Краткое руководство по безопасной удаленной работе - Хорошо

КРАТКОЕ РУКОВОДСТВО ПО БЕЗОПАСНОМУ РАБОТУ ПО ТЕЛЕФОНУ

Из-за состояния тревоги, вызванного коронавирусом, многие администрации и государственные органы продвигают удаленную работу, чтобы обеспечить непрерывность своих функций и услуг. Однако удаленная работа может создавать риски для кибербезопасности, если она не запланирована вовремя, персонал должным образом обучен, а оборудование и соединения надежно настроены. Учитывая текущую ситуацию, во многих случаях все это могло оказаться невозможным; по этой причине мы предлагаем вам один выбор основных основных мер защиты, которые необходимо учитывать которые могут помочь вам работать удаленно, сводя к минимуму риски безопасности при обработке информации вашей организации.

Имейте в виду, что нынешняя ситуация очень привлекательна для киберпреступников, которые могут украсть пароли и перехватить конфиденциальную информацию в обмен на выкуп. Случаи этого типа произошли в последние месяцы в государственных административных органах с серьезным экономическим и репутационным ущербом.

Этот выбор был сделан с целью облегчить Практическое и исполнительное руководство, предназначенное для неспециалистов в средних и малых государственных администрациях, у которых нет ресурсов для реализации полного и продвинутого плана безопасности. Мы хотим избежать чрезмерного количества информации и давать нежизнеспособные рекомендации в тех обстоятельствах, в которых мы находимся. Для пользователей, которые хотят углубиться в эту тему, мы предоставляем дополнительные ссылки в конце руководства.

Эти рекомендации носят общий характер. Если у вашей организации есть собственное руководство по кибербезопасности, обратите на него внимание.
 

1. Организационные аспекты

Скорее всего, в вашей организации уже есть менеджер по протоколам и кибербезопасности. Уточните у него пункты, которые мы предлагаем вам ниже.

Соблюдайте инструкции по технике безопасности технический менеджер вашей организации.

Используйте инструменты и приложения, авторизованные вашей организацией. Если вам нужно использовать другие решения, будьте осторожны и используйте только проверенные приложения.

А также…

Убедитесь, что созданы резервные копии корпоративных документов, с которыми вы будете работать из дома.

Узнайте, по какому каналу можно сообщать об инцидентах и ​​разрешать сомнения.

Немедленно уведомляйте менеджера по технологиям вашей организации о любых инцидентах, связанных с кибербезопасностью.

2. Рабочая команда

Из вашей домашней рабочей группы у вас будет доступ к конфиденциальной информации вашей организации. Независимо от того, используете ли вы корпоративный компьютер или персональный компьютер, необходимо продумать комплекс мер защиты и профилактики. Если вы используете корпоративную рабочую группу, чаще всего вы уже выполняете большую часть или все рекомендации в рамках политик безопасности, установленных администратором.

Убедитесь, что система и приложения обновлены до последних версий и это автоматическое обновление версии включено.

Убедитесь, что на вашем компьютере есть системаактивный антивирус и антивирус.

Применить автоматическая блокировка экрана через десять минут.

А также…

Создайте отдельную учетную запись для семьи и работы на дому в своей операционной системе. Следует избегать любого несанкционированного доступа к конфиденциальной информации.

Включите брандмауэр на вашем компьютере.

3. Подключение к Интернету и удаленный доступ.

Домашние сети Wi-Fi обычно не имеют таких средств защиты, как брандмауэры, которые используются в корпоративных офисах. Следовательно, при удаленной работе вы должны уделять особое внимание характеристикам сети, через которую вы подключаетесь, либо для работы в Интернете, либо для доступа к системам и данным вашей организации.

Избегайте использования незнакомых и надежных общедоступных сетей Wi-Fi для удаленного доступа к службам вашей организации.

А также…

При необходимости используйте службы удаленного доступа VPN (виртуальная частная сеть), рекомендованные вашей организацией для доступа к корпоративным информационным системам.

Убедитесь, что Интернет-маршрутизатор не использует заводской пароль по умолчанию. Вы найдете множество руководств в Интернете и на YouTube. Вы можете использовать процедура, рекомендованная организацией потребителей и пользователей.

Настройте пароль маршрутизатора с помощью безопасных систем шифрования: WPA3 (желательно) или WPA2.

4. Резервные копии

Вся офисная документация, которую вы создаете на личном компьютере, который вы используете для удаленной работы и не хранится на сервере организации, вероятно, не будет иметь автоматизированной системы резервного копирования. Поэтому рекомендуется принять меры предосторожности при резервном копировании.

Создавайте резервные копии локально созданных документов с помощью одного из следующих механизмов:

  • USB-накопители: вы должны предварительно очистить или отформатировать их, чтобы быть в безопасности.
  • Внешний жесткий диск
  • Сервис облачного хранилища, авторизованный организацией

5. Пароли и аутентификация

Когда вы работаете удаленно, способ аутентификации в системах и приложениях особенно важен, поскольку с помощью украденного пароля вы можете получить доступ к конфиденциальной информации и / или взять под контроль службу в своей организации. Вот несколько рекомендаций по более безопасной аутентификации, а также по определению и использованию более надежных паролей.

По возможности используйте доступ к цифровым сертифицированным информационным системам (предпочтительно T-CAT P) или системам двухфакторной аутентификации, чтобы предотвратить кражу вашего пароля. (Двухфакторные системы основаны на одноразовых кодах, которые отправляются через SMS или приложение)

Используйте сложные пароли: комбинацию специальных символов, прописных и строчных цифр и букв.

