Conscientização de segurança pode ser vista como o conhecimento total e comportamentos que as pessoas em uma organização têm em relação à proteção de ativos físicos e de informação. Ele também resume uma das partes mais difíceis da combinação de gerenciamento de segurança.
Não há uma referência estabelecida sobre o que a conscientização de segurança deve ser para todas as organizações. O nível de conscientização de segurança de sua organização pode variar muito com base no setor, no tamanho da empresa e em vários pontos de experiência. Para aqueles que trabalham em um setor altamente regulamentado, como saúde ou finanças, ou para uma grande empresa pública, pode haver uma necessidade maior de se submeterem a treinamento físico e cibernético de vez em quando.
Os erros cometidos por seres humanos são, na verdade, as maiores ameaças à segurança organizacional – afinal, você é tão forte quanto seu elo mais fraco e as pessoas são sua primeira linha de defesa. A melhor maneira de garantir que toda a sua força de trabalho esteja preparada para qualquer violação de segurança é implementar treinamento regular de segurança para os funcionários.
Não importa em qual setor você esteja, a conscientização sobre a segurança deve ser uma prática comercial central.
Atualmente, existe um potencial maior para que as pessoas deliberadamente ou acidentalmente distorçam, danifiquem, roubem ou abusem dos dados armazenados no computador e nos sistemas de informação de uma empresa. Por esse motivo, a maioria das organizações agora tem treinamento obrigatório de conscientização sobre segurança para todos os novos funcionários, bem como para os existentes.
De acordo com a Agência Europeia de Segurança de Redes e Informação, “estar ciente dos riscos e das salvaguardas disponíveis é a primeira linha de defesa para garantir a segurança dos sistemas e redes de informação”. Esta declaração enfatiza a necessidade de uma instituição ou organização proteger seus ativos físicos ou de informação, capacitando seus funcionários com consciência de segurança adequada.
Independentemente de você ser proprietário de uma empresa que deseja ensinar aos seus funcionários algumas dicas básicas de conscientização de segurança ou um funcionário que não foi devidamente armado com as dicas de conscientização de segurança adequadas, essas dicas aqui o beneficiarão muito. Mesmo que as dicas de conscientização de segurança possam variar dentro das organizações, algumas dicas básicas podem ser aplicáveis em todos os lugares e configurações. Reserve um tempo para estabelecer hábitos preocupados com a segurança, tanto em sua vida profissional quanto pessoal, e logo isso fará parte de sua rotina. Aqui estão 50 dessas dicas básicas:
Tabela de conteúdo
- 1. Treine funcionários de forma eficaz
- 2. Conheça o seu público
- 3. Reconhecer a importância das políticas
- 6. Fornece dispositivos seguros
- 7. Crie uma cultura de segurança cibernética e fale sobre isso com frequência
- 8. Gerenciamento de senha forte
- 9. Ensine os funcionários a reconhecer tentativas de phishing
- 10. Atenção com a proteção de sua identidade
- 11. Atribuição de todas as comunicações comerciais
- 12. Ao viajar
- 13. Wi-Fi público e gratuito
- 14. Proteja suas declarações nas redes sociais
- 15. Plug-ins podem representar riscos à segurança
- 16. Use VPN fornecido pela empresa sempre que disponível
- 17. Proteja seus dados com armazenamento e transmissão seguros
- 18. Sempre use seu próprio dispositivo
- 19. Nunca divulgue senhas e PINs
- 20. Nunca abra anexos e aplicativos estranhos
- 21. Mecanismo de segurança manual reduzido
- 22. Sem exceções no controle de acesso
- 23. Confiança na tecnologia
- 24. Não presuma, sempre explique
- 25. Monitore e analise regularmente
- 26. Sistema de crachás
- 27. Não exiba dados confidenciais em sua tela em locais públicos
- 28. Reduzir o acesso aos seus arquivos os mantém mais seguros
- 29. Não permita que outras pessoas sigam você através de entradas seguras sem passar o próprio cartão de acesso
- 30. Nunca deixe um estranho usar seu computador
- 31. O uso aceitável ainda se aplica em casa
- 32. É importante proteger com senha todas as informações confidenciais
- 34. Os dados confidenciais impressos devem ser destruídos ao serem descartados
- 35. As senhas sozinhas nem sempre fornecem proteção suficiente
- 36. Unidades USB podem transportar vírus
- 37. Sempre siga os regulamentos e políticas governamentais sobre retenção e destruição de dados confidenciais
- 38. Não desative as ferramentas de segurança
- 39. Desconfie de e-mails em HTML
- 40. Cuidado com os sites que você entra
- 41. Mantenha a diversão
- 42. Lembre-se de que é sobre o comportamento humano
- 43. Erros podem ser uma chance de aprender coisas novas
- 44. Gerenciamento de senha
- 45. Engenharia Social
- 46. Segurança da recepcionista
- 47. Plano de recuperação de desastres
- 48. Bloqueie a tela do computador quando não estiver temporariamente em uso
- 49. Não se venda pouco
1. Treine funcionários de forma eficaz
Todos os funcionários de uma organização, desde altos executivos até os de escalão inferior, precisam saber que têm um papel a desempenhar na manutenção da segurança eficaz em uma organização. O treinamento de conscientização sobre segurança é de extrema importância. Quando novos funcionários são empregados na organização, eles devem estar munidos de dicas de segurança adequadas, mas isso não deve ser uma atividade única. O treinamento precisa ser constantemente aplicado para garantir que a segurança seja a prioridade dos funcionários e que as ameaças mais recentes sejam cobertas. Pense em maneiras criativas de ministrar o treinamento para que prenda a atenção de todos e as informações tenham maior probabilidade de serem retidas.
