As dez principais dicas de segurança para usuários não técnicos

10

Vou fazer uma apresentação ainda esta semana para a equipe da empresa onde trabalho. O objetivo da apresentação é servir como um lembrete / repensador de boas práticas que podem ajudar a manter nossa rede segura. O público é composto por programadores e equipe não técnica, portanto a apresentação é voltada para usuários não técnicos.

Quero que parte desta apresentação seja uma lista superior de "dicas". A lista precisa ser curta (para incentivar a memória) e ser específica e relevante para o usuário.

Até agora, tenho os cinco itens a seguir:

  • Nunca abra um anexo que você não esperava
  • Faça o download apenas do software de uma fonte confiável, como download.com
  • Não distribua senhas quando solicitado por telefone ou email
  • Desconfie da engenharia social
  • Não armazene dados confidenciais em um servidor FTP

Alguns esclarecimentos:

  • Isto é para a nossa rede de trabalho
  • Essas precisam ser dicas de "melhores práticas" para o usuário final, não para a política de TI
  • Temos backups, patches de SO, firewall, AV, etc, todos gerenciados centralmente
  • Isto é para uma pequena empresa (menos de 25 pessoas)

Eu tenho duas perguntas:

  1. Você sugere itens adicionais?
  2. Você sugere alguma alteração nos itens existentes?
networking security desktop-management Justin
fonte
1
Esta questão pertence ao superuser.com - e, no mínimo, deve ser Community Wiki
Mark Henderson
Supondo que isso faça parte da política de segurança do departamento de TI, eu discordo. Meu departamento de TI escreveu parte do material e instruiu a pessoa de treinamento para o treinamento anual de segurança do usuário final.
Warner
3
No mínimo, é apenas outra versão de "Your Favorite (x)", o que realmente deve ser uma comunidade wiki
Mark Henderson
@ Farseeker: Eu concordo.
@ Farseeker - esta não é uma pergunta do superuser.com. Isto é para uma rede de trabalho.
31710 Justin

Respostas:

7

Parece que você pode ser uma pessoa de fora da TI tentando educar seus colegas. Embora isso seja uma coisa boa e algo que eu incentive, seu departamento de TI deve orientar os padrões e políticas de segurança.

Esse treinamento deve servir como um meio de reforçar e educar os motivos por trás das políticas de segurança já em vigor. Se não houver um documento escrito de diretiva de segurança, deve haver.

Muitas das coisas que você lista não devem estar sob o controle dos usuários finais. Por exemplo, o usuário final médio menos técnico não deve ser capaz de instalar o software em sua estação de trabalho. Suspeito que haja muitos problemas de suporte, configuração e malware na empresa que poderiam ser facilmente evitados pela política, se possível.

Se os princípios básicos ainda não foram escritos e aplicados pela política de TI, esses são os problemas que devem ser abordados antes de tentar educar os usuários. Algumas das políticas focadas no usuário final incluem:

  • Menos privilégios necessários para executar a função do trabalho
  • Atualizações de software executadas automaticamente com atenção ao risco de segurança
  • Padrões de segurança impostos pela política (IE. Configurações do navegador da Web)
  • Expiração da senha (90 dias)
  • Aplicação da força da senha (alfanumérica, maiúscula e minúscula, 9 caracteres etc.)
  • Não foi possível usar as últimas 5 senhas
  • Criptografia de armazenamento de dispositivo portátil (laptop)
  • Política de classificação de dados
  • Política que determina o tratamento de dados restritos e confidenciais, conforme definido na política de classificação.
  • Política de eliminação de dados
  • Política de acesso a dados
  • Política de dispositivo portátil

Há uma infinidade de políticas e procedimentos adicionais que se aplicam ao desenvolvimento adequado e à manutenção técnica dentro dos grupos de infraestrutura. (Controle de alterações, revisão de código, padrões do sistema e muito mais.)

Depois que toda a fundação estiver em vigor, os funcionários devem receber cópias da política de segurança escrita e o treinamento em torno dessa política também seria apropriado. Isso abrangeria as melhores práticas do usuário final aplicadas tecnicamente e não. Alguns destes incluem:

  • Manipulação de informações restritas e confidenciais como parte dos negócios.
    • Não envie por e-mail ou transmita não criptografado, descarte-o adequadamente, etc.
  • Manipulação de senhas.
    • Não deixe escrito sob o teclado, coloque notas, compartilhe, etc.
  • Não compartilhe contas ou dados de autenticação. (Novamente)
  • Não deixe as estações de trabalho desbloqueadas ou a propriedade (dados) da empresa não segura (laptops)
  • Não execute software sem consideração
    • Como anexos de email.
  • Riscos e cenários em torno da engenharia social
  • Tendências atuais de malware aplicáveis ​​ao negócio ou setor.
  • Políticas e riscos específicos ao negócio ou setor.
  • Educação geral sobre como (se) eles são monitorados
  • Como a TI aplica as políticas de segurança técnica e administrativamente.

