pieleszek.pl

Bezpieczeństwo IT z Biblią e-biznesu 2. Mój pierwszy audyt bezpieczeństwa.

Najprostszy audyt do samodzielnego wykonania… 🙂 Odpowiedz na pytania,  im więcej odpowiedzi na TAK tym lepiej.

Bezpieczeństwo to nie sprawa jednej osoby

Czy organizuję szkolenia dla pracowników, zmierzające do wzrostu świadomości istnienia zagrożeń płynących z nieumiejętnego korzystania z technologii?

Hasło

Czy stosuję złożone hasła (łatwe do zapamiętania, trudne do odgadnięcia)?

Czy stosuję hasła do różnych miejsc w sieci (menedżer haseł)?

Czy wdrożyłem politykę haseł zarządzaną centralnie (większe podmioty) i wymuszającą na pracownikach dobre praktyki złożoności i okresowej zmiany haseł?

Certyfikaty ssl

Czy stosuję protokół https do moich firmowych serwisów www, w szczególności tam gdzie obsługiwane jest logowanie i formularze z danymi?

Czy zwracam uwagę na prawidłowość certyfikatów logując się do serwisów obsługujących finanse firmy?

Codzienne korzystanie z internetu

Czy mam wdrożone oprogramowanie oceniające reputację stron internetowych w wynikach wyszukiwania Google?

Czy staram się nie klikać w reklamy, których źródła nie znam, oferujące „tanie i łatwe” zachęty?

Ograniczenie dostępu do informacji

Czy mam dokument (politykę, nawet na jedną stronę) określającą politykę dostępu do informacji (kto i ma jakim stanowisku ma prawo dostępu do firmowych danych)?

Czy świadomie zarządzam uprawnieniami w oprogramowaniu do zarządzania firmą?

Czy zdarza mi się audytować uprawiania do plików na serwerach firmowych lub w chmurze (OneDrive, Google Drive itp.)?

Bezpieczeństwo poczty elektronicznej (phishing)

Czy staram się wyrobić w siebie i pracownikach nawyk krytycznego podejścia do niespodziewanych treści przesyłanych pocztą elektroniczną, szczególnie tych które zostały zakwalifikowane przez oprogramowanie jako spam?

Czy faktury rachunki itp. pobieram po zalogowaniu się do właściwych serwisów, a nie z maila?

Czy staram się nie klikać bez potrzeby lików w wiadomościach i uczę pracowników, aby tego nie robili bez sprawdzenia dokąd ten link prowadzi?

Jakie zabezpieczenia antyspamowe stosuję (również lokalnie na stacji)?

Oprogramowanie antywirusowe i firewall

Czy posiadam i aktualizuję oprogramowanie antywirusowe?

Czy nie mam pokus wyłączania lokalnej zapory na moim komputerze , która automatycznie powinna być włączona?

Aktualizacje oprogramowania

Czy mam włączone aktualizacje oprogramowania i nie mam zamiaru ich wyłączać, nawet jeżeli czasami przedłużają przygotowanie do pracy?

Czy regularne wyłączam swój komputer (nie usypiam, czy hibernuję)?

Bezpieczeństwo serwisów internetowych na przykładzie WordPress

Czy dbam o aktualizację mojego serwisu www?

Czy mam wtyczki zabezpieczające cały serwis i formularze na stronie www?

Czy regularnie wykonuję kopie zapasowe serwisu oraz archiwa (niezależnie od hostera)?

Dane, które e-przedsiębiorca ma przy sobie

Czy mam zaszyfrowany komputer przenośny, co zabezpiecza moje dane przed dostaniem się w niepowołane ręce w przypadku kradzieży i zagubienia?

Czy mam zaszyfrowany smartfon, co zabezpiecza dane moich klientów i kontrahentów oraz moją (często poufną i prywatną) korespondencję w przypadku kradzieży lub zagubienia?

Czy mam kopie zapasowe tych urządzeń w bezpiecznym miejscu?

Korzystanie z Internetu „poza biurem”

Czy zwykle w miejscach publicznych (kawiarnia, pociąg, dworzec, lotnisko itp.) korzystam za pośrednictwem mojego własnego smartfona?

Czy podłączając się do publicznej sieci wi-fi, natychmiast łączę się sposób szyfrowany do firmy (VPN) lub korzystam z połączenia do zaufanego operatora VPN, a następnie za jego pośrednictwem do Internetu?

Kopie zapasowe (backup) i archiwa danych

Czy mam politykę (chociaż na jedną stronę) wykonywania kopii zapasowych w mojej firmie?

Czy wiem jakie oprogramowanie stosuję do wykonywania kopii zapasowych?

Czy mój system ma dostęp do wykonanej wcześniej kopii zapasowej cały czas z prawami do jej modyfikacji?

Czy testowałem kiedyś scenariusz odzyskiwania danych oraz jak szybko moja firma zacznie działać po poważnej awarii sprzętu lub oprogramowania?

Bezpieczne usuwanie danych

Czy dane z komputerów, dysków i innych nośników danych wycofanych z użycia, odsprzedanych są usuwane przy pomocy specjalnego oprogramowania?

Inwentaryzacja oprogramowania

Czy mam w dowolnej formie zinwentaryzowane oprogramowanie używane w firmie?

Czy pieczołowicie przechowuję w sposób uporządkowany dowody legalności: kopie faktur zakupu oraz certyfikaty licencji?