Εισαγωγή
Με κάθε νέο κομμάτι της τεχνολογίας έρχονται και νέες δυνατότητες για την παραβίαση της ασφάλειας των δεδομένων. Οι κίνδυνοι που ενυπάρχουν στη χρήση ενός smartphone ή ενός tablet είναι αρκετά διαφορετικοί από εκείνους που συνδέονται με ένα φορητό υπολογιστή. Ακόμα και η ευκολία του ασύρματου δικτύου έχει περισσότερες ευκαιρίες για επίθεση από τα παραδοσιακά ενσύρματα δίκτυα.
Ενώ τα περισσότερα μέτρα ασφαλείας επικεντρώνονται σε εξωτερικές απειλές από τους hacker και τις κακόβουλες λήψεις, οι εσωτερικές απειλές ισοδυναμούν σε διπλάσια απώλεια από τις εξωτερικές απειλές.
Μια εσωτερική απειλή θα μπορούσε να είναι η διαγραφή ή η διάδοση ηλεκτρονικών αρχείων που σχετίζονται με την περίπτωση ενός πελάτη. Ένας υπάλληλος θα μπορούσε επίσης να μοιραστεί τον κωδικό πρόσβασής του με έναν άλλο, δίνοντας σε κάποιον πρόσβαση πέρα από το πεδίο της θέσης του.
Προκειμένου να αποφευχθούν τα εσκεμμένα ή ακούσια προβλήματα που δημιουργούνται από τη χρήση λογισμικού και εξοπλισμού από τους εργαζόμενους, η ανάπτυξη μιας διεξοδικής πολιτικής ασφάλειας δεδομένων είναι πιο σημαντική από ποτέ. Αυτή η πολιτική θα πρέπει να παρέχει στους υπαλλήλους πληροφορίες σχετικά με την αποδεκτή χρήση της τεχνολογίας καθώς και τις πολιτικές ασφάλειας και κωδικού πρόσβασης ασύρματης πρόσβασης για την προστασία των εμπιστευτικών δεδομένων.
Στοιχεία Πολιτικής ασφάλειας δεδομένωνΤο Κέντρο Δια Βίου Μάθησης εξαρτάται από την προστασία εμπιστευτικών πληροφοριών των πελατών της. Οι περισσότερες από αυτές τις πληροφορίες διατίθενται σε ηλεκτρονική μορφή για την προσβασιμότητα μέσα και έξω από το γραφείο.
Η παρεμπόδιση διαρροών πληροφοριών πελατών και δεδομένων από κακόβουλες ενέργειες είναι ζωτικής σημασίας για την εύρυθμη λειτουργία της εταιρείας.
Συστήματα υπολογιστών και εξυπηρετητώνΥπάρχουν κάποιες αλήθειες που πρέπει να είναι αυτονόητες, αλλά πρέπει να διευκρινιστούν σε γραπτή πολιτική, διότι αναπόφευκτα ένας υπάλληλος θα κάνει διαφορετικά το αδιανόητο.
Ορισμένες λιγότερο προφανείς αλλά εξίσου επικίνδυνες συμπεριφορές είναι η επιθυμία λήψης λογισμικού από το διαδίκτυο σε υπολογιστές και/ή διακομιστές της εταιρείας. Ένας υπάλληλος θα μπορούσε απλώς να αναζητήσει ένα εργαλείο για να τον κάνει πιο αποτελεσματικό στη δουλειά του. Ωστόσο, κοιτάζοντας σε λάθος μέρος και κατεβάζοντας το λάθος αρχείο θα μπορούσε να εγκατασταθεί ένα κακόβουλο λογισμικό στο σύστημά της εταιρείας.
Ίσως ο πιο τρομακτικός κίνδυνος είναι ο πιο εύκολος για να ολοκληρωθεί: διαγραφή αρχείων. Η διαγραφή ενός αρχείου ή φακέλου μπορεί μερικές φορές να είναι τόσο απλή όσο το χτύπημα ενός λανθασμένου συνδυασμού πλήκτρων. Σε εκείνες τις περιπτώσεις που η διαγραφή δεν παρατηρήθηκε αμέσως, μπορεί να αφιερωθεί σημαντικό χρονικό διάστημα από το τεχνικό τμήμα με το αντίγραφο ασφαλείας για να εντοπίσει το έγγραφο και να το αποκαταστήσει.
Για να αποτρέψουμε αυτούς και άλλους σχετικούς κινδύνους στους υπολογιστές και διακομιστές, δημιουργούμε μια αποδεκτή πολιτική χρήσης ως μέρος του πακέτου ασφαλείας δεδομένων σας. Περιορίζουμε ποιος έχει το δικαίωμα λήψης εκτελέσιμων αρχείων (προγραμμάτων) και ποιος μπορεί να τροποποιήσει στοιχεία σε ορισμένους φακέλους. Θα πρέπει να εγκαθίστανται, να ενημερώνονται και να ελέγχονται τακτικά το τείχος προστασίας (firewall), το λογισμικό ανίχνευσης ιών και το λογισμικό αντιμετώπισης ανεπιθύμητων ενεργειών.
Ασφαλή αντίγραφα ασφαλείαςΗ δημιουργία αντιγράφων ασφαλείας των δεδομένων μετά το πέρας της εργασίας ή και κατά την διάρκεια της και η αποθήκευση αυτών εκτός του φυσικού χώρου της εταιρείας μπορεί να είναι σωτήριο. Οι διακομιστές, όπως και οι υπολογιστές, μπορούν να τερματίσουν την λειτουργία τους χωρίς προειδοποίηση. Έχοντας ένα πλήρες αντίγραφο ασφαλείας, μπορούμε να μεταφορτώσουμε τα δεδομένα σε ένα νέο διακομιστή ή υπολογιστή (αφού αποκτηθεί και κατασκευαστεί ένας νέος) και να συνεχίσουμε να εργαζόμαστε σε πολύ μικρό χρονικό διάστημα. Είναι ακόμα καλύτερο όταν έχουμε ένα εφεδρικό υπολογιστή και μπορούμε απλά να μεταβούμε σ' αυτόν να συνεχίσουμε σαν να μην έχει συμβεί τίποτα.
Υπάρχουν διαθέσιμα διαφορετικά συστήματα δημιουργίας αντιγράφων ασφαλείας. Τα αντίγραφα ασφαλείας του Cloud καταργούν την ανάγκη για εξοπλισμό, αλλά απαιτούν πρόσθετη επαγρύπνηση όσον αφορά την ασφάλεια κατά την επιλογή μιας εταιρείας ή υπηρεσίας. Τα αντίγραφα ασφαλείας USB δίνουν την ευκολία ενός φορητού εφεδρικού αντιγράφου ασφαλείας, αλλά πρέπει να τηρηθεί η σωστή πολιτική ασφάλειας, καθώς είναι μικρά και εύκολα μπορούν να χαθούν.
Όταν σχεδιάζουμε ένα εφεδρικό σύστημα, ο προϋπολογισμός μπορεί να είναι ένας παράγοντας για να αποφασίσουμε ποια λύση θα επιλέξουμε. Ωστόσο, πρέπει να επιλέξετε ένα σύστημα που θα χρησιμοποιήσετε. Η εξοικονόμηση χρημάτων δεν έχει καμία αξία αν είναι κουραστική δουλειά που δεν γίνεται ποτέ και δεν έχουμε ένα τρέχον αντίγραφο ασφαλείας όταν το χρειαζόμαστε.
Η πολιτική δημιουργίας αντιγράφων ασφαλείας θα πρέπει να περιλαμβάνει τον καθορισμό του χρόνου διατήρησης των αντιγράφων ασφαλείας.
Μπορούν να αγοραστούν επιπλέον μονάδες USB για τη διατήρηση αντιγράφων ασφαλείας εκτός χώρου εργασίας. Κρατώντας αντίγραφα ασφαλείας στο τέλος του μήνα ή στο τέλος του έτους εκτός της εταιρείας μπορεί επίσης να είναι χρήσιμο.
Ασφάλεια κωδικού πρόσβασηςΤο συνεχιζόμενο πρόβλημα της δημιουργίας απλών κωδικών πρόσβασης για να είναι ευκολότερο να τους θυμόμαστε, μπορούν γρήγορα και να παραβιαστούν. Εάν ένας ιστότοπος απαιτεί έναν πολύπλοκο κωδικό πρόσβασης, κάποιοι θα το γράψουν και θα τον επισυνάψουν σε μία σημείωση στον υπολογιστή τους, ώστε να έχουν εύκολη πρόσβαση σε αυτό όταν τον χρειάζονται. Άλλοι αποθηκεύουν ένα έγγραφο με τη λίστα των κωδικών πρόσβασης σε διάφορους ιστότοπους. Οποιαδήποτε από αυτές τις μεθόδους είναι κίνδυνοι που μπορούν να παρέχουν μη εξουσιοδοτημένη πρόσβαση στο σύστημά σας.
Για να καταπολεμηθούν οι κίνδυνοι πρόσβασης στον κωδικό πρόσβασης, επιλέξτε ως ελάχιστες απαιτήσεις δημιουργίας κωδικού πρόσβασης τουλάχιστον οκτώ χαρακτήρων και συνδυασμούς των παρακάτω: πεζά γράμματα, κεφαλαία γράμματα, αριθμούς και ειδικούς χαρακτήρες. Πρέπει να απαγορεύονται απλές συνηθισμένες λέξεις ή το όνομα και η ημερομηνία γέννησης του ατόμου. Οι κωδικοί πρόσβασης πρέπει να προγραμματίζονται ώστε να αλλάζουν σε τακτική βάση και οι παλαιότεροι κωδικοί πρόσβασης να μη επιτρέπετε να ξαναχρησιμοποιηθούν.
Εκτός από τη διασφάλιση ότι οι μεμονωμένοι κωδικοί πρόσβασης είναι πραγματικά ασφαλείς, πρέπει να προβαίνουμε και στην αλλαγή των κωδικών πρόσβασης για την ασύρματη πρόσβαση καθώς και άλλων δικτυακών εξοπλισμών που χρησιμοποιούνται στην εταιρεία. Οι προβλέψιμοι κωδικοί πρόσβασης μπορούν να ανοίξουν ολόκληρο το σύστημα στους εισβολείς, ακόμη και αν νομίζετε ότι έχετε δημιουργήσει ένα ασφαλές σύστημα με διαστρωμάτωση πρόσβασης.
Χρήση διαδικτύου - INTERNETΗ παρεμπόδιση των εργαζομένων να σερφάρουν σε έναν ιστότοπο που δεν σχετίζεται με το έργο τους μπορεί να είναι απαγορευτικό για τις μικρές και μεσαίες επιχειρήσεις. Ωστόσο, η ύπαρξη σαφούς πολιτικής χρήσης στο διαδίκτυο μπορεί να βοηθήσει στον περιορισμό των τύπων τοποθεσιών που επισκέπτονται.
Η ροή μουσικής και βίντεο χρησιμοποιεί μεγάλο εύρος ζώνης και τα αρχεία που έχουν μεταφορτωθεί από τους ιστότοπους μπορούν σε κάποιες περιπτώσεις να περιέχουν κακόβουλα προγράμματα ή να εκθέσουν την εταιρεία σε ευθύνη εάν το υλικό προστατεύεται από πνευματικά δικαιώματα. Κάποιοι υπάλληλοι ενδέχεται να μπουν στον πειρασμό να ξοδέψουν πάρα πολύ χρόνο σε δραστηριότητες όπως online αγορές, κοινωνικά μέσα ενημέρωσης ή προγραμματισμό ταξιδιών. Και πάλι, χρησιμοποιούμε τη θεωρία ότι εάν δεν είναι απαγορευμένη, θα το κάνουν. Αναφέρουμε όλους τους τύπους ιστότοπων στους οποίους δεν θέλουμε οι υπάλληλοί να επισκέπτονται από τον υπολογιστή που χρησιμοποιούν για την εργασία τους.
Οι ρυθμίσεις ασφαλείας μπορούν να προγραμματιστούν έτσι ώστε να αποκλείουν ιστότοπους πορνογραφικού περιεχομένου, ιστότοπους τυχερών παιχνιδιών, κοινωνικά μέσα ακόμη και δικτυακούς τόπους ηλεκτρονικού ταχυδρομείου. Η λογική πίσω από το κλείδωμα προσωπικών μηνυμάτων μέσω ηλεκτρονικού ταχυδρομείου είναι η πρόληψη των εργαζομένων από το να ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου και να επισκέπτονται έναν κακόβουλο ιστότοπο ή να ανοίγουν ένα μολυσμένο συνημμένο, διακυβεύοντας έτσι το σύστημά επειδή το προσωπικό τους email δεν ήταν τόσο ασφαλές. Οι εργαζόμενοι μπορούν να προβούν σε απρόβλεπτη ή κακόβουλη διαβίβαση πληροφοριών ιδιωτικού απορρήτου ή προσωπικών δεδομένων χρησιμοποιώντας το προσωπικό ηλεκτρονικό τους ταχυδρομείο, παρακάμπτοντας άλλες διασφαλίσεις που έχει θεσπίσει το Κέντρο Δια Βίου Μάθησης σχετικά με αυτές τις πληροφορίες. Υπενθυμίζουμε στους υπαλλήλους ότι, όπως το ηλεκτρονικό ταχυδρομείο έτσι και το ιστορικό περιήγησης υπόκειται σε έλεγχο.
Ηλεκτρονική διεύθυνση αλληλογραφίαςΗ κακή χρήση του ηλεκτρονικού ταχυδρομείου είναι ένα από τα πιο κοινά προβλήματα που αντιμετωπίζουν οι εταιρείες και καλύπτει μια μεγάλη ποικιλία ενεργειών.
Η αποστολή μιας ευχετήριας κάρτας από έναν ιστότοπο μπορεί να εισάγει μαζικό spam στο σύστημά σας και να επιβαρύνει τον διακομιστή σας. Οι υπάλληλοι μπορούν να χρησιμοποιούν το εταιρικό ηλεκτρονικό ταχυδρομείο για την εκτέλεση μιας προσωπικής ενέργειας με λιγότερη σκέψη από την αποθήκευση αρχείων στους υπολογιστές ή τους διακομιστές. Ένας καλός υπάλληλος μπορεί να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου σε όλους στην επιχείρηση σχετικά με μια εκδήλωση συγκέντρωσης χρημάτων για μια τοπική φιλανθρωπική οργάνωση και να ακολουθήσουν δύο πρόσφατες υπενθυμίσεις. Προσωπική χρήση του σταθερού συστήματος ηλεκτρονικού ταχυδρομείου θα πρέπει να απευθύνεται για να μειώσει το ποσό του χώρου του διακομιστή που καταναλώνουν τέτοια αντικείμενα.
Οι πολιτικές ηλεκτρονικού ταχυδρομείου θα πρέπει επίσης να περιλαμβάνουν όρια για το μέγεθος των συνημμένων, ανάλογα με την περίπτωση. Σκεφτείτε το εξής: λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με συνημμένο 10MB και στη συνέχεια το διαβιβάζετε σε δέκα άλλους υπαλλήλους. Αυτό το συνημμένο καταναλώνει πλέον 120MB αποθηκευτικού χώρου στον διακομιστή, καθώς κάθε ατομικό αντίγραφο του ηλεκτρονικού ταχυδρομείου αποθηκεύεται στον διακομιστή και το αντίγραφο στο φάκελο που αποστέλλεται. Ανάλογα με τον πρόγραμμα πελάτη ηλεκτρονικού ταχυδρομείου που διαθέτει η εταιρία (Outlook), ένα αντίγραφο του ηλεκτρονικού ταχυδρομείου μπορεί επίσης να αποθηκευτεί και σε κάθε υπολογιστή.
Το παραπάνω πρόβλημα κατανάλωσης αποθηκευτικού χώρου απεικονίζει το σκεπτικό μιας άλλης πολιτικής: πολιτική διατήρησης ηλεκτρονικού ταχυδρομείου. Τα ηλεκτρονικά μηνύματα και τα συνημμένα που σχετίζονται με το αντικείμενο της εταιρείας πρέπει να μεταφορτώνονται σε ένα σύστημα διαχείρισης αρχείων ή σε μια βάση δεδομένων, προστατεύοντάς τα από τυχαία διαγραφή και καθιστώντας τα προσβάσιμα σε όλους τους υπαλλήλους που μπορεί να χρειαστούν τις πληροφορίες. Η αποθήκευση μηνυμάτων ηλεκτρονικού ταχυδρομείου που πρέπει να αποθηκεύονται εκτός του συστήματος ηλεκτρονικού ταχυδρομείου εμποδίζει επίσης την επίφοβη στιγμή όταν ο παραλήπτης είναι εκτός εταιρείας και θα πρέπει να αναζητηθεί από άλλο υπάλληλο για να έχει πρόσβαση στις πληροφορίες.
Ένα βασικό στοιχείο μιας πολιτικής ηλεκτρονικού ταχυδρομείου υπενθυμίζει στους υπαλλήλους ότι το σύστημα ηλεκτρονικής αλληλογραφίας είναι ιδιοκτησία της εταιρείας και όχι ο προσωπικός τους λογαριασμός. Ως εκ τούτου, οποιοσδήποτε λογαριασμός ηλεκτρονικού ταχυδρομείου υπόκειται σε επανεξέταση. Υπενθυμίστε στους υπαλλήλους ότι το ηλεκτρονικό ταχυδρομείο της εταιρείας είναι αντιπροσωπευτικό και πρέπει να παρουσιάζει μια επαγγελματική εικόνα.
Απομακρυσμένη πρόσβασηΣυχνά οι εργαζόμενοι μπορεί να χρειαστούν να έχουν πρόσβαση στο σύστημα της εταιρείας όταν είναι εκτός λειτουργίας. Η απαγόρευση των εργαζομένων από τη χρήση δημόσιων υπολογιστών ή τη χρήση ασύρματης πρόσβασης από δημόσιους χώρους καταργεί την έκθεση των δεδομένων πελατών από τους εισβολείς, επειδή οι ρυθμίσεις ασφαλείας σε αυτές τις περιπτώσεις είναι συχνά μειωμένες από εκείνες που έχουν δημιουργηθεί για την εταιρεία.
Για να γίνει πιο ασφαλής η σύνδεση με την υπηρεσία, εξετάζουμε το ενδεχόμενο δημιουργίας ενός εικονικού ιδιωτικού δικτύου (VPN). Ένα VPN συνδέει τον ηλεκτρονικό υπολογιστή της εταιρείας μέσω του διαδικτύου, δίνοντας την πρόσβαση στα αρχεία της εταιρείας σε ασφαλή περιβάλλον. Τα δεδομένα που αποστέλλονται μέσω του VPN είναι κρυπτογραφημένα, οπότε οποιαδήποτε υποκλοπή των δεδομένων δεν μπορεί να είναι εφικτή.
Συσκευές SMARTPHONES, δίσκοι και συσκευές τηλεχειρισμούΤο πιο δύσκολο μέρος της ασφάλειας για την προστασία των δεδομένων είναι όταν αυτά πρέπει να βγουν εκτός της εταιρείας. Τα έξυπνα τηλέφωνα (smartphones) και τα tablet περιέχουν όλες τις συνδέσεις στο διαδίκτυο, αλλά συχνά δεν έχουν ενεργοποιηθεί όλα τα μέτρα ασφαλείας που τους παρέχει ένας φορητός υπολογιστής. Μια μονάδα USB περιέχει μη κρυπτογραφημένα αρχεία διαθέσιμα για οποιονδήποτε την συνδέσει σε έναν υπολογιστή και ακόμα χειρότερα, είναι αρκετά μικρό για να χαθεί εύκολα.
Κάθε συσκευή που χρησιμοποιείται για την πρόσβαση σε δεδομένα πελάτη θα πρέπει να έχει απαιτήσεις προστασίας κωδικού πρόσβασης. Για τα smartphones και τα tablet, θα πρέπει να απαιτείται κωδικός πρόσβασης κατά την εκκίνηση και μετά από μια περίοδο αδράνειας. Επίσης, ενεργοποιούμε την υπηρεσία απομακρυσμένης σάρωσης σε περίπτωση απώλειας ή κλοπής οποιασδήποτε συσκευής. Κάθε έγγραφο που έχει ληφθεί και αποθηκευτεί πρέπει να είναι κρυπτογραφημένο. Όταν ταξιδεύετε, προσέξτε να μην αφήσετε τη συσκευή σας σε κατάσταση λειτουργίας "αεροπλάνου", καθώς αυτό συχνά απενεργοποιεί τη δυνατότητα ενεργοποίησης ενός προγράμματος απομακρυσμένης σάρωσης καθώς αποσυνδέει τη συσκευή από τα συστήματα δεδομένων που χρησιμοποιούνται για τον εντοπισμό της. Αφού επιστρέψετε στο γραφείο, απαιτήστε από το λογισμικό προστασίας ιών και κακόβουλων προγραμμάτων να σαρώσει τις συσκευές αποθήκευσης, όπως USB και μονάδες flash, για να αποφευχθεί η μόλυνση από εξωτερικές πηγές. Πρέπει να διαθέτετε πολιτικές σχετικά με τη χρήση προσωπικών συσκευών USB με ηλεκτρονικούς υπολογιστές, για να αποφύγετε την ακούσια μόλυνση υπολογιστών με μη προστατευμένες συσκευές. Εξετάστε το ενδεχόμενο να περιορίσετε την πρόσβαση σε θύρες USB σε συγκεκριμένους υπαλλήλους ή ακόμα και να απενεργοποιήσετε τις θύρες για να αποτρέψετε την κακή χρήση τους.
METADATAΊσως ο πιο προβλεπόμενος κίνδυνος για την ασφάλεια των δεδομένων είναι τα μεταδεδομένα που περιέχονται στα προγράμματα επεξεργασίας εγγράφων. Τόσο το Microsoft Word όσο και το WordPerfect περιέχουν πληροφορίες σχετικά με τις προηγούμενες τροποποιήσεις που έγιναν σε ένα έγγραφο. Αυτό σημαίνει ότι η διαγραφή εμπιστευτικών πληροφοριών από ένα έγγραφο πελάτη για επαναχρησιμοποίηση σε άλλο μπορεί να εκθέσει τις πληροφορίες του πρώην πελάτη στον τελευταίο εάν ο παραλήπτης ξέρει πού να κοιτάξει. Αυτά τα χαρακτηριστικά μπορούν να απενεργοποιηθούν, εμποδίζοντας την αποθήκευση δεδομένων.
Τα αρχεία που αποστέλλονται ηλεκτρονικά πρέπει να καθαρίζονται από τα μεταδεδομένα. Μπορούν να αγοραστούν ειδικά προγράμματα για να διασφαλιστεί ότι αυτές οι πληροφορίες δεν προωθούνται μαζί με το έγγραφό σας και μπορούν να ενσωματωθούν στο σύστημα ηλεκτρονικού ταχυδρομείου σας. Αν δεν θέλετε ο παραλήπτης να κάνει αλλαγές στο έγγραφό σας, στείλτε το έγγραφο ως PDF. Βεβαιωθείτε ότι έχετε προσαρμόσει τις επιλογές ασφαλείας ανάλογα με την περίπτωση.
Απομάκρυνση υπαλλήλουΣυχνά η μεγαλύτερη απειλή για τα δεδομένα σας είναι μέσα στον ίδια το Κέντρο Δια Βίου Μάθησης . Ένας δυσαρεστημένος ή απολυμένος υπάλληλος μπορεί εύκολα να διαγράψει αρχεία από το σύστημά σας ή να τα βγάλει από το γραφείο χωρίς προειδοποίηση. Το κλείδωμα δεδομένων από τους υπαλλήλους μπορεί να είναι το δυσκολότερο μέρος της ασφάλειας των δεδομένων.
Όταν ένας υπάλληλος πρόκειται να αποχωρήσει από την εταιρεία, κλειδώνετε αμέσως τον υπολογιστή, το ηλεκτρονικό ταχυδρομείο, την απομακρυσμένη πρόσβαση και κάθε άλλο προνόμιο πρόσβασης για να τον αποτρέψει από την πρόσβαση σε πληροφορίες.
Δημιουργήστε πρωτόκολλα πολιτικές μέσα στην επιχείρηση για το ποιος μπορεί να χρειαστεί να αποκτήσει πρόσβαση σε ένα φάκελο υπαλλήλου. Εάν ο υπάλληλος έχει κάποιο εξοπλισμό, όπως φορητό υπολογιστή ή μονάδα USB, στο σπίτι, βεβαιωθείτε ότι επιστρέφονται πριν την αποχώρηση του από την εταιρεία την τελευταία ημέρα.
