Audyt z Biblią E-biznesu 2
Najprostszy audyt, który wykonasz samodzielnie
Odpowiedz na pytania, im więcej odpowiedzi na TAK tym lepiej
Bezpieczeństwo to nie sprawa jednej osoby
- Czy organizuję szkolenia dla pracowników, zmierzające do wzrostu świadomości istnienia zagrożeń płynących z nieumiejętnego korzystania z technologii?
Hasło
- Czy stosuję złożone hasła (łatwe do zapamiętania, trudne do odgadnięcia)?
- Czy stosuję hasła do różnych miejsc w sieci (menedżer haseł)?
- Czy wdrożyłem politykę haseł zarządzaną centralnie (większe podmioty) i wymuszającą na pracownikach dobre praktyki złożoności i okresowej zmiany haseł?
Certyfikaty ssl
- Czy stosuję protokół https do moich firmowych serwisów www, w szczególności tam gdzie obsługiwane jest logowanie i formularze z danymi?
- Czy zwracam uwagę na prawidłowość certyfikatów logując się do serwisów obsługujących finanse firmy?
Codzienne korzystanie z internetu
- Czy mam wdrożone oprogramowanie oceniające reputację stron internetowych w wynikach wyszukiwania Google?
- Czy staram się nie klikać w reklamy, których źródła nie znam, oferujące „tanie i łatwe” zachęty?
Ograniczenie dostępu do informacji
- Czy mam dokument (politykę, nawet na jedną stronę) określającą politykę dostępu do informacji (kto i ma jakim stanowisku ma prawo dostępu do firmowych danych)?
- Czy świadomie zarządzam uprawnieniami w oprogramowaniu do zarządzania firmą?
- Czy zdarza mi się audytować uprawiania do plików na serwerach firmowych lub w chmurze (OneDrive, Google Drive itp.)?
Bezpieczeństwo poczty elektronicznej (phishing)
- Czy staram się wyrobić w siebie i pracownikach nawyk krytycznego podejścia do niespodziewanych treści przesyłanych pocztą elektroniczną, szczególnie tych które zostały zakwalifikowane przez oprogramowanie jako spam?
- Czy faktury rachunki itp. pobieram po zalogowaniu się do właściwych serwisów, a nie z maila?
- Czy staram się nie klikać bez potrzeby lików w wiadomościach i uczę pracowników, aby tego nie robili bez sprawdzenia dokąd ten link prowadzi?
- Jakie zabezpieczenia antyspamowe stosuję (również lokalnie na stacji)?
Oprogramowanie antywirusowe i firewall
- Czy posiadam i aktualizuję oprogramowanie antywirusowe?
- Czy nie mam pokus wyłączania lokalnej zapory na moim komputerze , która automatycznie powinna być włączona?
Aktualizacje oprogramowania
- Czy mam włączone aktualizacje oprogramowania i nie mam zamiaru ich wyłączać, nawet jeżeli czasami przedłużają przygotowanie do pracy?
- Czy regularne wyłączam swój komputer (nie usypiam, czy hibernuję)?
Bezpieczeństwo serwisów internetowych na przykładzie WordPress
- Czy dbam o aktualizację mojego serwisu www?
- Czy mam wtyczki zabezpieczające cały serwis i formularze na stronie www?
- Czy regularnie wykonuję kopie zapasowe serwisu oraz archiwa (niezależnie od hostera)?
Dane, które przedsiębiorca ma przy sobie
- Czy mam zaszyfrowany komputer przenośny, co zabezpiecza moje dane przed dostaniem się w niepowołane ręce w przypadku kradzieży i zagubienia?
- Czy mam zaszyfrowany smartfon, co zabezpiecza dane moich klientów i kontrahentów oraz moją (często poufną i prywatną) korespondencję w przypadku kradzieży lub zagubienia?
- Czy mam kopie zapasowe tych urządzeń w bezpiecznym miejscu?
Korzystanie z Internetu „poza biurem”
- Czy zwykle w miejscach publicznych (kawiarnia, pociąg, dworzec, lotnisko itp.) korzystam za pośrednictwem mojego własnego smartfona?
- Czy podłączając się do publicznej sieci wi-fi, natychmiast łączę się sposób szyfrowany do firmy (VPN) lub korzystam z połączenia do zaufanego operatora VPN, a następnie za jego pośrednictwem do Internetu?
Kopie zapasowe (backup) i archiwa danych
- Czy mam politykę (chociaż na jedną stronę) wykonywania kopii zapasowych w mojej firmie?
- Czy wiem jakie oprogramowanie stosuję do wykonywania kopii zapasowych?
- Czy mój system ma dostęp do wykonanej wcześniej kopii zapasowej cały czas z prawami do jej modyfikacji?
- Czy testowałem kiedyś scenariusz odzyskiwania danych oraz jak szybko moja firma zacznie działać po poważnej awarii sprzętu lub oprogramowania?
Bezpieczne usuwanie danych
- Czy dane z komputerów, dysków i innych nośników danych wycofanych z użycia, odsprzedanych są usuwane przy pomocy specjalnego oprogramowania?
- Inwentaryzacja oprogramowania
Czy mam w dowolnej formie zinwentaryzowane oprogramowanie używane w firmie? - Czy pieczołowicie przechowuję w sposób uporządkowany dowody legalności: kopie faktur zakupu oraz certyfikaty licencji?