Не записывайте нигде свои корпоративные пароли.

Si установить цифровые сертификаты в программное обеспечение на свой персональный компьютер (TCAT-P, сертификат idCAT) использует опцию «Введите пароль для закрытого ключа»: таким образом цифровой сертификат может использоваться только в том случае, если пароль известен.

А также…

Если вам нужно использовать несколько учетных записей с разными пользователями и паролями, используйте приложение для безопасного управления разными паролями. Есть несколько решений, которые предлагают бесплатную версию (Lastpass, Dashlane и т. Д.). Apple - устройства iOS имеют менеджер паролей, интегрированный с операционной системой.

А также…

Веб-браузеры компьютеров должны быть обновлены и настроены с использованием последней версии и программных исправлений.

Периодически удаляйте историю просмотров, файлы cookie, запомненные пароли и другие временные файлы. Таким образом вы избежите потенциальных шпионских программ.

7. Безопасная видеоконференцсвязь.

Для обеспечения безопасности и конфиденциальности разговоров во время les видео-конференцияes со своей работой или командой проекта, известь рассмотрите следующие аспекты:

Организуйте встречу безопасно. Разрешить присоединяться к сеансу видеоконференцсвязи только пользователям, которые знают данные собрания. в сделать так:

  1. Crea встреча к которому могут присоединиться только люди гости.
  2. Envи по приглашению через личную электронную почту ДЕЛЬЗ участники o быть через из платформа или канал seвылечил.
    • Сделать lлюди, для которых это имеетГИС гость по электронной почте hagin d 'авторизоваться через d'это мсъел адрес или,
    • использует sсистема двухфакторной аутентификации, Например генерирование ссылка на встречу (или идентификатор встречи, в случае Zoom) и требуютnt а слау Объединять.
    • Зал ожидания это также очень полезная функция для организаторов, позволяющая контролировать, кто входит, а кто покидает собрание.
  3. Не делитесь ссылкой, чтобы присоединиться к встрече, через социальные сети или другие общественные форумы. ЛЮБОЙ, у кого есть ссылка, может присоединиться к сессия.

Управляйте участниками.

  • Заранее настройте, кто сможет делиться экраном или отправлять файлы через чат во время встречи.
  • В случае больших встреч помните, что хозяин может заставить замолчать отдельных участниковния или все сразу, чтобы избежать эха, фонового шума и параллельных отвлекающих факторов или разговоров.
  • При необходимости оцените bЛокехаr встреча, когда уже все участники присутствуют, чтобы новые участники не могли присоединиться нежелательные.

А также…

Познакомиться ранее с настройками и функциями инструмента видеоконференцсвязи, который используетатлас для сабля как защитить виртуальное пространство, где будет проходить встреча.

В конце сеанса убедитесь, что виртуальное пространство, где проходила встреча закрыто o доступной только для участники встречи, поскольку там могут быть заметки, личные файлы и информация.

8. Фишинг

Фишинг - это разновидность киберпреступности, заключающаяся в отправке мошеннических электронных писем с целью кражи вашего пароля или другой личной информации. Это один из самых популярных видов мошенничества со стороны киберпреступников. Операция фишинга проста: вы получаете электронное письмо с законным видом с просьбой обновить, проверить или подтвердить информацию по ссылке. После нажатия на нее вы попадаете на поддельную веб-страницу, на которой украден пароль или другие данные.

Не переходите по ссылкам и не загружайте вложения из подозрительных писем. Подозрение на электронные письма с просьбой о необычных действиях по обновлению паролей. Проверьте адрес отправителя (а не псевдоним) на наличие, казалось бы, законных писем.

А также…

При подключении через Интернет проверьте в строке браузера правильность целевого веб-адреса. Киберпреступники могут полностью скопировать веб-сайт и украсть ваш пароль.

9. По окончании работы

Из вашей домашней рабочей группы у вас будет доступ к конфиденциальной информации вашей организации.

Закрывает все подключения к информационным системам и корпоративным сайтам.

Создайте резервную копию локальных документов, над которыми вы работали, но не покрытых корпоративной резервной копией.

А также…

Удалите историю просмотров, файлы cookie, запомненные пароли и другие временные файлы.

10. Дополнительная информация

Пользователи, желающие расширить информацию в этом руководстве, рекомендуют вам посетить следующие веб-страницы со специализированным содержанием:

Благодарности

Этот набор рекомендаций был разработан на основе собственных ресурсов AOC, директив Агентства кибербезопасности Каталонии, Каталонской ассоциации инженеров электросвязи (Telecos.cat), консультантов Дженис Маргарит Контель и Кристины Рибас Касадемонт. , а также документы в разделе «Дополнительная информация».

От AOC мы хотели бы поблагодарить все самоотверженные и активные вклады, которые мы получили и которые очень полезны и ценны на данный момент для обеспечения безопасности информационных систем государственного сектора.

Заметки

  1. Это руководство открыто для предложений, предложений по улучшению и исправлений. Ваши комментарии приветствуются: вы можете отправить их по адресу Innovacio@aoc.cat.
  2. Мы попросили две организации сообщества свободного программного обеспечения и четырех пользователей дать нам критические отзывы, чтобы помочь нам дополнить это руководство конкретными рекомендациями для операционных систем на базе Linux. Пока мы не получили никакого ответа.