Dix conseils de sécurité pour les utilisateurs non techniques

10

Je donne une présentation plus tard cette semaine au personnel de l'entreprise où je travaille. L'objectif de la présentation est de servir de rappel / rappel des bonnes pratiques qui peuvent aider à garder notre réseau sécurisé. Le public est composé à la fois de programmeurs et de personnel non technique, de sorte que la présentation est destinée aux utilisateurs non techniques.

Je veux qu'une partie de cette présentation soit une liste de "conseils". La liste doit être courte (pour encourager la mémoire) et être spécifique et pertinente pour l'utilisateur.

J'ai jusqu'à présent les cinq éléments suivants:

  • N'ouvrez jamais une pièce jointe à laquelle vous ne vous attendiez pas
  • Télécharger uniquement des logiciels à partir d'une source fiable, comme download.com
  • Ne distribuez pas de mots de passe lorsque demandé par téléphone ou par e-mail
  • Méfiez-vous de l'ingénierie sociale
  • Ne stockez pas de données sensibles sur un serveur FTP

Quelques clarifications:

  • C'est pour notre réseau de travail
  • Ces conseils doivent être des «meilleures pratiques» pour l'utilisateur final, et non une politique informatique
  • Nous avons des sauvegardes, des correctifs de système d'exploitation, un pare-feu, AV, etc., tous gérés de manière centralisée
  • C'est pour une petite entreprise (moins de 25 personnes)

J'ai deux questions:

  1. Suggérez-vous des éléments supplémentaires?
  2. Suggérez-vous des modifications aux éléments existants?
Justin
la source
1
Cette question appartient à superuser.com - et devrait à tout le moins être Community Wiki
Mark Henderson
En supposant que cela fait partie de la politique de sécurité du service informatique, je ne suis pas d'accord. Mon service informatique a rédigé une partie du matériel et a formé le formateur à la formation annuelle sur la sécurité des utilisateurs finaux.
Warner
3
À tout le moins, c'est juste une autre version de "Your Favorite (x)", qui devrait vraiment être un wiki communautaire
Mark Henderson
@ Farseeker: je suis d'accord.
@Farseeker - ce n'est pas une question superuser.com. C'est pour un réseau de travail.
Justin

Réponses:

7

Il semble que vous soyez une personne extérieure au service informatique qui tente d'éduquer vos pairs. Bien que ce soit une bonne chose et quelque chose que j'encouragerais, votre service informatique devrait appliquer les normes et politiques de sécurité.

Cette formation devrait servir de moyen pour renforcer et éduquer sur les raisons des politiques de sécurité déjà en place. S'il n'y a pas de document écrit de politique de sécurité, il devrait y en avoir.

La plupart des éléments que vous répertoriez ne doivent pas être sous le contrôle des utilisateurs finaux. Par exemple, l'utilisateur final moins technique ne devrait pas être en mesure d'installer de logiciel sur son poste de travail. Je soupçonne que de nombreux problèmes de support, de configuration et de logiciels malveillants au sein de l'entreprise pourraient facilement être évités par la politique s'ils le pouvaient.

Si les principes fondamentaux ne sont pas déjà écrits et appliqués par la politique informatique, ce sont des problèmes qui doivent être résolus avant de tenter d'éduquer les utilisateurs. Certaines des politiques axées sur l'utilisateur final comprennent:

  • Moins de privilèges nécessaires pour exécuter la fonction de travail
  • Mises à jour logicielles effectuées automatiquement en tenant compte des risques de sécurité
  • Normes de sécurité appliquées par la politique (IE. Paramètres du navigateur Web)
  • Expiration du mot de passe (90 jours)
  • Application de la force du mot de passe (alphanumérique, casse mixte, 9+ caractères, et cetera)
  • Impossible d'utiliser les 5 derniers mots de passe
  • Cryptage de stockage des périphériques portables (ordinateurs portables)
  • Politique de classification des données
  • Politique dictant le traitement des données restreintes et confidentielles telles que définies dans la politique de classification.
  • Politique d'élimination des données
  • Politique d'accès aux données
  • Politique relative aux appareils portables

Il existe une multitude de politiques et de procédures supplémentaires qui s'appliquent à la fois au développement et à la maintenance technique au sein des groupes d'infrastructure. (Contrôle des modifications, révision du code, normes du système et bien plus encore.)