2. Conheça o seu público
Para garantir o sucesso da conscientização sobre a segurança em sua empresa, você deve conhecer o usuário final. Em alguns casos, seu público pode não ser uma única pessoa. Você tem pessoas de diferentes faixas etárias e conhecimento tecnológico. Você tem pessoas que sabem o suficiente para serem perigosas, e outras que sabem tão pouco que são as mais perigosas. Em outras palavras, seu grupo demográfico é variado, então certifique-se de que seu conteúdo educacional, como vídeos e blogs, também seja. E nem sempre torne isso tão sinistro e sério.
3. Reconhecer a importância das políticas
As políticas definem quais padrões de comportamento são necessários e a função que todos têm para garantir a segurança. Deve haver uma série de políticas em vigor, cobrindo tópicos como uso aceitável, relatórios de incidentes e como lidar com artimanhas de engenharia social. É extremamente importante incluir essas políticas em seu programa de treinamento e conscientização de segurança para que os funcionários estejam cientes do que devem fazer. Sem comunicar essas políticas aos funcionários imediatamente, será extremamente difícil aplicá-las.
4. Garantir patrocínio executivo
Para garantir que a cultura de segurança esteja efetivamente arraigada em sua empresa e que orçamentos suficientes estejam disponíveis para programas de segurança para obter a adesão daqueles que estão no topo; deve caber a uma pessoa específica a responsabilidade executiva geral de conduzir o programa e mantê-lo sob controle, e eles devem se reportar diretamente ao conselho. Isso dará à sua organização a melhor chance de garantir que os objetivos de segurança sejam equilibrados com outros riscos que sua empresa enfrenta. Também demonstrará a todos na organização a importância que deve ser atribuída à segurança.
5. Aplicar controles básicos
É importante que todos os funcionários de uma organização entendam a necessidade de higiene de segurança. Uma política de mesa limpa precisa ser aplicada e todas as estações de trabalho e dispositivos bloqueados e desconectados quando não estiverem em uso. Práticas comuns, como o uso de senhas fortes que são difíceis de quebrar, juntamente com métodos de autenticação mais fortes e atualizações oportunas para controles de segurança, precisam ser aplicadas. Pesquise o que os usuários precisam e defina comportamentos básicos para os controles básicos de segurança que devem estar em vigor e a serem seguidos em todos os momentos.
6. Fornece dispositivos seguros
Às vezes, você pode descobrir que os links mais fracos são os usuários e, como tal, caberá a você protegê-los contra a exposição a riscos de segurança. Erros não intencionais e perda / roubo de dispositivos são algumas causas comuns de violação de segurança que podem levar à perda de dados confidenciais. Se um dispositivo for emitido pela empresa, é responsabilidade da empresa garantir que haja um alto nível de segurança integrado ao dispositivo. As organizações devem aumentar a conscientização sobre os perigos associados a aplicativos móveis e serviços de compartilhamento de arquivos e garantir que alternativas corporativas sejam fornecidas para atender às necessidades dos funcionários.
7. Crie uma cultura de segurança cibernética e fale sobre isso com frequência
Quando os líderes de negócios e as partes interessadas têm a segurança cibernética em mente, isso ajuda a criar uma cultura de segurança cibernética que permeia todo o nível do funcionário. “Faça o que eu digo, não o que eu faço”, nunca foi um ditado que realmente tivesse muito mérito. Os funcionários aprendem hábitos de segurança cibernética melhor por meio do exemplo de seus líderes. Esse tom do topo ajuda a cultura de segurança cibernética a permanecer na vanguarda das mentes das pessoas dentro da organização, aumentando a segurança e reduzindo o risco de erro humano.
