دليل سريع للإخبار بأمان
نظرًا لحالة الإنذار الناجمة عن فيروس كورونا ، تقوم العديد من الإدارات والهيئات العامة بالترويج للعمل عن بُعد لضمان استمرارية وظائفهم وخدماتهم. ومع ذلك ، يمكن أن يشكل العمل عن بُعد مخاطر على الأمن السيبراني إذا لم يتم التخطيط له في الوقت المناسب ، وتم تدريب الموظفين بشكل صحيح ، وتم تكوين المعدات والتوصيلات بشكل آمن. بالنظر إلى السياق الحالي ، قد لا يكون كل هذا ممكنًا في كثير من الحالات ؛ لهذا السبب نقدم لك واحدة اختيار تدابير الحماية الأساسية الرئيسية التي يجب مراعاتها والتي يمكن أن تساعدك في العمل عن بُعد عن طريق تقليل المخاطر الأمنية أثناء معالجة معلومات مؤسستك.
ضع في اعتبارك أن الوضع الحالي جذاب للغاية لمجرمي الإنترنت لسرقة كلمات المرور واختطاف المعلومات السرية مقابل الحصول على فدية. حدثت حالات من هذا النوع في الأشهر الأخيرة في الإدارات العامة ألحقت أضرارًا جسيمة بالاقتصاد والسمعة.
تم هذا الاختيار بهدف التيسير دليل عملي وتنفيذي موجه للمستخدمين غير الخبراء للإدارات العامة المتوسطة والصغيرة ، الذين ليس لديهم موارد لتنفيذ خطة أمنية شاملة ومتقدمة. نريد تجنب الإفراط في المعلومات وتقديم توصيات غير قابلة للتطبيق في الظروف التي نجد أنفسنا فيها. للمستخدمين المهتمين بالتعمق في هذا الموضوع ، نقدم روابط إضافية في نهاية الدليل.
هذه التوصيات ذات طبيعة عامة. إذا كان لدى مؤسستك دليل الأمن السيبراني الخاص بها ، فاحرص على الانتباه إليه.
1. الجوانب التنظيمية
اتبع تعليمات السلامة الخاصة بـ مدير التكنولوجيا لمؤسستك.
استفد من الأدوات والتطبيقات المرخصة من قبل مؤسستك. إذا كنت بحاجة إلى استخدام حلول أخرى ، فكن حذرًا واستخدم التطبيقات الموثوقة فقط.
و أيضا…
إنه يؤكد أن النسخ الاحتياطية يتم إجراؤها من مستندات الشركة التي ستعمل بها من المنزل.
تعرف على القناة للإبلاغ عن الحوادث وحل الشكوك.
قم بإخطار مدير التكنولوجيا في مؤسستك بأي حادث يتعلق بالأمن السيبراني على الفور.
2. فريق العمل
تحقق من أن جهاز الكمبيوتر الخاص بك به نظامنشط لمكافحة الفيروسات ومكافحة البرامج الضارة.
- لنظام التشغيل Windows: نشط برنامج Microsoft Defender Anti-malware
- بالنسبة لنظام التشغيل MAC: قم بتثبيت أحد حلول السوق بإصدار مجاني: Kaspersky و Avast و AVG و Bitdefender وما إلى ذلك.
تطبيق قفل الشاشة التلقائي بعد عشر دقائق.
3. اتصال الإنترنت والوصول عن بعد
تجنب استخدام شبكات WiFi العامة غير المألوفة والموثوقة للوصول عن بُعد إلى خدمات مؤسستك.
و أيضا…
عند الاقتضاء ، استخدم خدمات الاتصال الهاتفي VPN (الشبكة الخاصة الافتراضية) الموصى بها من قبل مؤسستك للوصول إلى أنظمة معلومات الشركة.
تحقق من أن موجه الإنترنت لا يستخدم كلمة المرور الافتراضية للمصنع. ستجد العديد من البرامج التعليمية على الإنترنت و YouTube. يمكنك استخدام الإجراء الذي أوصت به منظمة المستهلك والمستخدم.
قم بتكوين كلمة مرور جهاز التوجيه بأنظمة تشفير آمنة: WPA3 (يفضل) أو WPA2.