O PCI DSS exemplifica muitas práticas recomendadas em relação às políticas de segurança. Além disso, o livro Prática de administração de sistemas e redes aborda as melhores práticas fundamentais sobre segurança de TI.

Warner
fonte
Por que isso foi votado?
Warner
Obrigado pela resposta atenciosa. Temos boas políticas, etc, que são assinadas. Para deixar claro, estou procurando uma boa lista das principais dicas para ajudar a promover comportamentos que aumentam a segurança dos usuários finais. (Não temos problemas com malware / vírus, etc. Não entendo todo o barulho de ser um administrador local. Como em um artigo que li alguns anos atrás, essa é a configuração padrão como MSFT corp.)
Justin
O voto negativo foi meu erro, mas não consigo alterá-lo. Eu acho que se você editar sua resposta (adicione um espaço ou algo assim) eu posso consertar isso.
31310 Justin
Ah legal, obrigado. Foi um pouco desanimador! Passei algum tempo na minha resposta. Em relação à coisa de administrador local, concordo um pouco com você. Depende da empresa e do ambiente tecnológico. Às vezes, é mostrado que os usuários finais concordam com o administrador em empresas técnicas ou grupos altamente técnicos. Vi os dois lados do espectro funcionar. Um colega meu é responsável por uma intranet composta por funcionários sem habilidades técnicas e a empresa exige que eles tenham administrador, onde ele regularmente deve lidar com problemas de malware em escalas variadas.
Warner
Não se preocupe, eu fixa-lo :)
l0c0b0x
2

Minha principal dica (que estou conseguindo ensinar lentamente às pessoas) é uma variação do seu número 1:

Saiba como verificar de onde realmente vem um email e verifique qualquer mensagem que seja menos estranha.

Para o Outlook, isso significa saber como exibir os cabeçalhos da Internet e o que significam as linhas Recebidas de.

Para a equipe não técnica, baixar e instalar software não é (e eu diria que não deveria ser) uma opção, eles não deveriam ter acesso de administrador para instalar o software. Mesmo para os programadores aos quais damos acesso de administrador, recomendamos fortemente que verifique com a TI antes de baixar e instalar.

Para senhas, eu sempre repito o conselho de Bruce Schneier: as senhas devem ser fortes o suficiente para fazer algo de bom e, para lidar com a dificuldade de lembrá-las, você pode anotá-las em um pedaço de papel e mantê-las na carteira - trate seu cartão de senha como um cartão de crédito e saiba como cancelá-los (alterá-los) se você perder sua carteira.

Dependendo de quantos laptops você possui e como você os faz backup, eu incluiria uma dica sobre como manter seguros os dados dos laptops. Se você não possui um sistema para fazer backup / replicar dados em laptops na sua rede, deve e se possui um sistema, verifique se os usuários do laptop sabem como ele funciona. Um laptop perdido ou roubado cheio de dados é - no mínimo - um pé no saco.

Ala - Restabelecer Monica
fonte
Obrigado. Temos bons backups em vigor. Vamos implantar compartilhamentos TrueCrypt para proteger os dados em laptops. Senhas fortes + exemplos são definitivamente dignos de menção. Obrigado.
31710 Justin
Se você quiser me convencer de que um email é genuíno, inclua algum texto no corpo, para que eu possa conectá-lo a você.
David Thornley 31/03
2

Defina o que são senhas fracas e fortes e ofereça boas maneiras de criar e lembrar senhas fortes.

Seu segundo ponto parece indicar que os usuários têm permissão para instalar software em seus computadores. Eu diria que isso é um problema na maioria dos casos. Mas se eles têm permissão para instalar software, é um bom ponto de vista.

Verifique se você tem exemplos de engenharia social. Isso os ajuda a saber o que procurar e os assusta um pouco para ficarem mais paranóicos. Gosto de pedir às pessoas que pensem no que fariam se encontrassem um pen drive USB na calçada do lado de fora do escritório. A maioria das pessoas honestas o pegava e o conectava ao computador para ver se alguma coisa na unidade identifica quem é o proprietário. A maioria das pessoas desonestas fará a mesma coisa ... mas provavelmente apenas para ver se há algo de bom nele antes de apagá-lo para usá-lo. Em qualquer caso, via execução automática, PDF malicioso, etc., é uma maneira muito fácil de possuir um computador em uma empresa de sua escolha, instalar um registrador de pressionamento de tecla, etc.