Quando os funcionários entendem o impacto potencial que um ataque cibernético pode ter em sua organização, isso pode ajudar a incentivar melhores práticas de conscientização da segurança cibernética. Uma boa maneira de garantir que isso aconteça é implementar um programa anual de treinamento de conscientização sobre segurança cibernética. Este programa deve ser obrigatório e deve abranger todos os aspectos da conscientização da segurança cibernética para a força de trabalho, gerentes e profissionais de TI. Este programa também deve fazer parte da integração de novos funcionários. Outra maneira de conseguir isso é incorporando a conscientização da segurança cibernética nas práticas comerciais diárias.
8. Gerenciamento de senha forte
É do conhecimento comum que uma senha forte e uma frase secreta não devem ter menos de sete caracteres, que devem ser compostos por caracteres alfanuméricos. Além disso, o uso de caracteres exclusivos e uma combinação de letras maiúsculas e minúsculas pode aumentar a segurança da senha. Você deve evitar o uso de frases, palavras ou coisas comuns, como datas de nascimento ou que tenham uma conexão pessoal com você. Também é importante não reutilizar uma senha e exigir que as senhas sejam alteradas a cada 90 dias.
9. Ensine os funcionários a reconhecer tentativas de phishing
Atualmente, os ataques de phishing são uma das formas mais comuns de os criminosos cibernéticos atacarem as organizações. Educar seus funcionários para reconhecer o que é phishing por meio de treinamento apropriado, ajudará a prevenir esse ataque malicioso prejudicial. Uma tentativa de phishing que os cibercriminosos costumam fazer é criar e-mails que parecem uma comunicação legítima. Muitas vezes, eles vêm camuflados como algo que um funcionário pode estar esperando, como um e-mail de redefinição de senha, um aviso do RH ou uma confirmação de envio. Apesar do grande esforço dos cibercriminosos para disfarçar esses e-mails, ainda existem várias maneiras de identificar tentativas de phishing. Alguns dos quais são;
- Verificação de nome: nem é preciso dizer que clicar em um link contido em um e-mail de alguém que você não conhece é sempre perigoso. Nenhuma empresa jamais solicitará informações confidenciais, como nomes de usuário ou senhas, em mensagens inseguras para o usuário final. Os cibercriminosos chegam ao ponto de usar um endereço de e-mail muito semelhante ao endereço oficial de uma empresa, portanto, verificar de perto a origem do e-mail é uma prática crítica.
- Ortografia e gramática: verifique se há ortografia ou caracteres incomuns no corpo do e-mail, pois isso pode ser um bom indicador de tentativa de phishing, principalmente se o remetente do e-mail estiver solicitando informações confidenciais. Erros de ortografia e problemas de gramática devem ser um sinal de alerta quando aparentemente vindos de uma fonte confiável.
- Táticas de intimidação: mensagens que começam com “Ação urgente necessária” ou “Sua conta foi comprometida” que exigem que você clique em um link e insira informações confidenciais devem ser evitadas. Essas táticas de intimidação e amedrontamento são uma tentativa de fazer você desistir de suas credenciais.
- Links: você nunca deve clicar em um link de um e-mail enviado por alguém que você não conhece. Mesmo que o hiperlink em um e-mail pareça legítimo, é importante passar o mouse sobre o hiperlink (sem clicar) para ver o URL real.
- Relatório de incidentes de segurança cibernética: independentemente do treinamento de segurança que uma empresa terá, ainda há uma probabilidade de que um incidente de segurança possa ocorrer devido a erro humano. Quando isso acontece, é importante que os funcionários saibam como relatar esses incidentes. Ao enfrentar um problema de segurança cibernética o mais rápido possível, ele pode evitar que ele se transforme em algo ainda mais sério. O treinamento de resposta a incidentes deve ser outra parte integrante da integração do seu funcionário e deve ser revisado em toda a empresa anualmente. Um bom plano de resposta a incidentes inclui o seguinte; Preparação, detecção e identificação, contenção, remediação, recuperação e lições aprendidas.
10. Atenção com a proteção de sua identidade
A identidade corporativa de um funcionário é o componente crítico para proteger todos os segredos importantes ou documentos altamente classificados, registros de clientes, propriedade intelectual ou segredos de design. Os hackers são conhecidos por fazer qualquer coisa para enganar os funcionários para que roubem suas credenciais de acesso. Isso não deve ser limitado apenas à atualização regular de senha com caracteres alfanuméricos fortes. Uma boa regra é tratar todos os arquivos, pastas, documentos, mídias sociais e sites corporativos aos quais você tenha acesso como se fosse sua própria conta bancária. Você compartilharia os detalhes da sua conta bancária com mais alguém? Na mesma linha, compartilhar sua identidade corporativa nunca é uma boa ideia, mesmo em circunstâncias temporárias.
Sempre faça perguntas antes de divulgar informações privadas sobre você ou seu empregador, especialmente quando você acha que os detalhes solicitados não são necessários para o objetivo. Nunca divulgue os detalhes solicitados antes de ser informado sobre como as informações seriam utilizadas e ter a certeza de que seriam protegidas. Se você não estiver satisfeito com as respostas dadas, não divulgue seus dados.
De vez em quando, também é uma boa ideia verificar com o departamento de TI a que exatamente você tem acesso. Principalmente se você já está na empresa há muito tempo. Você realmente deseja acessar os sistemas que usava há 5 anos? Isso só cria risco, e não há problema em pedir uma lista de coisas que você ainda pode acessar e solicitar que o acesso seja removido.
11. Atribuição de todas as comunicações comerciais
A atribuição envolve conhecer o autor de uma mensagem. É importante treinar para adquirir o hábito de verificar o autor ou criador de uma comunicação digital para você (via e-mail, texto, mídia social, mensagem automática, alerta / notificação de site, etc.). É fácil tornar essa técnica parte de você assim que você começa a fazer a pergunta certa. Com o e-mail, você pode clicar duas vezes em um nome ou passar o mouse sobre o campo De e será direcionado para o endereço de e-mail real. Mensagens de SPAM, ataques de phishing e ransomware mal-intencionado geralmente se resolvem em uma sequência de caracteres que são facilmente vistos como suspeitos. Se o e-mail não terminar com “nomedaempresa.com”, você provavelmente está sendo submetido a algum tipo de comunicação enganosa. O mesmo é verdade para URLs maliciosos. Em vez de clicar no link para descobrir o que significa, passe o mouse ou clique com o botão direito para ver a aparência de toda a string. Essas mudanças no comportamento podem realmente fazer a diferença além de apenas atualizar antivírus, patch de sistema operacional e controles de segurança de firewall.
12. Ao viajar
Ao viajar, não é aconselhável colocar seus laptops e tablets na bagagem despachada, a menos que isso seja exigido pelos regulamentos de segurança da companhia aérea. É muito fácil esses dispositivos serem roubados de sua bagagem despachada. Lembre-se de recuperar os dispositivos nos pontos de verificação da TSA. Verifique novamente se você tem todos os seus pertences antes de sair do posto de controle da TSA. Você nunca deve deixar seus dispositivos sem vigilância quando estiver no aeroporto. Não presuma que sua bolsa estará segura se você for rapidamente ao banheiro ou comprar algo e deixar seus itens sem vigilância. Alguém poderia facilmente ver você se afastar e pegar seus itens.
Quando estiver no avião, proteja seus dispositivos. Telefones, tablets e laptops podem ser facilmente roubados dos compartimentos superiores ou de seu assento ou do bolso do assento quando você usa o banheiro. Antes de sair da aeronave; verifique novamente a área do assento e o bolso do assento para se certificar de que não deixou nenhum dispositivo para trás.
A cada ano, milhões de dispositivos são deixados para trás em aviões e roubados ou nunca recuperados. Nunca deixe sua bolsa de computador ou laptop sem supervisão em um veículo. Roubos de veículos são uma das formas mais comuns de perda de laptops. Se você estiver movendo uma bolsa de computador para o porta-malas de seu veículo, não faça isso na mesma área onde planeja estacionar. Os criminosos ficam sentados em estacionamentos observando especificamente esse tipo de atividade. Sempre que possível, bloqueie seus dispositivos no cofre do hotel quando não estiver no quarto. Cada vez que você sair do seu quarto de hotel, lembre-se de fechar a porta e verificar se ela está trancada. Ladrões de hotéis andam pelos corredores empurrando portas para encontrar portas que não estão devidamente trancadas.
Se o seu dispositivo for roubado, certifique-se de limpá-lo remotamente e denuncie o roubo à polícia. Se o dispositivo foi emitido pelo seu empregador, você também deve notificá-lo.
Quando em movimento, é fácil perder itens importantes não apenas dispositivos móveis e laptops. Leve consigo apenas os cartões de crédito, a identificação e o dinheiro de que precisa e minimize a quantidade total de itens que carrega de uma vez para reduzir a possibilidade de perdê-los de vista. Quaisquer itens importantes ou caros que não sejam carregados com você devem ser trancados no cofre do hotel. Isso inclui um método de pagamento de backup, como um cartão de crédito adicional, que pode ser usado se você perder seus outros itens. Copie suas informações de identificação e deixe as cópias no cofre para segurança adicional.