Εισαγωγή ΣκοπόςΤο Κέντρο Δια Βίου Μάθησης αναλαμβάνει την ευθύνη παροχής υπηρεσιών σε πελάτες οι οποίοι με την σειρά τους παρέχουν προσωπικές και εμπιστευτικές πληροφορίες. Αυτή η ευθύνη είναι εγγενής στην υποχρέωση παροχής κατάλληλης προστασίας από κλοπή δεδομένων και απειλών από κακόβουλο λογισμικό.
Σκοπός αυτής της πολιτικής είναι η θέσπιση προτύπων για τη βασική εμπιστευτικότητα του εξοπλισμού που ανήκει και λειτουργεί από την εταιρεία και για τον εξοπλισμό που έχουν πρόσβαση στα εσωτερικά συστήματα της. Η αποτελεσματική εφαρμογή αυτής της πολιτικής θα ελαχιστοποιήσει την μη εξουσιοδοτημένη πρόσβαση σε ιδιοκτησιακές πληροφορίες και τεχνολογίες και θα προστατεύσει τις εμπιστευτικές πληροφορίες των πελατών.
Πεδίο εφαρμογήςΑυτή η πολιτική ισχύει για τον εξοπλισμό που ανήκει και λειτουργεί στην εταιρεία και στους υπαλλήλους που συνδέονται στον τομέα δικτύου που είναι Workgroup.
Ασφάλεια δικτύου / διακομιστήΚατευθυντήριες γραμμές για τη διαμόρφωση του διακομιστή
i. Οι πιο πρόσφατες ενημερώσεις ασφαλείας πρέπει να εγκατασταθούν στο σύστημα το συντομότερο δυνατό, με μόνη εξαίρεση όταν η άμεση εφαρμογή θα παρεμβληθεί στις επιχειρηματικές ανάγκες.
ii. Οι διακομιστές θα πρέπει να βρίσκονται σε περιβάλλον ελεγχόμενης πρόσβασης.
iii. Οι διακομιστές απαγορεύονται να λειτουργούν σε μη ελεγχόμενες περιοχές της εταιρείας.
Συμβάντα που σχετίζονται με την ασφάλειαΤα συμβάντα που σχετίζονται με την ασφάλεια θα αναφέρονται στον υπεύθυνο της εταιρείας. Θα απαιτηθούν διορθωτικά μέτρα. Τα συμβάντα που σχετίζονται με την ασφάλεια περιλαμβάνουν, αλλά δεν περιορίζονται σε:
Επιθέσεις σάρωσης θύρας1. Στοιχεία μη εξουσιοδοτημένης πρόσβασης σε προνομιακούς λογαριασμούς
2. Ανωμαλίες που δεν σχετίζονται με συγκεκριμένες εφαρμογές στον κεντρικό υπολογιστή.
Ασφάλεια δρομολογητήi. Ο κωδικός πρόσβασης του δρομολογητή πρέπει να φυλάσσεται σε ασφαλή κρυπτογραφημένη μορφή. Ο δρομολογητής πρέπει να έχει κωδικό πρόσβασης διαφορετικό από αυτό που έχει οριστεί από την εργοστασιακή ρύθμιση.
ii. Απαγορεύστε τα εξής:
a. Πηγές δρομολόγησης
b. Εισερχόμενα πακέτα στο δρομολογητή που προέρχονται από μη έγκυρες διευθύνσεις, όπως η διεύθυνση RFC1918
c. υπηρεσίες TCP
d. υπηρεσίες UDP
e. Υπηρεσίες διαχείρισης που εκτελούνται σε δρομολογητή
iii. Οι κανόνες πρόσβασης πρέπει να προστεθούν καθώς προκύπτουν επιχειρηματικές ανάγκες.
iv. Κάθε δρομολογητής πρέπει να έχει την ακόλουθη δήλωση δημοσιευμένη μεσαφήνεια:
"ΜΗ ΕΞΟΥΣΙΟΔΟΤΗΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΤΗΝ ΠΑΡΟΥΣΑ ΣΥΣΚΕΥΗ ΔΙΚΤΥΟΥ ΑΠΑΓΟΡΕΥΕΤΑΙ". Πρέπει να έχετε ρητή άδεια πρόσβασης ή επιβεβαίωσης αυτής της συσκευής. Όλες οι δραστηριότητες που εκτελούνται σε αυτήν τη συσκευή ενδέχεται να καταγραφούν και οι παραβιάσεις αυτής της πολιτικής ενδέχεται να οδηγήσουν σε πειθαρχική ενέργεια και ενδέχεται να καταγγελθούν σε φορείς επιβολής του νόμου. Δεν διατηρούνται προσωπικά δεδομένα σε αυτήν τη συσκευή."
Προστασία κακόβουλου λογισμικού διακομιστήAnti-VirusΌλοι οι διακομιστές ΠΡΕΠΕΙ να διαθέτουν εγκατεστημένη εφαρμογή προστασίας από ιούς που προσφέρει προστασία σάρωσης σε πραγματικό χρόνο σε αρχεία και εφαρμογές που εκτελούνται στο σύστημα προορισμού, εφόσον πληρούν μία ή περισσότερες από τις ακόλουθες συνθήκες:
1. Οι μη διοικητικοί χρήστες έχουν δυνατότητα απομακρυσμένης πρόσβασης
2. Το σύστημα είναι ένας διακομιστής αρχείων
3. Η πρόσβαση στο κοινόχρηστο στοιχείο είναι ανοικτή σε αυτόν τον διακομιστή από συστήματα που χρησιμοποιούνται από μη διοικητικούς χρήστες
4. Η πρόσβαση HTTP / FTP είναι ανοιχτή από το Internet
5. Άλλα πρωτόκολλα / "επικίνδυνα" πρωτόκολλα / εφαρμογές είναι διαθέσιμα σε αυτό το σύστημα από το Διαδίκτυο κατά την κρίση του υπεύθυνου του τμήματος υποστήριξη των πληροφοριακών συστημάτων της εταιρείας.
Anti-SpywareΌλοι οι διακομιστές ΠΡΕΠΕΙ να έχουν εγκατεστημένη εφαρμογή προστασίας από spyware που προσφέρει προστασία σε πραγματικό χρόνο στο σύστημα προορισμού, εάν πληρούν μία ή περισσότερες από τις ακόλουθες συνθήκες:
1. Κάθε σύστημα στο οποίο οι μη τεχνικοί ή μη διοικητικοί χρήστες έχουν απομακρυσμένη πρόσβαση στο σύστημα και οποιασδήποτε εξερχόμενη πρόσβαση επιτρέπεται στο Διαδίκτυο
2. Οποιοδήποτε σύστημα στο οποίο οι μη τεχνικοί ή οι μη διοικητικοί χρήστες έχουν τη δυνατότητα να εγκαταστήσουν το δικό τους λογισμικό. Διαδικασίες δημιουργίας αντιγράφων ασφαλείας Καθημερινά αντίγραφα ασφαλείας Η δημιουργία αντιγράφων ασφαλείας προγραμματίζεται να εκτελείται μετά το πέρας των εργασιών της εταιρείας για να καταγράψει όλα τα δεδομένα από την προηγούμενη ημέρα. 1. Τα αρχεία καταγραφής αντιγράφων ασφαλείας πρέπει να επανεξεταστούν για να επιβεβαιωθούν ότι το αντίγραφο ασφαλείας ολοκληρώθηκε με επιτυχία. 2. Ένα υπεύθυνο άτομο πρέπει να είναι διαθέσιμο για να επιβλέπει τα αντίγραφα ασφαλείας κάθε μέρα. Εάν ο εξουσιοδοτημένος για τον έλεγχο των αντιγράφων ασφαλείας δεν είναι διαθέσιμος, πρέπει να ονομάζεται μια εναλλακτική λύση για την επίβλεψη της διαδικασίας.
3. Η αποθήκευση δεδομένων αντιγράφων ασφαλείας δεν πρέπει να βρίσκεται στις εγκαταστάσεις της εταιρείας. Σε περίπτωση καταστροφής, τα αντίγραφα ασφαλείας θα πρέπει να είναι άμεσα διαθέσιμα.
Ασφάλεια σταθμού εργασίαςΕξουσιοδοτημένοι χρήστεςΠρέπει να λαμβάνονται τα κατάλληλα μέτρα κατά τη χρήση των σταθμών εργασίας για να διασφαλιστεί ότι η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των ευαίσθητων πληροφοριών περιορίζεται στους εξουσιοδοτημένους χρήστες.
