As dez principais dicas de segurança para usuários não técnicos

Parece que você pode ser uma pessoa fora da TI tentando educar seus colegas. Embora isso seja uma coisa boa e algo que eu incentivaria, seu departamento de TI deve estar conduzindo os padrões e políticas de segurança.

Este treinamento deve servir como um meio de reforçar e educar sobre as razões por trás das políticas de segurança já em vigor. Se não houver um documento de política de segurança por escrito, deve haver.

Muitas das coisas que você lista não devem estar no controle dos usuários finais. Por exemplo, o usuário final médio menos técnico não deve poder instalar software em sua estação de trabalho. Suspeito que há vários problemas de suporte, configuração e malware dentro da empresa que poderiam ser facilmente evitados pela política, se possível.

Se os fundamentos já não estiverem escritos e impostos pela política de TI, esses são problemas que devem ser resolvidos antes de tentar educar os usuários. Algumas das políticas voltadas ao usuário final incluem:

• Privilégios mínimos necessários para executar a função do trabalho
• Atualizações de software executadas automaticamente com atenção ao risco de segurança
• Padrões de segurança impostos pela política (ou seja, configurações do navegador da Web)
• Expiração de senha (90 dias)
• Aplicação da força da senha (Alfanumérica, caso misto, 9 caracteres ou mais)
• Não é possível usar as últimas 5 senhas
• Criptografia de armazenamento do dispositivo portátil (laptop)
• Política de classificação de dados
• Política que determina o tratamento de dados restritos e confidenciais, conforme definido na política de classificação.
• Política de eliminação de dados
• Política de acesso a dados
• Política de dispositivo portátil

Existe uma infinidade de políticas e procedimentos adicionais que se aplicam tanto ao desenvolvimento adequado quanto à manutenção técnica nos grupos de infraestrutura. (Controle de alterações, revisão de código, padrões do sistema e muito mais).

Após toda a fundação estar estabelecida, os funcionários devem receber cópias da política de segurança por escrito e o treinamento em torno dessa política também seria apropriado. Isso abrangeria as melhores práticas do usuário final, aplicadas tecnicamente e não. Algumas delas incluem:

• Tratamento de informações restritas e confidenciais como parte dos negócios.
  • Não envie e-mails ou transmita-os sem criptografia, descarte-os corretamente, etc.
• Manipulação de senhas.
  • Não deixe escrito embaixo do teclado, em post-it notes, share, etc.
• Não compartilhe contas ou dados de autenticação. (Novamente)
• Não deixe as estações de trabalho desbloqueadas ou a propriedade da empresa (dados) sem segurança (laptops)
• Não execute software sem considerar
  • Como anexos de e-mail.
• Riscos e cenários relacionados à engenharia social
• Tendências atuais de malware aplicáveis aos negócios ou à indústria.
• Políticas e riscos específicos do negócio ou da indústria.
• Ensino geral sobre como (se) eles são monitorados
• Como a TI aplica as políticas de segurança de maneira técnica e administrativa.

O PCI DSS apresenta muitas das melhores práticas em relação às políticas de segurança. Além disso, o livro Prática de administração de sistemas e redes aborda as melhores práticas fundamentais relacionadas à segurança de TI.

Minha dica principal (que eu estou ensinando lentamente às pessoas) é uma variação do seu # 1:

Know how to check where an email really comes from, and check any message that's the least bit strange.

Para o Outlook, isso significa saber como exibir os cabeçalhos da Internet e o significado das linhas Recebidas de.

Para pessoal não-técnico, baixar e instalar software não é (e eu diria que não deveria ser) uma opção, eles não devem ter acesso de administrador para instalar o software. Mesmo para programadores aos quais damos acesso de administrador, recomendamos veementemente que eles consultem a TI antes de fazer o download e a instalação.

Para senhas, sempre repito o conselho de Bruce Schneier: as senhas devem ser strongs o suficiente para fazer algum bem e, para lidar com a dificuldade de lembrá-las, você pode anotá-las em um pedaço de papel e guardá-las na carteira. cartão de senha como um cartão de crédito e saber como cancelar (mudar) se você perder sua carteira.