13. Wi-Fi público e gratuito
É possível que os hackers configurem redes Wi-Fi falsas que parecem a rede local legítima para cafeterias, restaurantes, hospitais, shoppings, bibliotecas e outros locais públicos que você visita. À medida que os hackers recorrem à mineração de criptomoedas para monetizar seus hackers, estamos começando a ver o hotspot Wi-Fi hackeando para instalar malware de criptomoeda em dispositivos de usuários desavisados. Nunca presuma que seus dispositivos são seguros, mesmo em sua cafeteria local. Nem é preciso dizer que nunca é seguro acessar seu local de trabalho remotamente usando Wi-Fi público e gratuito sem VPN.
14. Proteja suas declarações nas redes sociais
Você deve ter em mente que tudo o que você postar nas redes sociais pode ser visto por qualquer pessoa e, como tal, você não deve postar nada sobre a organização sem o consentimento dos órgãos competentes. Mesmo se sua conta de mídia social estiver definida como privada, tudo o que você postar pode ser compartilhado na Internet e não pode ser excluído depois que outras pessoas o pegarem e compartilharem. Você deve obter permissão por escrito antes de publicar qualquer coisa online sobre um colega de trabalho, colega, cliente ou qualquer outra pessoa ligada à sua organização.
15. Plug-ins podem representar riscos à segurança
Use apenas os plug-ins de que você precisa. Embora os plug-ins possam facilitar a navegação, os plug-ins também podem representar riscos à segurança. Mantenha a quantidade mínima de plug-ins que você usa. Desinstale ou desative quaisquer plug-ins que não esteja usando e mantenha os plug-ins que usa atualizados com frequência para se proteger contra problemas de segurança. Instale apenas plug-ins de empresas confiáveis.
16. Use VPN fornecido pela empresa sempre que disponível
Você deve sempre utilizar a VPN enquanto estiver conectado a um Wi-Fi público. O software VPN deve estar disponível para todos os dispositivos com suporte corporativo. Sempre que possível, use o recurso de tethering do telefone ou serviço de Internet celular em vez do Wi-Fi gratuito. Nunca conduza transações financeiras, incluindo qualquer transação que exija um cartão de débito ou crédito, ao usar serviços de Wi-Fi públicos ou gratuitos. Considere alterar suas senhas depois de viajar, caso elas tenham sido comprometidas durante a viagem.
17. Proteja seus dados com armazenamento e transmissão seguros
Muitas pessoas possuem informações de natureza confidencial em seus computadores. Essas informações, como informações de contas bancárias, informações pessoais e muito mais, podem ser usadas para fins maliciosos nas mãos erradas. Para proteger esses dados, você deve sempre usar os protocolos de criptografia apropriados para armazenamento e transmissão.
Os protocolos de criptografia selam os dados armazenados por trás de uma fechadura virtual, protegendo os dados de hackers. Os dispositivos de armazenamento, como uma unidade de disco rígido ou uma unidade flash, devem ser criptografados e você deve usar proteção segura de Wi-Fi e SSL (camada de soquete seguro) ao transmitir informações confidenciais. Procure HTTPS no endereço da web para verificar se os dados estão sendo transmitidos com segurança.
18. Sempre use seu próprio dispositivo
Mesmo que você tenha “limpado todos os seus rastros” depois de usar outro computador, um keylogger (um programa que registra todos os seus toques de tecla) revelaria facilmente tudo o que você fez no computador. Se você deseja trabalhar com senhas ou outras informações confidenciais, use seu próprio dispositivo (que você possui e protege).
19. Nunca divulgue senhas e PINs
Nunca confie muito em seus amigos, parentes ou colegas de trabalho. Sempre mantenha suas senhas e PINs para você. Quanto mais você divulgar suas informações privadas para outras pessoas, maiores serão os riscos de se queimar.
20. Nunca abra anexos e aplicativos estranhos
De acordo com pesquisas, uma das formas mais comuns de disseminação de worms e vírus é por meio de anexos de e-mail. Portanto, evite abrir anexos de e-mail de remetentes desconhecidos. Mesmo se um e-mail de alguém que você conhece contiver um anexo de aparência estranha, pergunte ao remetente sobre ele antes de abri-lo. Ferramentas de compartilhamento de arquivos são outros meios pelos quais você pode obter arquivos ruins em seu computador
21. Mecanismo de segurança manual reduzido
É muito crítico para o gerente de segurança reduzir os procedimentos manuais diários de segurança física e controle de acesso. Mecanismos de segurança totalmente automatizados são mais robustos e infalíveis quando comparados aos manuais.
