Советы по безопасности для работодателей, работающих с удалёнными сотрудниками. Часть II

Советы по безопасности для работодателей, работающих с удалёнными сотрудниками. Часть II

https://ib-bank.ru/bisjournal/news/15072

Владимир Безмалый

Инвестируйте в обучение осведомленности о кибербезопасности

К сожалению, обучение кибербезопасности – это не то, чему можно просто научить один раз и забыть. Киберпреступники постоянно ищут новые способы обойти меры безопасности и психологию, чтобы получить доступ к конфиденциальной информации.

Обучите свой персонал:

  • Распознавайте  фишингцелевой фишинг  и  направленные атаки
  • Избегайте вредоносных вложений в электронные письма и других видов мошенничества с использованием электронной почты
  • Выявление  атак  Typosquatting или URL hijacking
  • Устанавливайте программное обеспечение пользователям только в том случае, если они в этом нуждаются, и предпочитайте безопасные, хорошо зарекомендовавшие себя приложения SaaS, которые всегда актуальны.
  • Не устанавливайте плагины для браузера от неизвестных разработчиков.

Контролируйте своих сторонних поставщиков и поставщиков услуг

Помните, что   управление рисками кибербезопасности   должно выходить за пределы вашей организации, потому что самым слабым звеном на самом деле может быть внешний поставщик услуг или поставщик, сотрудники которого также могут работать из дома. 

Это означает, что постоянные инвестиции в  управление рисками поставщиков  и  стороннюю структуру управления рисками  очень важны. Вот почему многие компании обращаются к программному обеспечению безопасности, чтобы помочь им масштабировать свои программы, находясь вне офиса. 

Один из популярных примеров –  рейтинги безопасности . Рейтинги безопасности или рейтинги кибербезопасности – это основанные на данных, объективные и динамические измерения состояния  безопасности  организации. Они создаются  надежной независимой платформой  для оценки безопасности, что делает их ценными в качестве объективного показателя эффективности кибербезопасности организации.

Подобно тому, как кредитные рейтинги предназначены для количественной оценки кредитного риска, рейтинги безопасности призваны обеспечить количественную оценку киберриска.

Чем выше рейтинг безопасности, тем лучше уровень безопасности организации.  

Реализуйте адекватные методы защиты электронной почты

Безопасность электронной почты относится к различным мерам  кибербезопасности  для защиты доступа и содержимого учетной записи электронной почты или службы.

Надлежащая безопасность электронной почты может защитить  конфиденциальную информацию  в сообщениях электронной почты, предотвратить фишинговые атаки, целевой фишинг и  спуфинг электронной почты , а также защитить от несанкционированного доступа, потери или компрометации одного или нескольких адресов электронной почты.

Безопасность электронной почты важна, поскольку вредоносная электронная почта является популярным средством распространения программ-вымогателей, шпионского ПО, червей, различных типов вредоносных программ, атак социальной инженерии, таких как фишинговые или направленные фишинговые электронные письма, и других киберугроз.

В общем, вы должны убедиться, что у вас есть соответствующие политики SPF, DKIM и DMARC, чтобы предотвратить  подделку электронной почты .

Используйте контроль доступа

Внедрение адекватной  политики управления доступом , такой как  управление доступом на основе ролей (RBAC) , которая назначает разрешения конечным пользователям в зависимости от их роли в вашей организации, может снизить риск  утечки данных  и  утечек данных , связанных с  атаками привилегированного уровня .

Всегда следуйте  принципу минимальных привилегий  при предоставлении разрешений пользователям.

Инвестируйте в кибергигиену

Кибергигиена – это   кибербезопасность ,  эквивалентная понятию личной гигиены в литературе по общественному здравоохранению. 

Агентство Европейского Союза  по сетевой и информационной безопасности (ENISA)  заявляет, что «кибергигиена должна рассматриваться так же, как и личная гигиена, и после правильной интеграции в организацию она будет состоять из простых повседневных дел, хорошего поведения и периодических проверок, чтобы убедиться, что онлайн-здоровье организации находится в оптимальном состоянии». 

Короче говоря, кибергигиена охватывает ваше оборудование, программное обеспечение, ИТ-инфраструктуру, обучение осведомленности о кибербезопасности и, во все большей степени, собственные устройства ваших сотрудников. 

Убедитесь, что ваши веб-приложения используют HSTS

HTTP Strict Transport Security (HSTS) – это механизм политики веб-безопасности, который позволяет веб-сайтам объявлять себя доступными только через безопасные соединения. Это помогает защитить веб-сайты и пользователей от атак, связанных с понижением версии протокола и перехватом файлов cookie.

Используйте метрики безопасности для отслеживания эффективности вашей кибербезопасности

Метрики безопасности или метрики кибербезопасности  – это измеримая ценность, которая демонстрирует, насколько хорошо компания достигает своих целей по снижению рисков кибербезопасности. Организации используют показатели безопасности на нескольких уровнях, чтобы оценить, насколько хорошо они соответствуют своим стандартам безопасности и требованиям к управлению информационной безопасностью.

Когда сотрудники работают из дома, важно установить показатели, которые отслеживают, насколько хорошо ваши сотрудники придерживаются ваших  политик информационной безопасности при работе из дома

Применяйте надежные пароли на устройствах сотрудников

Убедитесь, что ваши сотрудники должны использовать надежные пароли, установив требования к паролям на устройствах компании. 

Инвестируйте в общеорганизационные инструменты управления паролями

Не полагайтесь на своих сотрудников, вкладывающих средства в менеджеры паролей. 

Хороший способ убедиться, что ваши сотрудники не используют пароли повторно, – это упростить для них создание, запоминание и использование надежных паролей. 

Зашифруйте все устройства компании

Шифрование  – это процесс кодирования информации, поэтому доступ к ней имеют только авторизованные стороны. Хотя он не предотвращает вмешательство и атаки типа «злоумышленник посередине», он не позволяет перехватчику получить доступный контент. 

Убедитесь, что все устройства компании зашифрованы.

5 февраля, 2021

Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

Владимир Безмалый

О безопасности и не только