Οι διασφαλίσειςΕφαρμόζονται φυσικές και τεχνικές διασφαλίσεις για όλους τους σταθμούς εργασίας που έχουν πρόσβαση σε ηλεκτρονικές εμπιστευτικές πληροφορίες για να περιορίσουν την πρόσβαση σε εξουσιοδοτημένους χρήστες. Τα κατάλληλα μέτρα περιλαμβάνουν:
i. Περιορισμός της φυσικής πρόσβασης σε σταθμούς εργασίας μόνο σε εξουσιοδοτημένο προσωπικό.
ii. Ασφαλίστε τους σταθμούς εργασίας (κλείδωμα οθόνης ή αποσύνδεση) πριν εγκαταλείψετε την περιοχή για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση.
iii. Ενεργοποίηση προστατευμένης οθόνης με κωδικό πρόσβασης με μικρή χρονική περίοδο για την εξασφάλιση της προστασίας των σταθμών εργασίας που παραμένουν ακάλυπτες από την απουσία του προσωπικού.
iv. Συμμόρφωση με όλες τις ισχύουσες πολιτικές και διαδικασίες κωδικού πρόσβασης.
v. Η διασφάλιση ότι οι σταθμοί εργασίας χρησιμοποιούνται μόνο για εξουσιοδοτημένους επιχειρηματικούς σκοπούς
vi. Ποτέ μην εγκαταστήσετε μη εξουσιοδοτημένο λογισμικό σε σταθμούς εργασίας. vii. Αποθήκευση όλων των εμπιστευτικών πληροφοριών στους διακομιστές δικτύου.
viii. Κρατώντας τα τρόφιμα και τα ποτά μακριά από τους σταθμούς εργασίας για να αποφύγετε ατυχήματα.
ix. Ασφαλίζοντας φορητούς υπολογιστές που περιέχουν ευαίσθητες πληροφορίες χρησιμοποιώντας κλειδαριές καλωδίων ή κλειδώματος φορητών υπολογιστών σε συρτάρια ή ερμάρια.
x. Συμμόρφωση με την πολιτική Κρυπτογράφησης φορητών σταθμών εργασίας.
xi. Συμμόρφωση με την πολιτική κατά των ιών.
xii. Βεβαιωθείτε ότι οι οθόνες είναι τοποθετημένες μακριά από την προβολή του κοινού. Εάν είναι απαραίτητο, εγκαταστήστε φίλτρα οθόνης απορρήτου ή άλλα φυσικά εμπόδια στην προβολή του κοινού.
xiii. Έξοδος από εκτελούμενες εφαρμογές και κλειστά ανοιχτά έγγραφα.
xiv. Βεβαιωθείτε ότι όλοι οι σταθμοί εργασίας χρησιμοποιούν ένα σύστημα προστασίας από υπερτάσεις (πολύμπριζο ασφαλείας) ή ένα UPS (εφεδρική μπαταρία).
xv. Εάν χρησιμοποιείται ασύρματη πρόσβαση στο δίκτυο, βεβαιωθείτε ότι η πρόσβαση είναι ασφαλής ακολουθώντας την πολιτική Ασύρματης πρόσβασης.
Εγκατάσταση λογισμικούΟι υπάλληλοι δεν μπορούν να εγκαταστήσουν λογισμικό στις υπολογιστικές συσκευές που λειτουργούν εντός του δικτύου της εταιρείας. Τα αιτήματα εγκατάστασης λογισμικού πρέπει πρώτα να εγκριθούν από τον υπεύθυνο της εταιρείας. Το λογισμικό πρέπει να ελέγχετε ως προς την συμβατότητα του με το λειτουργικό σύστημα που είναι εγκατεστημένο στον υπολογιστή πριν την εκτέλεση της εγκατάστασης του. Αυτή η πολιτική καλύπτει όλους τους υπολογιστές, τους διακομιστές και άλλες υπολογιστικές συσκευές που λειτουργούν στο δίκτυο της εταιρείας.
Προστασία κακόβουλου λογισμικούAnti-VirusΌλοι οι διακομιστές, και οι σταθμοί εργασίας της εταιρείας πρέπει να έχουν εγκατεστημένο λογισμικό anti-virus. Επιπλέον, το λογισμικό προστασίας από ιούς και τα αρχεία μοτίβων για ιούς πρέπει να τηρούνται ενημερωμένα. Τα πληροφοριακά συστήματα που έχουν μολυνθεί από ιούς πρέπει να απομακρύνονται από το δίκτυο, έως ότου επαληθευτούν ως ασφαλείς από ιούς. Οποιεσδήποτε δραστηριότητες με σκοπό την δημιουργία και/ή τη διανομή κακόβουλων προγραμμάτων από το δίκτυο της εταιρείας (π.χ. ιοί, σκουλήκια, δούρειοι ίπποι, κ.λπ.) απαγορεύονται, σύμφωνα με την Πολιτική Αποδεκτής Χρήσης.
Πολιτική ασφάλειας κωδικού πρόσβασηςΑπαιτήσειςi. Όλοι οι κωδικοί πρόσβασης σε επίπεδο συστήματος (Διαχειριστής κ.λπ.) πρέπει να αλλάζονται τουλάχιστον μετά από ένα χρόνο.
ii. Όλοι οι κωδικοί πρόσβασης σε επίπεδο χρήστη (π.χ. ηλεκτρονικό ταχυδρομείο, ιστότοποι, υπολογιστή κ.λπ.) πρέπει να τροποποιούνται τουλάχιστον μετά από ένα χρόνο.
iii. Όλοι οι κωδικοί πρόσβασης σε επίπεδο χρήστη και συστήματος πρέπει να συμμορφώνονται με τα πρότυπα που περιγράφονται παρακάτω.
ΠρότυπαΌλοι οι χρήστες των υπολογιστικών συστημάτων της εταιρείας θα πρέπει να γνωρίζουν πώς να επιλέγουν ισχυρούς κωδικούς πρόσβασης. Οι ισχυροί κωδικοί πρόσβασης έχουν τα ακόλουθα χαρακτηριστικά:
i. Να αποτελείται από 8 έως 15 χαρακτήρες από τις παρακάτω ομάδες:
1. κεφαλαίους λατινικούς χαρακτήρες,
2. πεζούς λατινικούς χαρακτήρες,
3. αριθμητικούς χαρακτήρες,
4. σύμβολα (`~!@#$%^&*()-_=+[{]}\|;:'\"<,>./?€£) ii. Περιέχει τουλάχιστον οκτώ αλφαριθμητικούς χαρακτήρες.
ii. Να περιέχει τουλάχιστον 3 από τις 4 παραπάνω κατηγορίες π.χ.
a. κεφαλαίους και πεζούς χαρακτήρες μαζί με αριθμητικά ψηφία, ή
b. κεφαλαίους και πεζούς χαρακτήρες μαζί με σύμβολα, ή
c. πεζούς χαρακτήρες μαζί με αριθμητικά ψηφία και σύμβολα, κ.ο.κ.
Προσπαθήστε να δημιουργήσετε κωδικούς πρόσβασης που μπορείτε εύκολα να θυμάστε. Ένας τρόπος για να γίνει αυτό είναι να δημιουργήσετε έναν κωδικό πρόσβασης με βάση έναν τίτλο, επιβεβαίωση ή άλλη φράση.