22. Sem exceções no controle de acesso
Esta é uma das diretrizes mais importantes para a segurança do local de trabalho voltada para o gerenciamento da segurança física e lógica com mais robustez. Se, por qualquer motivo, uma exceção for feita, ela deve ser baseada no protocolo apropriado e deve ser rastreável.
23. Confiança na tecnologia
Todos os controles de acesso, controles administrativos e controles de dados devem ser devidamente alimentados por tecnologias modernas e disruptivas para alcançar a melhor segurança no local de trabalho. A tecnologia não é tendenciosa, não trapaceia nem engana; ele sempre permanece transparente e muito mais confiável do que os métodos manuais.
24. Não presuma, sempre explique
É uma prática comum da administração em algumas empresas presumir que todos os que trabalham na organização estão cientes dos procedimentos de segurança e das medidas de emergência a serem tomadas e acabam pagando caro por essa suposição. Mesmo algumas coisas que você pode achar que são óbvias podem não ser óbvias para alguns funcionários. Portanto, o treinamento regular sobre conscientização de segurança é sempre importante.
25. Monitore e analise regularmente
Sempre monitore os sistemas de segurança do local de trabalho existentes, procedimentos, políticas e seus resultados em uma base regular. Esta é uma das melhores dicas para manter a segurança do local de trabalho no sentido real. Nunca ignore os procedimentos definidos para monitorar o mecanismo de segurança no local de trabalho.
26. Sistema de crachás
Implementar um sistema de crachás em seu local de trabalho pode ajudá-lo a manter o edifício seguro e protegido, ao mesmo tempo que oferece outros benefícios. Com um sistema de crachá instalado, ele ajudará a evitar que pessoas não autorizadas tenham acesso ao prédio e também protegerá o escritório quando não houver trabalhadores presentes. Os códigos dos crachás podem ser atualizados instantaneamente para evitar que ex-funcionários entrem no prédio.
Os sistemas de crachás também podem ser integrados a um sistema de cronometragem, tornando mais fácil para os gerentes da empresa controlar as horas de trabalho dos funcionários.
Mesmo que o Access Badge seja louvável, eles também podem ser usados por um insider malicioso. E, como tal, você deve sempre saber onde está seu distintivo. Alguém dentro da organização, incluindo colegas de trabalho e visitantes, pode usar seu crachá de acesso para obter dados confidenciais da organização. A fim de garantir que os crachás de acesso sejam o mais eficazes possível, você deve sempre garantir que seu crachá esteja com você o tempo todo. Usar seu crachá o tempo todo é a melhor maneira de evitar perdê-lo. Se por qualquer motivo o seu crachá se perder, você deve informar imediatamente aos órgãos competentes. Isso é verdade mesmo se você encontrar seu crachá novamente mais tarde; o crachá pode ser levado, usado e depois devolvido.
27. Não exiba dados confidenciais em sua tela em locais públicos
A segurança do dispositivo móvel vai além de simplesmente garantir que seus dados sejam criptografados e suas conexões protegidas. Se você exibir dados confidenciais na tela do computador em um local público, eles podem ser lidos por outras pessoas. Os dados confidenciais nunca devem ser vistos em um local público de forma que possam ser vistos por outra pessoa. Em vez disso, você sempre deve ver seus dados confidenciais em particular. Se você precisar concluir o trabalho em um local público, fique de costas para a parede.
28. Reduzir o acesso aos seus arquivos os mantém mais seguros
Use listas de controle de acesso para garantir que os arquivos sejam acessados com base na necessidade de conhecimento. As listas de controle de acesso permitem que você controle quem pode ver seus arquivos e se eles podem ler, modificar ou excluí-los. O uso de listas de controle de acesso garantirá que apenas aqueles que precisam de seus arquivos possam visualizá-los e que não possam fazer nada com os arquivos que você não deseja. Ao reduzir a exposição geral de seus arquivos, você pode diminuir o risco. Você também pode diminuir a chance de os arquivos serem editados ou excluídos acidentalmente.
29. Não permita que outras pessoas sigam você através de entradas seguras sem passar o próprio cartão de acesso
Antes de obter acesso ao ambiente de trabalho, todos devem passar seus próprios cartões de acesso de identificação. Se eles ainda se recusarem a passar seu cartão de acesso de identificação, avise a segurança e forneça os detalhes do evento. A maioria desses sistemas de controle de entrada registra uma trilha de auditoria de quem entra em qual porta e quando.
30. Nunca deixe um estranho usar seu computador
Estranhos podem tentar obter acesso ao seu computador para que possam acessar documentos sensíveis ou confidenciais. Eles podem fornecer um motivo pelo qual precisam usar o computador, como um favor pessoal. Qualquer pessoa em seu computador terá acesso aos arquivos e sistemas aos quais você tem acesso. Você nunca deve permitir que um estranho acesse seu computador de trabalho ou de casa.
