécharger uniquement des logiciels à partir d'une source fiable, comme download.com
- Ne distribuez pas de mots de passe lorsque demandé par téléphone ou par e-mail
- Méfiez-vous de l'ingénierie sociale
- Ne stockez pas de données sensibles sur un serveur FTP
Quelques clarifications:
- C'est pour notre réseau de travail
- Ces conseils doivent être des «meilleures pratiques» pour l'utilisateur final, et non une politique informatique
- Nous avons des sauvegardes, des correctifs de système d'exploitation, un pare-feu, AV, etc., tous gérés de manière centralisée
- C'est pour une petite entreprise (moins de 25 personnes)
J'ai deux questions:
- Suggérez-vous des éléments supplémentaires?
- Suggérez-vous des modifications aux éléments existants?
Réponses:
Il semble que vous soyez une personne extérieure au service informatique qui tente d'éduquer vos pairs. Bien que ce soit une bonne chose et quelque chose que j'encouragerais, votre service informatique devrait appliquer les normes et politiques de sécurité.
Cette formation devrait servir de moyen pour renforcer et éduquer sur les raisons des politiques de sécurité déjà en place. S'il n'y a pas de document écrit de politique de sécurité, il devrait y en avoir.
La plupart des éléments que vous répertoriez ne doivent pas être sous le contrôle des utilisateurs finaux. Par exemple, l'utilisateur final moins technique ne devrait pas être en mesure d'installer de logiciel sur son poste de travail. Je soupçonne que de nombreux problèmes de support, de configuration et de logiciels malveillants au sein de l'entreprise pourraient facilement être évités par la politique s'ils le pouvaient.
Si les principes fondamentaux ne sont pas déjà écrits et appliqués par la politique informatique, ce sont des problèmes qui doivent être résolus avant de tenter d'éduquer les utilisateurs. Certaines des politiques axées sur l'utilisateur final comprennent:
Il existe une multitude de politiques et de procédures supplémentaires qui s'appliquent à la fois au développement et à la maintenance technique au sein des groupes d'infrastructure. (Contrôle des modifications, révision du code, normes du système et bien plus encore.)
Une fois que toutes les bases sont en place, les employés devraient recevoir des copies de la politique de sécurité écrite et une formation sur cette politique serait également appropriée. Cela couvrirait les meilleures pratiques des utilisateurs finaux, appliquées à la fois techniquement et non. Certains d'entre eux comprennent:
Le PCI DSS présente de nombreuses bonnes pratiques concernant les politiques de sécurité. En outre, le livre intitulé Practice of Systems and Network Administration couvre les meilleures pratiques fondamentales en matière de sécurité informatique.
la source
Mon meilleur conseil (que je parviens lentement à enseigner aux gens) est une variation de votre n ° 1:
Pour Outlook, cela signifie savoir comment afficher les en-têtes Internet et ce que signifient les lignes Received-From.
Pour le personnel non technique, le téléchargement et l'installation de logiciels ne sont pas (et je dirais que cela ne devrait pas être) une option, ils ne devraient pas avoir un accès administrateur pour installer les logiciels. Même pour les programmeurs auxquels nous accordons un accès administrateur, nous leur demandons fortement, fortement de vérifier auprès du service informatique avant de télécharger et d'installer.
Pour les mots de passe, je répète toujours les conseils de Bruce Schneier: les mots de passe doivent être assez forts pour faire du bien, et pour faire face à la difficulté de s'en souvenir, vous pouvez les écrire sur un morceau de papier et le garder dans votre portefeuille - traitez votre carte de mot de passe comme une carte de crédit et sachez comment les annuler (les changer) si vous perdez votre portefeuille.
Selon le nombre d'ordinateurs portables que vous possédez et la façon dont vous les sauvegardez, j'inclurais une astuce pour protéger les données des ordinateurs portables. Si vous n'avez pas de système en place pour sauvegarder / répliquer les données des ordinateurs portables sur votre réseau, vous devriez, et si vous avez un système, vous devez vous assurer que les utilisateurs d'ordinateurs portables savent comment cela fonctionne. Un ordinateur portable perdu ou volé plein de données est - à tout le moins - une douleur dans le cul.
la source
Définissez ce qu'est un mot de passe faible et fort et donnez-leur de bons moyens de trouver et de mémoriser des mots de passe forts.
Votre deuxième point semble indiquer que les utilisateurs sont autorisés à installer des logiciels sur leurs ordinateurs. Je dirais que c'est un problème dans la plupart des cas. Mais s'ils sont autorisés à installer des logiciels, c'est un bon point à couvrir.
Assurez-vous d'avoir des exemples d'ingénierie sociale. Cela les aide à savoir quoi chercher et leur fait un peu peur d'être plus paranoïaques. J'aime demander aux gens de réfléchir à ce qu'ils feraient s'ils trouvaient une clé USB sur le trottoir juste à l'extérieur du bureau. La plupart des gens honnêtes le ramasseraient et le brancheraient sur leur ordinateur pour voir si quelque chose sur le lecteur identifierait qui est le propriétaire. La plupart des gens malhonnêtes feront la même chose ... mais probablement juste pour voir s'il y a quelque chose de bon dessus avant de l'effacer pour l'utiliser. Dans les deux cas, via l'exécution automatique, les fichiers PDF malveillants, etc., c'est un moyen assez simple de posséder un ordinateur dans une entreprise de votre choix, d'installer un enregistreur de frappe, etc.
la source
Qu'en est-il de
la source
Vous avez un bon départ, mais comme d'autres l'ont mentionné, vous commencez à être désavantagé si les utilisateurs peuvent installer des logiciels. Je ne suggérerais pas d'utiliser download.com; au lieu de cela, les utilisateurs devraient demander au service informatique un programme qui résout leur problème plutôt que d'essayer d'en trouver un eux-mêmes (sauf si la plupart sont des développeurs ou assez avertis). La suppression des droits d'administrateur résout ce problème.
Ajouts:
la source