Une fois que toutes les bases sont en place, les employés devraient recevoir des copies de la politique de sécurité écrite et une formation sur cette politique serait également appropriée. Cela couvrirait les meilleures pratiques des utilisateurs finaux, appliquées à la fois techniquement et non. Certains d'entre eux comprennent:

  • Traitement des informations restreintes et confidentielles dans le cadre de l'entreprise.
    • N'envoyez pas de courrier électronique ou ne transmettez pas non chiffré, éliminez-le correctement, etc.
  • Gestion des mots de passe.
    • Ne laissez pas écrit sous le clavier, sur des notes post-it, partagez, et cetera.
  • Ne partagez pas de comptes ou de données d'authentification. (Encore)
  • Ne laissez pas les postes de travail déverrouillés ou les biens de l'entreprise (données) non sécurisés (ordinateurs portables)
  • Ne pas exécuter de logiciel sans considération
    • Telles que les pièces jointes aux e-mails.
  • Risques et scénarios liés à l'ingénierie sociale
  • Tendances actuelles des logiciels malveillants applicables à l'entreprise ou à l'industrie.
  • Politiques et risques spécifiques à l'entreprise ou à l'industrie.
  • Formation générale sur la façon dont (si) ils sont surveillés
  • Comment l'informatique applique les politiques de sécurité techniquement et administrativement.

Le PCI DSS présente de nombreuses bonnes pratiques concernant les politiques de sécurité. En outre, le livre intitulé Practice of Systems and Network Administration couvre les meilleures pratiques fondamentales en matière de sécurité informatique.

Warner
la source
Pourquoi ce vote a-t-il été rejeté?
Warner
Merci pour la réponse réfléchie. Nous avons de bonnes politiques, etc., qui sont signées. Pour être clair, je recherche une bonne liste de conseils pour aider à favoriser un comportement qui renforce la sécurité des utilisateurs finaux. (Nous n'avons pas de problèmes de logiciels malveillants / virus, etc. Je ne comprends pas tout le tracas d'être un administrateur local. Dans un article que j'ai lu il y a quelques années, il s'agit du paramètre par défaut en tant que corp MSFT.)
Justin
Le vote négatif a été mon erreur, mais je n'arrive pas à le changer. Je pense que si vous modifiez votre réponse (ajoutez un espace ou quelque chose), je peux résoudre ce problème.
Justin
Ah cool, merci. C'était un peu décourageant! J'ai passé un peu de temps sur ma réponse. En ce qui concerne l'administration locale, je suis un peu d'accord avec vous. Cela dépend de l'environnement de l'entreprise et de la technologie. Il a été démontré que les utilisateurs finaux sont parfois d'accord avec l'administrateur dans les sociétés techniques ou les groupes hautement techniques. J'ai vu les deux côtés du spectre fonctionner. Un de mes collègues est responsable d'un intranet qui est composé d'employés sans compétences techniques et l'entreprise nécessite qu'ils aient un administrateur, où il doit régulièrement gérer les problèmes de logiciels malveillants à différentes échelles.
Warner
Pas de soucis, je l'ai réparé :)
l0c0b0x
2

Mon meilleur conseil (que je parviens lentement à enseigner aux gens) est une variation de votre n ° 1:

Sachez vérifier d'où provient réellement un e-mail et vérifier tout message le moins étrange.

Pour Outlook, cela signifie savoir comment afficher les en-têtes Internet et ce que signifient les lignes Received-From.

Pour le personnel non technique, le téléchargement et l'installation de logiciels ne sont pas (et je dirais que cela ne devrait pas être) une option, ils ne devraient pas avoir un accès administrateur pour installer les logiciels. Même pour les programmeurs auxquels nous accordons un accès administrateur, nous leur demandons fortement, fortement de vérifier auprès du service informatique avant de télécharger et d'installer.

Pour les mots de passe, je répète toujours les conseils de Bruce Schneier: les mots de passe doivent être assez forts pour faire du bien, et pour faire face à la difficulté de s'en souvenir, vous pouvez les écrire sur un morceau de papier et le garder dans votre portefeuille - traitez votre carte de mot de passe comme une carte de crédit et sachez comment les annuler (les changer) si vous perdez votre portefeuille.

Selon le nombre d'ordinateurs portables que vous possédez et la façon dont vous les sauvegardez, j'inclurais une astuce pour protéger les données des ordinateurs portables. Si vous n'avez pas de système en place pour sauvegarder / répliquer les données des ordinateurs portables sur votre réseau, vous devriez, et si vous avez un système, vous devez vous assurer que les utilisateurs d'ordinateurs portables savent comment cela fonctionne. Un ordinateur portable perdu ou volé plein de données est - à tout le moins - une douleur dans le cul.

Ward - Rétablir Monica
la source
Merci. Nous avons de bonnes sauvegardes en place. Nous allons déployer des partages TrueCrypt pour protéger les données sur les ordinateurs portables. Des mots de passe forts et des exemples valent vraiment la peine d'être mentionnés. Merci.
Justin
Si vous voulez me convaincre qu'un email est authentique, incluez du texte dans le corps, afin que je puisse le connecter avec vous.
David Thornley
2

Définissez ce qu'est un mot de passe faible et fort et donnez-leur de bons moyens de trouver et de mémoriser des mots de passe forts.

Votre deuxième point semble indiquer que les utilisateurs sont autorisés à installer des logiciels sur leurs ordinateurs. Je dirais que c'est un problème dans la plupart des cas. Mais s'ils sont autorisés à installer des logiciels, c'est un bon point à couvrir.

Assurez-vous d'avoir des exemples d'ingénierie sociale. Cela les aide à savoir quoi chercher et leur fait un peu peur d'être plus paranoïaques. J'aime demander aux gens de réfléchir à ce qu'ils feraient s'ils trouvaient une clé USB sur le trottoir juste à l'extérieur du bureau. La plupart des gens honnêtes le ramasseraient et le brancheraient sur leur ordinateur pour voir si quelque chose sur le lecteur identifierait qui est le propriétaire. La plupart des gens malhonnêtes feront la même chose ... mais probablement juste pour voir s'il y a quelque chose de bon dessus avant de l'effacer pour l'utiliser. Dans les deux cas, via l'exécution automatique, les fichiers PDF malveillants, etc., c'est un moyen assez simple de posséder un ordinateur dans une entreprise de votre choix, d'installer un enregistreur de frappe, etc.

3dinfluence
la source
Votre exemple de clé USB est bon, un avertissement sur l'utilisation et la mauvaise utilisation des clés USB devrait probablement être l'un de ses conseils.
Ward - Rétablir Monica
Merci. Re: exemples d'ingénierie sociale, oui, j'aime généralement parler de l'invisibilité du presse-papiers + de la combinaison de travail. L'USB est un excellent exemple.
Justin
2