3dinfluence
fonte
Seu exemplo de chave USB é bom, provavelmente um aviso sobre o uso e o uso indevido de chaves USB deve ser uma de suas dicas.
Ward - Restabelece Monica
Obrigado. Re: exemplos de engenharia social, sim, eu geralmente gosto de falar sobre a área de transferência + macacão de trabalho invisível. O USB é um ótimo exemplo.
31710 Justin
2

A respeito

  • Mantenha seu sistema operacional e aplicativos totalmente atualizados. Isso também inclui versões principais, pelo menos uma vez que uma versão principal ainda tem alguns meses para amadurecer. Um XP SP3 totalmente corrigido executando um IE6 totalmente corrigido ainda é muito menos seguro que o Windows 7 executando o IE8 (ou melhor ainda, o Chrome).
  • Evite sistemas operacionais e aplicativos populares - é muito mais provável que sejam explorados. Se você puder evitar os principais produtos Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) e Adobe (Flash, leitor de PDF), será muito menos provável que seja comprometido pela grande maioria dos explorações ativas por aí.
  • Mantenha seu antivírus (conjunto anti-malware) atualizado e verifique regularmente.
  • Mantenha seu firewall pessoal atualizado e funcionando.
  • Use protocolos de email seguros (ou seja, verifique se o seu POP / IMAP / SMTP é protegido por SSL).
  • Não ative o compartilhamento de arquivos do Windows (SMB) ou sshd (essas são as duas portas mais atacadas).
  • Ative a criptografia WPA2 na sua rede Wi-Fi doméstica.
  • Nem sequer visite sites não confiáveis.
Spiff
fonte
Suponho que a pergunta seja sobre uma rede corporativa, portanto, as atualizações, AV, Wireless e configurações de firewall devem ser um problema de TI e não do usuário.
Bem, parece ser uma rede corporativa em que eles permitem que os usuários baixem / instalem seu próprio software, dada a dica "Somente faça o download de software de uma fonte confiável, como o download.com" na pergunta original. Portanto, acho importante minha dica sobre como manter seu software atualizado. Além disso, muitos funcionários permitem que laptops pertencentes a empresas voltem para casa (e viajem) com os usuários, portanto a segurança da rede doméstica também é válida.
Spiff 31/03/10
Esta é a nossa rede de trabalho, sim. Patches, firewall, backups etc. são atendidos no nível da equipe de GPO / TI. Atualizações para seu próprio software, no entanto, são importantes. Eu vou mencionar isso.
31310 Justin
+ Site não confiável é um bom site.
31410 Justin
1

Você teve um bom começo, mas, como outros já mencionaram, está começando em desvantagem se os usuários puderem instalar o software. Eu não sugeriria usar o download.com; em vez disso, os usuários devem solicitar à TI um programa que resolva seu problema, em vez de tentar encontrar um (a menos que a maioria seja desenvolvedor ou bastante experiente). A remoção dos direitos de administrador resolve esse problema.

Aditivos:

  1. Use senhas diferentes para a maioria dos sites e use um cofre seguro por senha para acompanhá-los (KeePass, PWSafe, etc.). Veja como o email do MediaDefender foi invadido e pergunte aos usuários que medidas teriam impedido a invasão. Nunca use sua senha de domínio de trabalho em nenhum outro lugar e não encaminhe correio / tráfego da empresa por sistemas não confiáveis.
  2. Escolha senhas decentemente complexas. Faça um crack ao vivo usando John the Ripper em um hash de senha de amostra (certifique-se de obter permissão para usar as ferramentas de cracking IN WRITING da empresa primeiro, caso as pessoas exagerem). Mostrar aos usuários que 'PRISCILLA1' está quebrado em menos de 2 segundos é uma surpresa. Usamos o Password Policy Enforcer da Anixis aqui para garantir que senhas ruins não entrem.
  3. Não conecte nada que não seja fornecido pela TI. Para ilustrar o assunto, conecte um pendrive Keylogger USB ou execute um Trojan automaticamente (a execução automática deve ser desativada, mas isso é outra história).
  4. Suponha que todo o tráfego em todas as redes seja rastreado e registrado nas duas extremidades, mesmo se criptografado para impedir ataques do MitM. O WikiScanner é um bom exemplo de uso de endereços IP para identificar quem fez edições "anônimas".
hurfdurf
fonte
Como somos uma empresa pequena, não temos um departamento de TI em tempo integral. Boas dicas, no entanto. Obrigado.
31710 Justin