31. O uso aceitável ainda se aplica em casa
Siga todas as políticas, mesmo quando estiver trabalhando remotamente. As políticas de uso aceitável são projetadas para serem usadas independentemente de onde você trabalha. Esteja você trabalhando em casa ou em uma viagem de negócios, você ainda deve seguir as políticas de uso aceitáveis para proteger a si mesmo e à organização.
32. É importante proteger com senha todas as informações confidenciais
Crie senhas fáceis de lembrar, mas complexas. Senhas mais longas e complexas são mais difíceis de adivinhar e, portanto, protegerão os dados muito melhor do que senhas mais curtas e simples. Tente criar frases de senha e substituir letras por números e símbolos para aumentar a complexidade. Uma frase de senha pode ser algo tão simples como “lembrar da lista”. Com substituições e símbolos, torna-se “R3m3mb3rdlISt.” Esta é uma senha muito difícil de adivinhar, mas fácil de lembrar.
33. Não instale software em seu computador de trabalho a menos que tenha sido aprovado e autorizado para o seu computador
O software que não foi autorizado para uso pode conter vírus e outros tipos de malware e pode causar conflito com outros aplicativos. O software deve ser devidamente contabilizado e seguir os requisitos de licenciamento adequados. Se você precisar de um software que não seja aprovado ou autorizado para o seu computador, entre em contato com o seu supervisor ou com o departamento de TI.
Além disso, vírus e malware podem conectar computadores para realizar tarefas. Isso pode ser prejudicial ao seu sistema e a outros. Alguns vírus e malware podem não fazer nada perceptível ao seu computador, mas sim usá-lo. Um botnet é um amálgama de muitos computadores que estão ligados entre si para cumprir um propósito, como um ataque malicioso contra um alvo de terceiros. Embora esses vírus e malware não possam danificar seu sistema, eles podem ser usados para danificar outro sistema ou para cometer alguma forma de crime. Os sinais de que seu computador pode estar em um botnet incluem o funcionamento lento do computador ou a transmissão de dados quando não deveria. Seu software de proteção contra vírus deve ser mantido atualizado e sempre ativado para protegê-lo disso.
34. Os dados confidenciais impressos devem ser destruídos ao serem descartados
Não é incomum que invasores vasculhem o lixo de sua vítima potencial em busca de informações confidenciais e valiosas. A política de classificação de dados descreve quais classificações de documentos devem ser fisicamente destruídas (retalhadas) antes do descarte.
35. As senhas sozinhas nem sempre fornecem proteção suficiente
A autenticação de dois fatores é um tipo especial de segurança que envolve dois tipos e estágios separados de autenticação. Normalmente, a autenticação de dois fatores usa algo que você “tem” junto com algo que você “conhece”. Os caixas eletrônicos usam autenticação de dois fatores, solicitando seu cartão ATM (o que você tem) e seu PIN (o que você sabe), enquanto muitas contas online exigem que você tenha uma senha e verifique sua identidade com seu telefone ou outro dispositivo. Outras formas de autenticação de segurança de dois fatores podem incluir um token ou um dispositivo de mídia removível, como uma unidade USB.
36. Unidades USB podem transportar vírus
Você nunca deve conectar uma unidade USB gratuita ou encontrada em seu computador. Uma vez conectado a um computador, um drive USB pode transferir um vírus ou outro malware para o seu sistema. Você nunca deve conectar uma unidade USB que recebeu gratuitamente ou que encontrou em algum lugar do escritório; mesmo que a unidade USB tenha sido encontrada funcionando, ainda pode haver um vírus nela. Mantenha suas unidades USB claramente marcadas para evitar qualquer confusão entre você e seus colegas de trabalho e sempre as mantenha em um local específico. Além disso, você deve ter um antivírus forte que possa escanear uma unidade USB.
37. Sempre siga os regulamentos e políticas governamentais sobre retenção e destruição de dados confidenciais
Certos tipos de dados devem ser armazenados com segurança por um determinado período de tempo e, em seguida, descartados de maneira segura. O período de retenção de dados varia de local para local e também depende da natureza das informações (como registros médicos ou financeiros). Esteja sempre ciente das políticas de retenção e destruição de dados em sua jurisdição local, bem como da política de segurança da informação. Determine se os dados são públicos, privados ou confidenciais ao prepará-los para armazenamento e remoção. Peça orientação ao seu supervisor sempre que tiver dúvidas.