Dependendo de quantos laptops você tem e de como você faz backup, incluo uma dica sobre como manter os dados em laptops seguros. Se você não tem um sistema para fazer backup / replicar dados em laptops para a sua rede, você deve, e se você tem um sistema, você deve se certificar de que os usuários de laptop sabem como funciona. Um laptop perdido ou roubado cheio de dados é - no mínimo - uma dor no traseiro.

Defina o que é uma senha fraca e strong e forneça algumas boas maneiras de criar e lembrar senhas strongs.

Seu segundo ponto parece indicar que os usuários têm permissão para instalar software em seus computadores. Eu diria que é um problema na maioria dos casos. Mas se eles têm permissão para instalar o software, então é um bom ponto para cobrir.

Certifique-se de ter exemplos de engenharia social. Isso os ajuda a saber o que procurar e os assusta um pouco para ficarem mais paranóicos. Eu gosto de pedir às pessoas que pensem sobre o que fariam se encontrassem um pendrive na calçada do lado de fora do escritório. A maioria das pessoas honestas o pegava e ligava em seu computador para ver se algo na unidade identificaria quem é o proprietário. A maioria das pessoas desonestas fará a mesma coisa ... mas provavelmente só para ver se há algo de bom nisso antes de apagá-lo para usá-lo. Em qualquer caso via autorun, pdf malicioso, etc, é uma maneira muito fácil de possuir um computador dentro de uma empresa de sua escolha, instale um logger de digitação, etc.

E sobre

• Mantenha seu sistema operacional e aplicativos totalmente atualizados. Isso inclui versões principais também, pelo menos uma vez que uma versão principal teve alguns meses para amadurecer. Um XP SP3 totalmente corrigido executando um IE6 totalmente corrigido ainda é muito menos seguro que o Windows 7 executando o IE8 (ou melhor ainda, o Chrome).
• Evite sistemas operacionais e aplicativos populares - eles são muito mais propensos a serem explorados. Se você puder evitar produtos importantes da Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) e Adobe (Flash, leitor de PDF), será muito menos provável que você seja comprometido pela grande maioria dos explorações ativas lá fora.
• Mantenha seu antivírus (suíte antimalware) atualizado e digitalizando regularmente.
• Mantenha seu firewall pessoal atualizado e funcionando.
• Use protocolos de e-mail seguros (por exemplo, verifique se o seu POP / IMAP / SMTP está protegido por SSL).
• Não ative o compartilhamento de arquivos do Windows (SMB) ou o sshd (essas são as duas portas mais atacadas).
• Ative a criptografia WPA2 em sua rede Wi-Fi doméstica.
• Nem visite sites não confiáveis.

Você tem um bom começo, mas, como outros já mencionaram, você está começando em desvantagem se os usuários puderem instalar o software. Eu não sugeriria usar o download.com; em vez disso, os usuários devem solicitar a TI um programa que resolva seu problema em vez de tentar encontrar um deles (a menos que a maioria seja de desenvolvedores ou bastante experiente). Remover direitos de administrador resolve esse problema.

Adições:

1. Use senhas diferentes para a maioria dos sites e use um Password Safe de algum tipo para rastreá-las (KeePass, PWSafe, etc.). Veja como o e-mail do MediaDefender foi hackeado e pergunte aos usuários que medidas teriam evitado a intrusão. Nunca use sua senha de domínio de trabalho em nenhum outro lugar e não encaminhe o correio / tráfego da empresa por sistemas não confiáveis.
2. Escolha senhas decentemente complexas. Faça um crack ao vivo usando John the Ripper em um hash de senha de exemplo (certifique-se de obter permissão para usar ferramentas de cracking IN WRITING da empresa primeiro, caso as pessoas exagerem). Mostrar aos usuários que "PRISCILLA1" está quebrado em < 2 segundos é um abridor de olho. Usamos o Enforcer de Políticas de Senha da Anixis para garantir que as senhas ruins não entrem.
3. Não insira nada que não seja fornecido a você pela TI. Ilustre o ponto, conectando um dispositivo USB Keylogger ou executando um cavalo de Tróia (a execução automática deve ser desativada, mas isso é outra história).
4. Suponha que todo o tráfego em todas as redes seja rastreado e registrado nas duas extremidades, mesmo se criptografado para impedir ataques de MitM. O WikiScanner é um bom exemplo do uso de endereços IP para identificar quem fez edições "anônimas".