Προστατευτικά μέτραi. Οι χρήστες δεν αποκαλύπτουν τα συνθηματικά τους σε τρίτους, έστω και εάν αυτοί είναι στενά συγγενικά πρόσωπα, υπάλληλοι της εταιρείας, ανώτερα διοικητικά στελέχη ή ακόμα και οι διαχειριστές (μηχανικοί) των ΠΣ της εταιρείας
ii. Τα συνθηματικά δεν πρέπει να καταγράφονται ή να αναφέρονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, επιστολές, συνομιλίες ή να αποθηκεύονται στο διαδίκτυο χωρίς κρυπτογράφηση.
iii. Μην μιλάτε για έναν κωδικό πρόσβασης μπροστά σε άλλους. iv. Μην υπονοείτε τη μορφή ενός κωδικού πρόσβασης (π.χ. "το όνομα της οικογένειάς μου"). v. Μην αποκαλύπτετε κωδικό πρόσβασης στα ερωτηματολόγια ή στα έντυπα ασφαλείας.
vi. Εάν κάποιος ζητήσει έναν κωδικό πρόσβασης, παραπέμψτε τον στον υπεύθυνο της εταιρείας.
vii. Απαγορεύεται η αποκάλυψη της μεθόδου με την οποία ο χρήστης έχει επιλέξει το συνθηματικό του.
viii. Απαγορεύεται οποιοδήποτε σχόλιο για την ανθεκτικότητα του συνθηματικού και οποιοσδήποτε υπαινιγμός για τη σύνθεσή του.
ix. Απαγορεύεται στους χρήστες να γνωστοποιούν το συνθηματικό τους σε συναδέλφους τους, όταν πρόκειται να απουσιάσουν (πχ. λόγω αδείας ή ασθενείας). Οι χρήστες πρέπει να συμβουλεύονται τον Υπεύθυνο Ασφάλειας ΠΣ ή την Διοίκηση για τον τρόπο με τον οποίο μπορεί να επιτευχθεί η συνέχεια των εργασιών που έχουν αναλάβει.
x. Οι χρήστες πρέπει να αλλάζουν το συνθηματικό τους σε κάθε περίπτωση που θεωρούν ότι μπορεί ή έχει ήδη αποκαλυφθεί.
xi. Απαγορεύεται η χρήση λειτουργιών αυτόματης συμπλήρωσης συνθηματικού, όπως η λειτουργία "remember password", καθώς και η αποθήκευση των συνθηματικών σε υπολογιστές ή συσκευές (PDA, κινητά τηλέφωνα κλπ.) χωρίς κρυπτογράφηση.
xii. Απαγορεύεται η χρήση των ίδιων συνθηματικών για συστήματα της εταιρείας και για συστήματα ή υπηρεσίες εκτός εταιρείας (πχ. οικιακοί υπολογιστές).
xiii. Χρησιμοποιούνται διαφορετικά συνθηματικά για συστήματα με διαφορετικό βαθμό ευαισθησίας.
xiv. Απαγορεύεται η χρήση συνθηματικών
a. με λιγότερους από οκτώ χαρακτήρες
b. που περιέχουν μέρος ή ολόκληρο το αναγνωριστικό χρήστη (username)
c. που είναι δυνατόν να περιλαμβάνονται σε κάποιο λεξικό
d. είναι κοινές λέξεις, όπως ονόματα κλπ.
e. είναι λέξεις που σχετίζονται με την επωνυμία της εταιρείας ή των υπηρεσιών της
f. είναι πληροφορίες που αφορούν το χρήστη, όπως η ημερομηνία γέννησης κλπ.
g. επαναλαμβάνουν τον ίδιο χαρακτήρα πολλές φορές ή έχουν ακολουθίες αριθμών ή γραμμάτων.
Φράσεις κωδικού πρόσβασηςΗ πρόσβαση στο δίκτυο της εταιρείας μέσω απομακρυσμένης πρόσβασης πρέπει να ελέγχεται είτε με έλεγχο αυθεντικότητας με κωδικό πρόσβασης είτε με σύστημα δημόσιου/ιδιωτικού κλειδιού με ισχυρή φράση πρόσβασης.
i. Μια καλή φράση κωδικού πρόσβασης είναι σχετικά μεγάλη και περιέχει ένα συνδυασμό κεφαλαίων και πεζών γραμμάτων και αριθμητικών χαρακτήρων και σημείων στίξης. Ένα παράδειγμα μιας καλής φράσης πρόσβασης: "K@lim3ra!"
ii. Όλοι οι παραπάνω κανόνες που ισχύουν για τους κωδικούς πρόσβασης ισχύουν και για τις φράσεις κωδικού πρόσβασης.
Πολιτική Ασύρματης ΠρόσβασηςΣκοπόςΑυτή η πολιτική καθορίζει τις συνθήκες που πρέπει να πληρούν οι συσκευές ασύρματης υποδομής για να συνδεθούν στο δίκτυο της εταιρείας. Μόνο ασύρματα συστήματα και συσκευές που πληρούν τα κριτήρια αυτής της πολιτικής εγκρίνονται για την συνδεσιμότητα τους στο δίκτυο της εταιρείας.
Πεδίο εφαρμογήςΑυτή η πολιτική καλύπτει όλες τις ασύρματες συσκευές επικοινωνίας δεδομένων που συνδέονται φυσικά με το εσωτερικό δίκτυο της εταιρείας. Αυτό περιλαμβάνει οποιαδήποτε μορφή συσκευής που διαθέτει υπηρεσία ασύρματης επικοινωνίας ικανή να μεταδίδει πακέτα δεδομένων.
Οι ασύρματες συσκευές χωρίς σύνδεση με το δίκτυο της εταιρείας δεν εμπίπτουν στην αρμοδιότητα αυτής της πολιτικής.
Εγκεκριμένη τεχνολογίαΌλα τα σημεία πρόσβασης/σταθμοί βάσης ασύρματου δικτύου πρέπει να διαθέτουν πιστοποίηση Wi-Fi και να έχουν ρυθμιστεί ώστε να χρησιμοποιούν τις πιο πρόσφατες δυνατότητες ασφαλείας.
Φυσική τοποθεσίαΤα σημεία πρόσβασης/σταθμοί βάσης ασύρματου δικτύου θα πρέπει να τοποθετούνται σε χώρους της εταιρείας τέτοιους που να διαθέτουν ασφάλεια ως προς την αποφυγή κλοπής, αλλοίωσης ή κακής χρήσης.
ΔιαμόρφωσηΤο προεπιλεγμένο SSID, το όνομα χρήστη και ο κωδικός πρόσβασης διαχειριστή θα πρέπει να αλλάξουν στα σημεία πρόσβασης/σταθμούς βάσης ασύρματου δικτύου. Η διαχείριση τους θα πρέπει να χρησιμοποιεί ασφαλή πρωτόκολλα όπως το HTTPS και το SSH. Τα σημεία πρόσβασης/σταθμοί βάσης ασύρματου δικτύου θα πρέπει να τοποθετούνται στρατηγικά και να διαμορφώνονται έτσι ώστε το εύρος εκπομπής SSID να μην υπερβαίνει τη φυσική περίμετρο της εταιρείας. Εάν είναι δυνατή η ρύθμιση, ρυθμίστε το ρυθμό μετάδοσης του φαινομένου SSID στην υψηλότερη τιμή. Η πρόσβαση στο διαχειριστικό περιβάλλον πρέπει είναι προστατευμένη με κωδικό πρόσβασης.
Έλεγχος ταυτότητας και μετάδοσηςΌλα τα σημεία ασύρματης πρόσβασης που συνδέουν ασύρματες συσκευές και υπολογιστικά συστήματα με το εσωτερικό δίκτυο της εταιρείας (LAN) απαιτούν από τους χρήστες να παρέχουν μοναδικό έλεγχο ταυτότητας μέσω ασφαλών καναλιών και όλα τα διαβιβαζόμενα δεδομένα κρυπτογραφούνται με εγκεκριμένη τεχνολογία κρυπτογράφησης (WPA2).
Παροχή υπηρεσιών ασύρματης πρόσβασης μόνο για το διαδίκτυοΤα σημεία πρόσβασης/σταθμοί βάσης που αναπτύσσονται για την παροχή υπηρεσίας ασύρματης πρόσβασης μόνο για το διαδίκτυο για το προσωπικό και τους επισκέπτες της εταιρείας πρέπει να διαχωρίζονται από το εσωτερικό δίκτυο αρνούμενοι όλες τις εσωτερικές υπηρεσίες. Δημιουργείτε ξεχωριστό αναγνωρίσιμο SSID όπως (euroaccess_Guests). Η διαχείριση του σημείου πρόσβασης/σταθμού βάσης ασύρματου δικτύου πρέπει να περιορίζεται στους εξουσιοδοτημένους χρήστες μέσω του ενσύρματου δικτύου ή ενός ξεχωριστού κρυφού SSID με προνομιακά δικαιώματα και να μην είναι διαθέσιμος για τους επισκέπτες.
ΚρυπτογράφησηΣκοπός:Το παρόν παρέχει στην εταιρεία τις πληροφορίες που απαιτούνται για την αποτελεσματική και αποδοτική σχεδίαση, προετοιμασία και ανάπτυξη λύσεων κρυπτογράφησης για την ασφάλεια των ευαίσθητων και προσωπικών δεδομένων πληροφοριών.
Η έμφαση δίνεται στην παροχή μιας σειράς εργαλείων για τα πιο συνηθισμένα λειτουργικά συστήματα που είναι πιθανό να διαθέτει το Κέντρο Δια Βίου Μάθησης τα οποία αποθηκεύουν, μεταδίδουν ή επεξεργάζονται ευαίσθητα δεδομένα.
Όταν εφαρμόζεται σωστά η κρυπτογράφηση παρέχει ένα βελτιωμένο επίπεδο ασφάλειας στα δεδομένα και δεν μπορούν να προβληθούν ή να ανακαλυφθούν με άλλο τρόπο από μη εξουσιοδοτημένα άτομα σε περίπτωση κλοπής, απώλειας ή υποκλοπής.
ΠρότυπαΟι εγκεκριμένοι, βασικοί αλγόριθμοι θα πρέπει να χρησιμοποιούνται ως βάση για τις τεχνολογίες κρυπτογράφησης. Αυτοί οι αλγόριθμοι αντιπροσωπεύουν τον πραγματικό κωδικό που χρησιμοποιείται για από μια εγκεκριμένη εφαρμογή. Το μήκος των κλειδιών πρέπει να είναι τουλάχιστον 256 bits.
Οι απαιτήσεις σχετικά με το μήκος του κλειδιού κρυπτογράφησης θα πρέπει να αναθεωρούνται ετησίως και να αναβαθμίζονται, όταν το επιτρέπει η τεχνολογία των υπολογιστικών και δικτυακών συστημάτων.
Λύσεις κρυπτογράφησηςΗ αξία των δεδομένων που απαιτούν προστασία και το σύστημα αποθήκευσης των δεδομένων πρέπει να εξεταστούν προσεκτικά. Όλες οι μέθοδοι κρυπτογράφησης που περιγράφονται σε αυτές τις οδηγίες ισχύουν για τα υπολογιστικά και φορητά συστήματα.
Τα εμπορικά λειτουργικά συστήματα όπως τα Windows 10 και Mac OS X παρέχουν ολοκληρωμένες λύσεις κρυπτογράφησης χωρίς επιπλέον κόστος. Για την ασφάλεια των δεδομένων συστήνεται η χρήση ολοκληρωμένων λύσεων κρυπτογράφησης σε συνδυασμό με προτεινόμενες λύσεις τρίτων που αναλύονται στα παρακάτω σενάρια.
Κρυπτογράφηση δίσκουΤα φορητά συστήματα όπως οι φορητοί υπολογιστές είναι ιδιαίτερα ευαίσθητα στην κλοπή και συχνά περιέχουν πολύτιμα δεδομένα. Η κρυπτογράφηση δίσκου εκκίνησης απαιτεί το κλειδί (password) για να ξεκινήσει το λειτουργικό σύστημα και να αποκτήσει πρόσβαση στα μέσα αποθήκευσης. Η κρυπτογράφηση δίσκου εκκίνησης τυπικά εφαρμόζεται σε συνδυασμό με κρυπτογράφηση πλήρους δίσκου.
ΛύσειςBitLocker, VeraCrypt
Κρυπτογράφηση ηλεκτρονικού ταχυδρομείουΤα προϊόντα που σχετίζονται με το ηλεκτρονικό ταχυδρομείο ενσωματώνουν κρυπτογράφηση στο λογισμικό πελάτη ηλεκτρονικού ταχυδρομείου, επιτρέποντας την αποστολή μηνυμάτων και συνημμένων σε κρυπτογραφημένη μορφή. Μπορείτε να χρησιμοποιήσετε ένα ευρύτερο φάσμα προϊόντων κρυπτογράφησης αρχείων/φακέλων για την κρυπτογράφηση μεμονωμένων αρχείων και φακέλων.
ΛύσειςPGP Desktop
Κρυπτογράφηση εξωτερικών συσκευώνΕξωτερικές συσκευές όπως σκληρός δίσκος, DVD, CD και μονάδες flash USB μπορούν να κρυπτογραφηθούν στο σύνολό τους. Τα δεδομένα για αυτά τα συστήματα μπορούν να θεωρηθούν ασφαλή.
ΛύσειςBitlocker, ESET DESLock Encryption, VeraCrypt
Κρυπτογράφηση αρχείωνΤα μεμονωμένα ή πολλαπλά αρχεία μπορούν να κρυπτογραφηθούν ξεχωριστά από το λειτουργικό σύστημα του υπολογιστή. Αυτά τα κρυπτογραφημένα αρχεία μπορούν να αποθηκευτούν σε διαφορετικές τοποθεσίες όπως κοινόχρηστοι φάκελοι δικτύου, εξωτερικούς σκληρούς δίσκους ή να αποσταλούν με ασφάλεια μέσω ηλεκτρονικού ταχυδρομείου.
Λύσεις7-Zip, EFS, FileVault, PGP Desktop, VeraCrypt, WinZip, WinSCP, WinZip
Κρυπτογράφηση φακέλωνΟι φάκελοι που περιέχουν ευαίσθητα δεδομένα μπορούν να κρυπτογραφηθούν ξεχωριστά από το λειτουργικό σύστημα του υπολογιστή. Αυτοί οι κρυπτογραφημένοι φάκελοι μπορούν να αποθηκευτούν σε διαφορετικές τοποθεσίες, όπως κοινόχρηστοι φάκελοι δικτύου, εξωτερικούς σκληρούς δίσκους.
Λύσεις7-Zip, EFS, FileVault, PGP Desktop, VeraCrypt
Πλήρης κρυπτογράφηση δίσκωνΗ κρυπτογράφηση πλήρους δίσκου κρυπτογραφεί όλα τα δεδομένα ενός συστήματος, συμπεριλαμβανομένων των αρχείων, των φακέλων και του λειτουργικού συστήματος. Αυτό είναι το πλέον κατάλληλο όταν δεν διασφαλίζεται η φυσική ασφάλεια του συστήματος. Παράδειγμα φορητών υπολογιστών που θα βγουν εκτός εταιρείας ή υπολογιστές που δεν βρίσκονται σε φυσική ασφαλή περιοχή.
ΛύσειςBitLocker, VeraCrypt
Κρυπτογράφηση κινητής συσκευήςΟι κινητές συσκευές όπως τα tablets και τα smartphones επιτρέπουν στους χρήστες να ανταλλάσσουν, να μεταφέρουν και να αποθηκεύουν πληροφορίες. Η εξαιρετική φορητότητα αυτών των συσκευών τους καθιστά ευπαθή σε κλοπή ή απώλεια. Συστήνεται η χρήση συσκευών όπως φορητοί υπολογιστές για την αποθήκευση, τη μετάδοση ή την επεξεργασία ευαίσθητων δεδομένων.
ΛύσειςΠροστασία περιεχομένου Android, iPhone Encryption Κρυπτογράφηση επιπέδου μεταφοράς
Τα προϊόντα ασφαλούς μεταφοράς πελάτη/διακομιστή παρέχουν κρυπτογράφηση σε επίπεδο μεταφοράς για την προστασία των δεδομένων κατά τη μεταφορά μεταξύ του αποστολέα και του παραλήπτη, προκειμένου να διασφαλιστεί η παράδοση χωρίς υποκλοπή ή πλαστογράφηση. Αυτό το σενάριο απαιτεί την κατάλληλη διαμόρφωση ενός διακομιστή προκειμένου να επιτρέψει στους πελάτες να συνδεθούν με ασφαλή τρόπο.