4. النسخ الاحتياطية
نسخ المستندات التي تم إنشاؤها محليًا احتياطيًا من خلال إحدى الآليات التالية:
- أجهزة USB: يجب أن تكون قد قمت بتنظيفها أو تنسيقها مسبقًا لضمان سلامتك
- قرص صلب خارجي
- خدمة التخزين السحابية المرخصة من قبل المنظمة
5. كلمات السر والمصادقة
استخدم ، كلما أمكن ، الوصول إلى أنظمة المعلومات المعتمدة رقمياً (يفضل T-CAT P) أو أنظمة المصادقة ثنائية العوامل لمنع سرقة كلمة مرورك. (تعتمد أنظمة العوامل المزدوجة على رموز الاستخدام الفردي التي يتم إرسالها عبر الرسائل القصيرة أو التطبيق)
استخدم كلمات مرور معقدة: مزيج من الأحرف الخاصة والأرقام والأحرف الكبيرة والصغيرة.
لا تدون كلمات مرور شركتك في أي مكان.
Si تثبيت الشهادات الرقمية في برنامج على جهاز الكمبيوتر الشخصي الخاص بك (TCAT-P، idCAT Certificate) تستخدم خيار "Enter Password for Private Key": بهذه الطريقة لا يمكن استخدام الشهادة الرقمية إلا إذا كانت كلمة المرور معروفة.
و أيضا…
إذا كان عليك استخدام حسابات متعددة مع مستخدمين وكلمات مرور مختلفة ، فاستخدم تطبيقًا لإدارة كلمات المرور المختلفة بأمان. هناك العديد من الحلول التي تقدم نسخة مجانية (Lastpass ، Dashlane ، إلخ). Apple - تحتوي أجهزة iOS على مدير كلمات مرور مدمج مع نظام التشغيل.
6. التصفح الآمن للإنترنت
تجنب تصفح الصفحات غير الآمنة وتجنب تثبيت أي برامج أو محتوى مشكوك فيه.
و أيضا…
يجب تحديث مستعرضات الويب الخاصة بأجهزة الكمبيوتر وتهيئتها بأحدث إصدار وتصحيحات البرامج.
احذف سجل التصفح وملفات تعريف الارتباط وكلمات المرور المحفوظة والملفات المؤقتة الأخرى بشكل دوري. بهذه الطريقة تتجنب برامج التجسس المحتملة.
7. مؤتمرات الفيديو الآمنة
عقد الاجتماع بأمان. السماح فقط للمستخدمين الذين يعرفون بيانات الاجتماع بالانضمام إلى جلسة مؤتمرات الفيديو. إلى لنفعل ذلك:
- لجنة المساواة العرقيةa إجتماع التي يمكن للأشخاص فقط الانضمام إليها ضيوف.
- الحياة الفطريةوعن طريق الدعوة عبر البريد الإلكتروني الخاص جزئيا المشاركين س كن عبر من أ منصة أو قناة seشفيت.
- جعل lهم الناس الذين لديهانظم المعلومات الجغرافية الزبون بالبريد الالكتروني هجين د 'تسجيل دخول من خلال د'هذا مأكل العنوان أو،
- يستخدم sنظام مصادقة ثنائي العامل، على سبيل المثال توليد رابط الاجتماع (أو معرف الاجتماع، في حالة Zoom) وتتطلبnt أ جلاو لتوحيد.
- غرفة الانتظار بل هو أيضا ميزة مفيدة للغاية للمضيفين للتحكم في من يدخل ومن يغادر الاجتماع.
- لا تشارك رابط الانضمام إلى الاجتماع عبر وسائل التواصل الاجتماعي أو المنتديات العامة الأخرى. يمكن لأي شخص لديه الرابط الانضمام إلى ملف حصة.
إدارة المشاركين.
- قم بالإعداد مسبقًا لمن سيكون قادرًا على مشاركة الشاشة أو إرسال الملفات عبر الدردشة أثناء الاجتماع.
- في حالة الاجتماعات الكبيرة ، تذكر أن المضيف يمكنه ذلك إسكات المشاركين الأفرادمنة أو كلها مرة واحدة، لتجنب الصدى والضوضاء الخلفية والمشتتات أو المحادثات المتوازية.
- تقييم إذا لزم الأمر بلوكيجاr الاجتماع عندما بالفعل كل المشاركين حاضرون، حتى لا يتمكن المشاركون الجدد من الانضمام غير مرغوب فيه.
