Audyt z Biblią E-biznesu 2

 

Najprostszy audyt, który wykonasz samodzielnie

Odpowiedz na pytania, im więcej odpowiedzi na TAK tym lepiej

Bezpieczeństwo to nie sprawa jednej osoby

  • Czy organizuję szkolenia dla pracowników, zmierzające do wzrostu świadomości istnienia zagrożeń płynących z nieumiejętnego korzystania z technologii?

Hasło

  • Czy stosuję złożone hasła (łatwe do zapamiętania, trudne do odgadnięcia)?
  • Czy stosuję hasła do różnych miejsc w sieci (menedżer haseł)?
  • Czy wdrożyłem politykę haseł zarządzaną centralnie (większe podmioty) i wymuszającą na pracownikach dobre praktyki złożoności i okresowej zmiany haseł?

Certyfikaty ssl

  • Czy stosuję protokół https do moich firmowych serwisów www, w szczególności tam gdzie obsługiwane jest logowanie i formularze z danymi?
  • Czy zwracam uwagę na prawidłowość certyfikatów logując się do serwisów obsługujących finanse firmy?

Codzienne korzystanie z internetu

  • Czy mam wdrożone oprogramowanie oceniające reputację stron internetowych w wynikach wyszukiwania Google?
  • Czy staram się nie klikać w reklamy, których źródła nie znam, oferujące „tanie i łatwe” zachęty?

Ograniczenie dostępu do informacji

  • Czy mam dokument (politykę, nawet na jedną stronę) określającą politykę dostępu do informacji (kto i ma jakim stanowisku ma prawo dostępu do firmowych danych)?
  • Czy świadomie zarządzam uprawnieniami w oprogramowaniu do zarządzania firmą?
  • Czy zdarza mi się audytować uprawiania do plików na serwerach firmowych lub w chmurze (OneDrive, Google Drive itp.)?

Bezpieczeństwo poczty elektronicznej (phishing)

  • Czy staram się wyrobić w siebie i pracownikach nawyk krytycznego podejścia do niespodziewanych treści przesyłanych pocztą elektroniczną, szczególnie tych które zostały zakwalifikowane przez oprogramowanie jako spam?
  • Czy faktury rachunki itp. pobieram po zalogowaniu się do właściwych serwisów, a nie z maila?
  • Czy staram się nie klikać bez potrzeby lików w wiadomościach i uczę pracowników, aby tego nie robili bez sprawdzenia dokąd ten link prowadzi?
  • Jakie zabezpieczenia antyspamowe stosuję (również lokalnie na stacji)?

Oprogramowanie antywirusowe i firewall

  • Czy posiadam i aktualizuję oprogramowanie antywirusowe?
  • Czy nie mam pokus wyłączania lokalnej zapory na moim komputerze , która automatycznie powinna być włączona?

Aktualizacje oprogramowania

  • Czy mam włączone aktualizacje oprogramowania i nie mam zamiaru ich wyłączać, nawet jeżeli czasami przedłużają przygotowanie do pracy?
  • Czy regularne wyłączam swój komputer (nie usypiam, czy hibernuję)?

Bezpieczeństwo serwisów internetowych na przykładzie WordPress

  • Czy dbam o aktualizację mojego serwisu www?
  • Czy mam wtyczki zabezpieczające cały serwis i formularze na stronie www?
  • Czy regularnie wykonuję kopie zapasowe serwisu oraz archiwa (niezależnie od hostera)?

Dane, które przedsiębiorca ma przy sobie

  • Czy mam zaszyfrowany komputer przenośny, co zabezpiecza moje dane przed dostaniem się w niepowołane ręce w przypadku kradzieży i zagubienia?
  • Czy mam zaszyfrowany smartfon, co zabezpiecza dane moich klientów i kontrahentów oraz moją (często poufną i prywatną) korespondencję w przypadku kradzieży lub zagubienia?
  • Czy mam kopie zapasowe tych urządzeń w bezpiecznym miejscu?

Korzystanie z Internetu „poza biurem”

  • Czy zwykle w miejscach publicznych (kawiarnia, pociąg, dworzec, lotnisko itp.) korzystam za pośrednictwem mojego własnego smartfona?
  • Czy podłączając się do publicznej sieci wi-fi, natychmiast łączę się sposób szyfrowany do firmy (VPN) lub korzystam z połączenia do zaufanego operatora VPN, a następnie za jego pośrednictwem do Internetu?

Kopie zapasowe (backup) i archiwa danych

  • Czy mam politykę (chociaż na jedną stronę) wykonywania kopii zapasowych w mojej firmie?
  • Czy wiem jakie oprogramowanie stosuję do wykonywania kopii zapasowych?
  • Czy mój system ma dostęp do wykonanej wcześniej kopii zapasowej cały czas z prawami do jej modyfikacji?
  • Czy testowałem kiedyś scenariusz odzyskiwania danych oraz jak szybko moja firma zacznie działać po poważnej awarii sprzętu lub oprogramowania?

Bezpieczne usuwanie danych

  • Czy dane z komputerów, dysków i innych nośników danych wycofanych z użycia, odsprzedanych są usuwane przy pomocy specjalnego oprogramowania?
  • Inwentaryzacja oprogramowania
    Czy mam w dowolnej formie zinwentaryzowane oprogramowanie używane w firmie?
  • Czy pieczołowicie przechowuję w sposób uporządkowany dowody legalności: kopie faktur zakupu oraz certyfikaty licencji?

Zobacz sześć części Bezpieczeństwa IT z Biblią e-biznesu: