Recomandări obligatorii de implementat pentru Securitatea Informațională.

  • March 4, 2022
Recomandări de securitate cibernetică

Întreprinderile mici și mijlocii reprezintă un motor important de inovare și dezvoltare pentru orice țară. Acestea sunt, de asemenea, coloana vertebrală atât a economiei, cât și a forței de muncă pentru orice stat, inclusiv R. Moldova. Fiecare nouă criză, pune o presiune incredibilă asupra desfășurării afacerilor. Dar cu fiecare nou obstacol, posedăm mai multă informație, experiență și suntem mai pregătiți să facem față riscurilor. În acest sens, Guvernele și Organismele Internaționale dezvoltă legi, regulamente și standarde obligatorii orientate să stimuleze companiile să respecte un minim de cerințe de securitate pentru ca acestea să facă față perturbărilor economice care apar.

Neaplicarea măsurilor stricte de securitate cibernetică într-o perioadă în care ne desfășurăm activitățile pe bază de tehnologie, e propria asumare de pierderi financiare sau chiar de business în totalitate.

Vă prezentăm o listă de recomandări minime pe care orice companie ar trebuie să le implementeze în ceea ce privește securitatea informațională. Ce ați reușit din toate astea să faceți?

  1. Crearea a unui mind-set digital bazat pe cei 4 piloni de bază:
    • Parole cât mai puternice (prin utilizarea cifrelor alfanumerice, simbolurilor, literelor mari și mici, nr. minim de caractere (nu mai puțin de 13, schimbul lor ciclic);
    • Soluție antivirus la nivel de stație de lucru fizică și virtualizată, server fizic sau virtualizat, server de poștă, dispozitive mobile;
    • Automatizarea update-urilor prin intermediul sistemelor de Patch Management;
    • Back-up-uri regulate.
  2. Instruirea angajaților cu regulile de bază a conceptului de Cyber Hygiene:
    • A nu se lasă niciodată laptopul/desktopul nesupravegheat. Acestea va fi blocat întotdeauna atunci când nu este utilizat;
    • Nu se conectează niciodată o unitate USB necunoscută sau alt dispozitiv la laptop/desktop;
    • Păstrarea parolelor companiei într-un loc sigur sau utilizând un portofel al parolelor. Acest lucru poate fi recomandat de către angajator sau în baza procedurilor interne de setare și păstrare a parolelor;
    • Evitarea deschiderii de e-mailuri din surse necunoscute, mai ales care solicită acțiuni „urgente”, fără o analiză a expeditorului (detalii despre expeditor), subiectului mail-ului și a conținutului acestuia;
    • Verificarea linkurilor primite de fiecare dată, înainte de a face click pe ele;
    • Realizarea periodică a copiilor de rezervă a datelor și verificarea acestora dacă au fost stocate;
    • Instalarea de software anti-spam, anti-spyware și antivirus și asigurarea că sistemul de operare a laptopului/desktopului este actualizat;
    • Utilizarea hotspot-ului de la telefonul de serviciu în loc de rețele Wi-Fi deschise, atunci când se lucrează în locuri publice, în afara casei sau a biroului.
  3. Stabilirea și aplicarea unei politici de securitate IT. În primul rând, trebuie evaluate activele de bază ale organizației și potențialele amenințări, atât interne, cât și externe. Odată ce se cunoaște ce este de protejat, se dezvoltă și scrie o politică de securitate. Ulterior se desemnează inclusiv un manager sau o persoană responsabilă care să supravegheze implementarea politicii. Fiecare politică ar trebui să includă un set de reguli care abordează întrebări cheie la care fiecare angajat ar trebui să poată răspunde:
    • Pot accesa rețeaua mea corporativă de pe laptopul/desktopul meu personal?
    • Îmi pot accesa e-mailul de la serviciu prin smartphone-ul meu personal? Dacă da, care sunt cerințele și obligațiile?
    • Pot folosi software-ul care nu este aprobat de IT sau management pe laptopul/desktopul meu de lucru?
    • Pot încărca documentele companiei în cloud public? Dacă da, care sunt acelea? Le pot împărtăși cu colegii?
    • Pot folosi Wi-Fi public de la aeroport sau hotel atunci când sunt în afara organizației? Pot folosi o astfel de rețea pentru a accesa e-mailul meu de serviciu?
    • Pot folosi un manager de parole pentru arhivarea și managementul acestora? Dacă da, care?
  4. Asigurarea copiilor de rezervă și a actualizărilor regulate. Este necesar de creat un sistem automatizat pentru organizație și angajații acesteia care să realizeze copii de siguranță ale datelor în mod regulat. Acest lucru va pregăti compania pentru atacuri cibernetice precum ransomware. Este necesar de programat actualizări regulate pentru servere, stațiile de lucru și smartphone-urile companiei, inclusiv aplicarea tuturor actualizărilor oficiale recomandate de producători.
  5. Acces securizat de la distanță. În cazul în care organizația folosește resurse în cloud (asigurați activarea autentificării pe mai mulți pași sau prin mai mulți factori). Când se folosește propriul mediu TIC, asigurați-vă că accesul de la distanță este cât mai sigur posibil și realizat în baza mai multor pași de autentificare. Acest lucru poate fi realizat prin folosirea unei rețele private virtuale (VPN), criptarea mesajelor, utilizarea parolelor puternice, configurarea autentificării cu mai mulți factori (MFA) acolo unde este cazul. Unul dintre cele mai importante aspecte este ca angajaților să li se ofere instrucțiuni clare de conectare și utilizare, inclusiv acces la ajutor sau support.
  6. Crearea un loc sau spațiu virtual de întâlnire securizat pentru angajații companiei. Aceasta va oferi posibilitatea ca angajații să utilizeze comunicațiile digitale, cum ar fi chat, audio, video și partajarea ecranului într-un mod sigur, solicitându-le să respecte cele mai bune practici, precum ar fi:
    • Utilizarea accesului în cadrul întâlnirilor virtuale prin utilizarea user-ului și a
    • Stocarea link-urilor către conferințe și parole de întâlnire în lista participanților invitați;
    • Când sunt utilizate videoclipuri sau orice alte informații video, este necesar de utilizat unui fundal vizual care să nu dezvăluie informații personale sau date cu caracter personal (ale persoanelor terțe) sau profesionale ale participanților.
  7. Crearea un plan de management al incidentelor. Pregătirea unui plan care:
    • Să descrie cum trebuie de făcut față incidentelor cibernetice;
    • Să ofere resurse locale pentru a ajuta și include o politică de răspuns pentru angajații din interiorul și exteriorul organizației.

Pentru ca orice plan să fie funcțional se recomandă de realizat simulări de aplicare în practică a acestuia astfel încât angajații să se antreneze și să fie capabili să îl aplice în viața reală.

Solicită o consultanță