Qu'en est-il de

  • Gardez votre système d'exploitation et vos applications à jour. Cela inclut également les versions majeures, au moins une fois qu'une version majeure a eu quelques mois pour mûrir. Un XP SP3 entièrement corrigé exécutant un IE6 entièrement corrigé est toujours beaucoup moins sécurisé que Windows 7 exécutant IE8 (ou mieux encore, Chrome).
  • Évitez les OS et applications populaires - ils sont beaucoup plus susceptibles d'être exploités. Si vous pouvez éviter les principaux produits Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) et Adobe (Flash, lecteur PDF), vous serez beaucoup moins susceptible d'être compromis par la grande majorité des exploits actifs là-bas.
  • Gardez votre antivirus (suite anti-malware) à jour et analysez régulièrement.
  • Gardez votre pare-feu personnel à jour et opérationnel.
  • Utilisez des protocoles de messagerie sécurisés (c.-à-d. Assurez-vous que votre POP / IMAP / SMTP est sécurisé par SSL).
  • N'activez pas le partage de fichiers Windows (SMB) ou sshd (ce sont les deux ports les plus attaqués).
  • Activez le cryptage WPA2 sur votre réseau Wi-Fi domestique.
  • Ne visitez même pas de sites Web non fiables.
Spiff
la source
Je suppose que la question concerne un réseau d'entreprise, donc les mises à jour, les paramètres AV, sans fil et de pare-feu devraient être le problème informatique plutôt que celui de l'utilisateur.
Eh bien, il semble que ce soit un réseau d'entreprise où ils permettent aux utilisateurs de télécharger / installer leur propre logiciel, compte tenu de l'astuce «Télécharger uniquement des logiciels à partir d'une source fiable, comme download.com» dans la question d'origine. Je pense donc que mon conseil sur la mise à jour de votre logiciel est important. En outre, de nombreux corps permettent aux ordinateurs portables appartenant à un groupe de rentrer chez eux (et de voyager) avec les utilisateurs, de sorte que la sécurité du réseau domestique est également valide.
Spiff
C'est notre réseau de travail, oui. Les correctifs, le pare-feu, les sauvegardes, etc. sont tous pris en charge au niveau de l'équipe GPO / IT. Les mises à jour de leur propre logiciel sont cependant importantes. Je vais le mentionner.
Justin
+ Le site Web non fiable est bon.
Justin
1

Vous avez un bon départ, mais comme d'autres l'ont mentionné, vous commencez à être désavantagé si les utilisateurs peuvent installer des logiciels. Je ne suggérerais pas d'utiliser download.com; au lieu de cela, les utilisateurs devraient demander au service informatique un programme qui résout leur problème plutôt que d'essayer d'en trouver un eux-mêmes (sauf si la plupart sont des développeurs ou assez avertis). La suppression des droits d'administrateur résout ce problème.

Ajouts:

  1. Utilisez des mots de passe différents pour la plupart des sites et utilisez un mot de passe sécurisé pour les garder en mémoire (KeePass, PWSafe, etc.). Parcourez la façon dont le courrier électronique de MediaDefender a été piraté et demandez aux utilisateurs quelles mesures auraient empêché l'intrusion. N'utilisez jamais votre mot de passe de domaine de travail ailleurs et ne transférez pas le courrier / le trafic de l'entreprise via des systèmes non fiables.
  2. Choisissez des mots de passe décemment complexes. Faites un crack en direct en utilisant John the Ripper sur un exemple de hachage de mot de passe (assurez-vous d'obtenir la permission d'utiliser les outils de cracking EN ÉCRITURE de la part de l'entreprise, au cas où les gens réagiraient de manière excessive). Montrer aux utilisateurs que «PRISCILLA1» est fissuré en moins de 2 secondes est une révélation. Nous utilisons ici l'Anixis Password Policy Enforcer pour nous assurer que les mots de passe moche ne rentrent pas.
  3. Ne branchez rien qui ne vous soit pas fourni par le service informatique. Illustrez le point en branchant une clé USB Keylogger ou en exécutant automatiquement un cheval de Troie (l'exécution automatique doit être désactivée, mais c'est une autre histoire).
  4. Supposons que tout le trafic sur tous les réseaux est suivi et enregistré aux deux extrémités, même s'il est chiffré pour empêcher les attaques MitM. WikiScanner est un bon exemple d'utilisation d'adresses IP pour détecter qui a effectué des modifications "anonymes".
hurfdurf
la source
Nous sommes une petite entreprise, nous n'avons donc pas de service informatique à temps plein. De bons conseils, cependant. Merci.
Justin