Najprostszy audyt do samodzielnego wykonania… 🙂
Odpowiedz na pytania, im więcej odpowiedzi na TAK tym lepiej.
Bezpieczeństwo to nie sprawa jednej osoby
Czy organizuję szkolenia dla pracowników, zmierzające do wzrostu świadomości istnienia zagrożeń płynących z nieumiejętnego korzystania z technologii?
Hasło
Czy stosuję złożone hasła (łatwe do zapamiętania, trudne do odgadnięcia)?
Czy stosuję hasła do różnych miejsc w sieci (menedżer haseł)?
Czy wdrożyłem politykę haseł zarządzaną centralnie (większe podmioty) i wymuszającą na pracownikach dobre praktyki złożoności i okresowej zmiany haseł?
Certyfikaty ssl
Czy stosuję protokół https do moich firmowych serwisów www, w szczególności tam gdzie obsługiwane jest logowanie i formularze z danymi?
Czy zwracam uwagę na prawidłowość certyfikatów logując się do serwisów obsługujących finanse firmy?
Codzienne korzystanie z internetu
Czy mam wdrożone oprogramowanie oceniające reputację stron internetowych w wynikach wyszukiwania Google?
Czy staram się nie klikać w reklamy, których źródła nie znam, oferujące „tanie i łatwe” zachęty?
Ograniczenie dostępu do informacji
Czy mam dokument (politykę, nawet na jedną stronę) określającą politykę dostępu do informacji (kto i ma jakim stanowisku ma prawo dostępu do firmowych danych)?
Czy świadomie zarządzam uprawnieniami w oprogramowaniu do zarządzania firmą?
Czy zdarza mi się audytować uprawiania do plików na serwerach firmowych lub w chmurze (OneDrive, Google Drive itp.)?
Bezpieczeństwo poczty elektronicznej (phishing)
Czy staram się wyrobić w siebie i pracownikach nawyk krytycznego podejścia do niespodziewanych treści przesyłanych pocztą elektroniczną, szczególnie tych które zostały zakwalifikowane przez oprogramowanie jako spam?
Czy faktury rachunki itp. pobieram po zalogowaniu się do właściwych serwisów, a nie z maila?
Czy staram się nie klikać bez potrzeby lików w wiadomościach i uczę pracowników, aby tego nie robili bez sprawdzenia dokąd ten link prowadzi?
Jakie zabezpieczenia antyspamowe stosuję (również lokalnie na stacji)?
Oprogramowanie antywirusowe i firewall
Czy posiadam i aktualizuję oprogramowanie antywirusowe?
Czy nie mam pokus wyłączania lokalnej zapory na moim komputerze , która automatycznie powinna być włączona?
Aktualizacje oprogramowania
Czy mam włączone aktualizacje oprogramowania i nie mam zamiaru ich wyłączać, nawet jeżeli czasami przedłużają przygotowanie do pracy?
Czy regularne wyłączam swój komputer (nie usypiam, czy hibernuję)?
Bezpieczeństwo serwisów internetowych na przykładzie WordPress
Czy dbam o aktualizację mojego serwisu www?
Czy mam wtyczki zabezpieczające cały serwis i formularze na stronie www?
Czy regularnie wykonuję kopie zapasowe serwisu oraz archiwa (niezależnie od hostera)?
Dane, które e-przedsiębiorca ma przy sobie
Czy mam zaszyfrowany komputer przenośny, co zabezpiecza moje dane przed dostaniem się w niepowołane ręce w przypadku kradzieży i zagubienia?
Czy mam zaszyfrowany smartfon, co zabezpiecza dane moich klientów i kontrahentów oraz moją (często poufną i prywatną) korespondencję w przypadku kradzieży lub zagubienia?
Czy mam kopie zapasowe tych urządzeń w bezpiecznym miejscu?
Korzystanie z Internetu „poza biurem”
Czy zwykle w miejscach publicznych (kawiarnia, pociąg, dworzec, lotnisko itp.) korzystam za pośrednictwem mojego własnego smartfona?
Czy podłączając się do publicznej sieci wi-fi, natychmiast łączę się sposób szyfrowany do firmy (VPN) lub korzystam z połączenia do zaufanego operatora VPN, a następnie za jego pośrednictwem do Internetu?
Kopie zapasowe (backup) i archiwa danych
Czy mam politykę (chociaż na jedną stronę) wykonywania kopii zapasowych w mojej firmie?
Czy wiem jakie oprogramowanie stosuję do wykonywania kopii zapasowych?
Czy mój system ma dostęp do wykonanej wcześniej kopii zapasowej cały czas z prawami do jej modyfikacji?
Czy testowałem kiedyś scenariusz odzyskiwania danych oraz jak szybko moja firma zacznie działać po poważnej awarii sprzętu lub oprogramowania?
Bezpieczne usuwanie danych
Czy dane z komputerów, dysków i innych nośników danych wycofanych z użycia, odsprzedanych są usuwane przy pomocy specjalnego oprogramowania?
Inwentaryzacja oprogramowania
Czy mam w dowolnej formie zinwentaryzowane oprogramowanie używane w firmie?
Czy pieczołowicie przechowuję w sposób uporządkowany dowody legalności: kopie faktur zakupu oraz certyfikaty licencji?