38. Não desative as ferramentas de segurança
Um erro comum que as pessoas podem cometer e que expõe a eles e a seus computadores a ataques maliciosos é desligar seu antivírus ou firewall com a intenção de detectar problemas em um aplicativo lento. Na maioria das vezes, eles esquecem de ligá-lo novamente e isso volta para mordê-los.
39. Desconfie de e-mails em HTML
Mesmo que não seja óbvio para você, alguns e-mails podem conter texto incorporado que pode ser tão perigoso quanto anexos maliciosos. O texto HTML incorporado e PDF podem conter códigos prejudiciais. Portanto, não abra nenhum e-mail não solicitado.
40. Cuidado com os sites que você entra
Antes de navegar pelas páginas de um site, leia a política de privacidade para saber se algumas das informações inseridas serão compartilhadas. Insira apenas informações muito confidenciais em páginas da web seguras (com “https” na barra de endereço).
41. Mantenha a diversão
Mesmo que a segurança no local de trabalho seja um negócio sério, há maneiras de envolver os funcionários e manter a conscientização sobre segurança divertida. Você pode começar fazendo um concurso de adoção e uso.
42. Lembre-se de que é sobre o comportamento humano
Conscientizar a segurança, como forma de manter sua empresa e seus dados mais seguros, envolve algo bastante único no restante do mix. Não é apenas técnico. Também é emocional. Não se trata de uma configuração de roteador. É sobre o que as pessoas pensam e sentem quando veem seu último memorando sobre não fazer isso ou muito mais daquilo. É sobre como eles processam as informações, seja em intervalos de 5 a 10 segundos ou sentados para uma longa leitura.
Uma maneira de fazer a melhor conexão é trazer o mundo externo para ajudar. Promova a conscientização sobre a segurança não apenas sobre a segurança no trabalho, mas também sobre segurança em todos os lugares. Você tem funcionários que são pais e estão tentando melhorar em lidar com o cyberbullying. Faça seu programa sobre como proteger tudo e todos que são importantes para eles. Já vai ser sobre as coisas com que você se preocupa – seus ativos de TI, seu IP, suas auditorias anuais. O que há para eles? Se você espera que seus colegas lhe dêem alguns minutos, retribua o favor e compartilhe como eles podem ficar mais seguros online, independentemente do contexto.
43. Erros podem ser uma chance de aprender coisas novas
Alguns funcionários podem não ser capazes de adotar todas as práticas de conscientização de segurança imediatamente, então você terá que ter um pouco de paciência com eles. Se eles cometerem um erro, e cometerão, faça disso uma experiência de aprendizado positiva. Use um simulador de phishing e teste seus colegas para ver se eles clicam em links de e-mails que não deveriam. Se falharem, dê-lhes a chance de aprender na hora e seguir em frente.
44. Gerenciamento de senha
Para garantir a segurança máxima das senhas, você não deve escrever senhas em notas e colocá-las perto do computador. Esconder notas de senhas em teclados, caixas de lenços de papel, mata-borrões, etc. não é segurança. Não compartilhe suas senhas com ninguém e certifique-se de que ninguém esteja olhando quando você digitar sua senha.
45. Engenharia Social
Você não deve fornecer números de telefone ou outras informações pessoais de colegas de trabalho a pessoas que não conhece. Se um chamador parecer suspeito, pergunte o nome, o nome da empresa e o número de telefone para ligar de volta.
46. Segurança da recepcionista
A recepcionista em uma organização deve ser treinada sobre como lidar com chamadas telefônicas com segurança, admitir visitantes e admitir com segurança funcionários que esqueceram seu crachá de funcionário.
47. Plano de recuperação de desastres
Cada empresa deve ter um local seguro fora do local, onde armazene back-ups. Deve haver um procedimento estabelecido para que sua empresa possa se recuperar caso sofra um desastre.
48. Bloqueie a tela do computador quando não estiver temporariamente em uso
Sempre que você se afastar do computador de trabalho, deve bloquear a tela com um protetor de tela de senha que manterá o computador seguro quando não estiver ativo. Você pode usar o atalho (Windows + L) para bloquear a tela de forma rápida e fácil.
49. Não se venda pouco
Algumas pessoas em uma organização podem acreditar que uma violação de segurança não virá através delas. Essas pessoas são ingênuas o suficiente para se considerarem sem importância a ponto de não tomarem nenhuma medida de precaução para manter a segurança de seu dispositivo. Cabe à gerência fazer todos na organização perceberem que também são alvos potenciais de hackers.
Em conclusão, é um ditado popular que a segurança requer uma combinação de pessoas, processos e tecnologia. Portanto, é vital que a conscientização sobre a segurança seja alta entre todos em uma organização, para que todos saibam que papel devem desempenhar na manutenção de uma segurança eficaz para seus negócios.