Parece que você pode ser uma pessoa fora da TI tentando educar seus colegas. Embora isso seja uma coisa boa e algo que eu incentivaria, seu departamento de TI deve estar conduzindo os padrões e políticas de segurança.
Este treinamento deve servir como um meio de reforçar e educar sobre as razões por trás das políticas de segurança já em vigor. Se não houver um documento de política de segurança por escrito, deve haver.
Muitas das coisas que você lista não devem estar no controle dos usuários finais. Por exemplo, o usuário final médio menos técnico não deve poder instalar software em sua estação de trabalho. Suspeito que há vários problemas de suporte, configuração e malware dentro da empresa que poderiam ser facilmente evitados pela política, se possível.
Se os fundamentos já não estiverem escritos e impostos pela política de TI, esses são problemas que devem ser resolvidos antes de tentar educar os usuários. Algumas das políticas voltadas ao usuário final incluem:
- Privilégios mínimos necessários para executar a função do trabalho
- Atualizações de software executadas automaticamente com atenção ao risco de segurança
- Padrões de segurança impostos pela política (ou seja, configurações do navegador da Web)
- Expiração de senha (90 dias)
- Aplicação da força da senha (Alfanumérica, caso misto, 9 caracteres ou mais)
- Não é possível usar as últimas 5 senhas
- Criptografia de armazenamento do dispositivo portátil (laptop)
- Política de classificação de dados
- Política que determina o tratamento de dados restritos e confidenciais, conforme definido na política de classificação.
- Política de eliminação de dados
- Política de acesso a dados
- Política de dispositivo portátil
Existe uma infinidade de políticas e procedimentos adicionais que se aplicam tanto ao desenvolvimento adequado quanto à manutenção técnica nos grupos de infraestrutura. (Controle de alterações, revisão de código, padrões do sistema e muito mais).
Após toda a fundação estar estabelecida, os funcionários devem receber cópias da política de segurança por escrito e o treinamento em torno dessa política também seria apropriado. Isso abrangeria as melhores práticas do usuário final, aplicadas tecnicamente e não. Algumas delas incluem:
- Tratamento de informações restritas e confidenciais como parte dos negócios.
- Não envie e-mails ou transmita-os sem criptografia, descarte-os corretamente, etc.
- Manipulação de senhas.
- Não deixe escrito embaixo do teclado, em post-it notes, share, etc.
- Não compartilhe contas ou dados de autenticação. (Novamente)
- Não deixe as estações de trabalho desbloqueadas ou a propriedade da empresa (dados) sem segurança (laptops)
- Não execute software sem considerar
- Como anexos de e-mail.
- Riscos e cenários relacionados à engenharia social
- Tendências atuais de malware aplicáveis aos negócios ou à indústria.
- Políticas e riscos específicos do negócio ou da indústria.
- Ensino geral sobre como (se) eles são monitorados
- Como a TI aplica as políticas de segurança de maneira técnica e administrativa.
O PCI DSS apresenta muitas das melhores práticas em relação às políticas de segurança. Além disso, o livro Prática de administração de sistemas e redes aborda as melhores práticas fundamentais relacionadas à segurança de TI.