و أيضا…
تعرف سابقا مع إعدادات ووظائف أداة مؤتمرات الفيديو التي الاستخداماتصقيل إلى سيف المبارزة كيفية حماية الفضاء الافتراضي حيث سيعقد الاجتماع.
في نهاية الجلسة ، تأكد من المساحة الافتراضية حيث تم عقد الاجتماع إنه مغلق o يمكن الوصول فقط من أجل المشاركون في الاجتماع، كما قد تكون هناك ملاحظات ، الملفات والمعلومات الخاصة.
8. التصيد
لا تنقر على الروابط ولا تقم بتنزيل أي مرفقات من رسائل البريد الإلكتروني المشبوهة. اشتباه في رسائل بريد إلكتروني تطلب إجراءات غير معتادة لتجديد كلمات المرور. تحقق من عنوان المرسل (وليس الاسم المستعار) بحثًا عن رسائل بريد إلكتروني تبدو شرعية.
و أيضا…
عند الاتصال عبر الويب ، تحقق في شريط المتصفح من صحة عنوان الويب الوجهة. يمكن لمجرمي الإنترنت نسخ موقع ويب بالكامل وسرقة كلمة مرورك.
9. في نهاية العمل
يغلق جميع الاتصالات بأنظمة المعلومات ومواقع الشركات.
قم بعمل نسخة احتياطية من المستندات المحلية التي عملت عليها والتي لا تغطيها النسخة الاحتياطية للشركة.
و أيضا…
احذف محفوظات الاستعراض وملفات تعريف الارتباط وكلمات المرور المحفوظة والملفات المؤقتة الأخرى.
10. مزيد من المعلومات
- دليل الأمن السيبراني للمجالس والهيئات المحلية
رابطة البلديات الكتالونية - قواعد الأمن السيبراني لتقديم الخدمات في وضع العمل عن بعد
وكالة الأمن السيبراني في كاتالونيا - حبة "الأمن السيبراني وحماية البيانات"
مدرسة الإدارة العامة في كاتالونيا - دليل سلامة العمل عن بعد
مركز أمن تكنولوجيا المعلومات والاتصالات لمجتمع بلنسية - توصيات لحماية البيانات الشخصية في حالات التنقل والعمل عن بعد
الوكالة الإسبانية لحماية البيانات - كيفية العمل عن بعد بأمان دون تعريض المستخدمين والمؤسسات للخطر
المركز الوطني للتشفير - إرشادات العمل عن بعد: أفضل الممارسات ونماذج السياسات والأمن السيبراني
جامعة نورث كارولينا ، كلية الحكومة - دليل مرجعي سريع للعمل عن بعد
مركز تكامل الأمن السيبراني في كاليفورنيا - CCN-CERT BP / 18 توصيات السلامة للعمل عن بعد وحالات مراقبة التعزيز
المركز الوطني للتشفير (محتوى متقدم) - كيفية تنفيذ نهج الوصول الآمن عن بعد
المركز الوطني للتشفير (محتوى متقدم) - دليل للعمل عن بعد في المؤسسة وأمان الوصول عن بُعد
المعهد الوطني للمعايير والتكنولوجيا (محتوى متقدم)
شكر وتقدير
تم وضع هذه المجموعة من التوصيات من المصادر الخاصة لـ AOC ، وتوجيهات وكالة الأمن السيبراني في كاتالونيا ، والرابطة الكاتالونية لمهندسي الاتصالات (Telecos.cat) ، والمستشارين Genís Margarit Contel و Cristina Ribas Casademont ، والمستندات الموجودة في قسم "مزيد من المعلومات".
من AOC نود أن نشكر جميع المساهمات المتفانية والاستباقية التي تلقيناها والتي تعتبر مفيدة للغاية وقيمة في الوقت الحالي لضمان أمن أنظمة معلومات القطاع العام.
ملاحظة
-
هذا الدليل مفتوح للاقتراحات والاقتراحات للتحسين والتصحيحات. نرحب بتعليقاتكم: يمكنكم إرسالها إلى Innovacio@aoc.cat.
-
لقد طلبنا من كيانين مجتمعين برمجيات حرة وأربعة مستخدمين أن يقدموا لنا ملاحظات نقدية لمساعدتنا في إكمال هذا الدليل بتوصيات محددة لأنظمة التشغيل المستندة إلى Linux. حتى الآن لم نتلق أي رد.