31 совет по кибербезопасности для дома и бизнеса

  1. 31 совет по кибербезопасности
    31 совет по кибербезопасности

    Относитесь внимательно к информации, которую вы публикуете о себе в сети. Эта информация может быть использована для социальной инженерии, шантажа и взлома.

  2. Держите на контроле способы сбора и хранения информации для вас и вашего бизнеса. Если эта информация недостаточно защищена, она может быть использована против вас.
  3. Используйте комбинацию проверки подлинности как в своих системах, так и на сторонних сайтах. Почта + телефон + QR код + специальный код безопасности + цифровой сертификат + сканер отпечатка пальца и так далее. Желательно не менее 2 способов проверки личности (multi-factor authentification, MFA).
  4. Не доверяйте сайтам, использующим HTTP протокол. Если у вас есть сайт, обеспечьте его сертификатом SSL для работы по HTTPS (кстати, Let’s Encrypt объявили о поддержке wildcard сертификатов).
  5. Используйте сложные пароли. Для разных сервисов используйте разные пароли. Как вариант, можно пользоваться мнемоническими техниками для запоминания паролей.
  6. Постоянно следите за обновлениями вашей операционной системы (никогда не отключайте обновление), обновляйте драйвера маршрутизаторов и ваше программное обеспечение.
  7. Делайте резервные копии ваших данных, можно использовать резервное хранение данных в защищенном облаке.
  8. Обеспечьте наличие сетевого щита (брандмауэра) на физическом или программном уровне.
  9. Не разрешайте сотрудникам использовать личные телефоны для ведения бизнеса. Только служебные телефоны, с политикой безопасности.
  10. Создайте стратегию реагирования на киберинциденты. Это снизит влияние на вас киберрисков.
  11. Нужны четкие правила хранения паролей для себя и сотрудников. Не писать пароли так, чтобы их мог увидеть кто-то еще. Не передавать пароли другим пользователям. Пользоваться правилом 5 для создания паролей.
  12. Всегда проверяйте адресную строку браузера, чтобы не стать жертвой фишинговой атаки.
  13. Используйте решения для безопасной почты, например PDD от Яндекса. Это позволит пропускать вашу почту через более качественные сервисы проверки Yandex-а.
  14. Постоянно проходите тренинги по кибербезопасности.
  15. Для своей компании проводите тестовые фишинговые атаки, путем отправки фишинговых писем. Это приучит сотрудников к более тщательной проверке почты.
  16. Создайте группу реагирования на киберинцидент, которая будет действовать согласно пункта 10 и назначьте ответственных лиц.
  17. Постоянно проводите анализ возможных киберрисков. Кибераудит позволит выявить возможные инсайдерские проблемы.
  18. Обеспечьте план реагирования на кибератаку, например DDoS.
  19. Если в законодательстве или регламенте вашей отрасли существует порядок действий, на случай успешного кибиринцидента, отработайте порядок уведомления соответствующих органов.
  20. Информируйте сотрудников о произошедших киберинцидентах и проводите подробный анализ произошедшего, что надо сделать чтобы подобного не происходило.
  21. Учитесь на ошибках, не только своих, но и чужих. Постоянно мониторьте специализированные порталы, чтобы узнать о новой уязвимости или утечке и предупредить ее у себя.
  22. Никогда не думайте что вы в безопасности на 100%. Это иллюзия. Всегда существует вероятность киберриска!
  23. Застрахуйтесь от киберрисков. Обычное страхование не покроет ваших убытков, используйте киберстрахование. Киберстраховка уже стала появляться у отечественных страховых компаний.
  24. Идентифицируйте каждое устройство в вашей сети. С распространением IoT (интернета вещей), это могут быть и наручные смарт часы и система управления умным домом.
  25. Убедитесь что вся ваша инфраструктура защищена согласна пункта 3.
  26. Используется труд «белых хакеров» и программы Bug Bounty (деньги за найденные уязвимости).
  27. Знайте какие данные, куда и в каком виде вы отправляете и принимаете. Данных становится все больше, управлять ими все сложнее, лучше иметь четко расписанную структуру.
  28. Используйте защищенные облака как для хранения данных, так и для вашей инфраструктуры.
  29. Убедитесь что ваша сеть достаточно сегментирована, чтобы киберинцидент на одном ее узле не стал фатальным для всей структуры.
  30. Используйте базовые принципы для кибербезопасности в вашей отрасли. Например NIST для энергетического сектора.
  31. Помните и используйте все перечисленные правила и не ленитесь добавлять новые, если это будет необходимо!

 

Читайте также  Городские информационные системы американской Атланты парализованы вымогателем SamSam