ΛύσειςFileZilla, SCP, WinSCP
Κρυπτογράφηση φορητής συσκευήςΌλες οι φορητές συσκευές που περιέχουν αποθηκευμένα ευαίσθητα δεδομένα που ανήκουν στην εταιρεία πρέπει να χρησιμοποιούν εγκεκριμένες μεθόδους κρυπτογράφησης για την προστασία των δεδομένων. Φορητές συσκευές ορίζονται οι φορητοί υπολογιστές, tablet και smartphones.
i. Φορητοί υπολογιστές Οι φορητοί υπολογιστές πρέπει να χρησιμοποιούν κρυπτογράφηση πλήρους δίσκου με ένα εγκεκριμένο λογισμικό κρυπτογράφηση. Δεν μπορούν να υπάρχουν αποθηκευμένα ευαίσθητα δεδομένα της εταιρείας σε φορητό υπολογιστή σε μορφή καθαρού κειμένου.
ii. Tablet και smartphones Όλα τα δεδομένα της εταιρείας που είναι αποθηκευμένα σε ένα smartphone ή tablet πρέπει να αποθηκευτούν σε ένα κρυπτογραφημένο σύστημα το οποίο χρησιμοποιεί επίσης τεχνολογία απομακρυσμένης διαγραφής δεδομένων μιας απολεσθείσας συσκευής, για να απενεργοποιήσει και να διαγράψει εξ 'ολοκλήρου τα δεδομένα που είναι αποθηκευμένα στην συσκευή που αναφέρεται ότι έχει χαθεί ή έχει κλαπεί.
iii. Κλειδιά Κρυπτογράφησης
Όλα τα κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση και την αποκρυπτογράφηση πρέπει να πληρούν τις απαιτήσεις πολυπλοκότητας που περιγράφονται στην Πολιτική Ασφαλείας κωδικού πρόσβασης.
Πολιτική Ηλεκτρονικής Αλληλογραφίας και διαδικτύουΗ πολιτική αυτή εφαρμόζεται για όλα τα συστήματα, τους ανθρώπους και τις διαδικασίες που εμπλέκονται στην διαχείριση της ηλεκτρονικής αλληλογραφίας και του διαδικτύου.
Οδηγίες και κανόνες ασφάλειας
i. Οι υπηρεσίες ηλεκτρονικού ταχυδρομείου παρέχονται στο προσωπικό της εταιρείας για να χρησιμοποιούνται αποκλειστικά για τους σκοπούς και τις εργασίες της εταιρείας.
ii. Απαγορεύεται η χρήση του ηλεκτρονικού ταχυδρομείου για την αποστολή αυτόκλητων μηνυμάτων (unsolicited mail - spam).
iii. Όλα τα ηλεκτρονικά μηνύματα συνοδεύονται από κείμενο που δηλώνει ότι όσα αναφέρονται σε αυτό δεν απηχούν κατ’ ανάγκην τις απόψεις της εταιρείας.
iv. Οι χρήστες πρέπει να γνωρίζουν ότι η εμπιστευτικότητα των ηλεκτρονικών μηνυμάτων δεν μπορεί να διασφαλιστεί παρά μόνο εάν εφαρμόζονται ειδικές τεχνικές κρυπτογράφησης.
v. Οι χρήστες πρέπει να γνωρίζουν ότι ο παραλήπτης ενός μηνύματος μπορεί να το διατηρήσει για απροσδιόριστο χρόνο, να το προωθήσει σε τρίτους ή ακόμα να αλλοιώσει το περιεχόμενο του και έπειτα να το προωθήσει σε τρίτους.
vi. Οι χρήστες πρέπει να γνωρίζουν ότι η πραγματική ταυτότητα του αποστολέα ενός μηνύματος μπορεί να είναι διαφορετική από την αναγραφόμενη στο μήνυμα.
vii. Οι χρήστες δεν πρέπει να χρησιμοποιούν τους λογαριασμούς ηλεκτρονικού ταχυδρομείου συναδέλφων τους. Όποτε απαιτείται περισσότερα του ενός πρόσωπα να χρησιμοποιούν ένα λογαριασμό, τότε δημιουργείται ειδικός λογαριασμός με όνομα που δε συνδέεται με κάποιο πρόσωπο
viii. Δεν πρέπει να αποστέλλονται εμπιστευτικές πληροφορίες εκτός της εταιρείας με το ηλεκτρονικό ταχυδρομείο.
ix. Η πρόσβαση στο διαδίκτυο παρέχεται στο προσωπικό της εταιρείας για να χρησιμοποιηθεί για τους σκοπούς της εταιρείας και για τη βελτίωση των γνώσεων και δεξιοτήτων του ανθρώπινου δυναμικού του.
x. Το Κέντρο Δια Βίου Μάθησης διατηρεί το δικαίωμα να περιορίσει την πρόσβαση σε συγκεκριμένους ιστότοπους. Οι χρήστες που χρειάζονται πρόσβαση σε ιστότοπους που δεν έχουν εγκριθεί από την εταιρεία έχουν το δικαίωμα να υποβάλλουν σχετικό αίτημα στο υπεύθυνο.
xi. Οι χρήστες πρέπει να γνωρίζουν ότι οι δυνατότητες των γραμμών που συνδέουν την εταιρεία με το διαδίκτυο είναι πεπερασμένες και κατά συνέπεια η κατάχρηση των υπηρεσιών του διαδικτύου (πχ. η λήψη μεγάλων αρχείων) περιορίζει τη χρήση του διαδικτύου από το υπόλοιπο ανθρώπινο δυναμικό.
xii. Οι χρήστες πρέπει να αποφεύγουν την επίσκεψη σε ιστοσελίδες με παράνομο λογισμικό, μη πρέπον υλικό ή άλλο πειρατικό οπτικοακουστικό υλικό. Η επίσκεψη των ιστοσελίδων αυτών μπορεί να θέσει σε κίνδυνο την ασφάλεια των Πληροφοριακών Συστημάτων της εταιρείας.
Προσωπική ΧρήσηΗ χρήση πόρων της εταιρείας για προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου είναι αποδεκτή, αλλά το ηλεκτρονικό μήνυμα που δεν σχετίζεται με το έργο θα πρέπει να αποθηκεύεται σε ξεχωριστό φάκελο από τον φάκελο των μηνυμάτων που σχετίζονται με την εργασία.
Αυτοί οι περιορισμοί ισχύουν επίσης για τη διαβίβαση μηνυμάτων που λαμβάνονται από έναν υπάλληλο.
Διατήρηση ηλεκτρονικού ταχυδρομείουΟι κρυπτογραφημένες επικοινωνίες πρέπει να αποθηκεύονται κατά τρόπο τέτοιο που να προστατεύει την εμπιστευτικότητα των πληροφοριών, αλλά γενικά οι πληροφορίες που περιέχουν ευαίσθητα δεδομένα πρέπει να αποθηκεύονται σε κρυπτογραφημένη μορφή.
Πολιτική Απομακρυσμένη πρόσβασηΗ απομακρυσμένη πρόσβαση στο εταιρικό δίκτυο της εταιρείας είναι απαραίτητη για τη διατήρηση της παραγωγικότητας, αλλά σε πολλές περιπτώσεις αυτή η απομακρυσμένη πρόσβαση προέρχεται από δίκτυα που μπορεί ήδη να έχουν παραβιαστεί ή βρίσκονται σε σημαντικά χαμηλότερο επίπεδο ασφαλείας από το εταιρικό δίκτυο. Παρόλο που αυτά τα απομακρυσμένα δίκτυα είναι εκτός του ελέγχου της πολιτικής πρέπει να μετριάσουμε αυτούς τους εξωτερικούς κινδύνους όσο καλύτερα μπορούμε.
ΣκοπόςΣκοπός αυτής της πολιτικής είναι ο καθορισμός κανόνων και απαιτήσεων για τη σύνδεση στο δίκτυο της εταιρείας από οποιονδήποτε κεντρικό υπολογιστή. Αυτοί οι κανόνες και απαιτήσεις είναι σχεδιασμένοι ώστε να ελαχιστοποιούν την πιθανή έκθεση της εταιρείας από ζημίες που μπορεί να προκύψουν από μη εξουσιοδοτημένη χρήση των υπολογιστικών και δικτυακών πόρων της εταιρείας. Οι ζημίες περιλαμβάνουν την απώλεια ευαίσθητων ή εταιρικών εμπιστευτικών δεδομένων, την πνευματική ιδιοκτησία, τη ζημία στη δημόσια εικόνα.
Πεδίο εφαρμογήςΗ πολιτική ισχύει για όλους τους υπαλλήλους, τους συνεργάτες και τους προμηθευτές της εταιρείας που διαθέτουν έναν υπολογιστή και χρησιμοποιείται για τη σύνδεση στο δίκτυο της εταιρείας. Αυτή η πολιτική ισχύει για συνδέσεις απομακρυσμένης πρόσβασης που χρησιμοποιούνται για την εκτέλεση εργασιών για λογαριασμό της εταιρείας. Αυτή η πολιτική καλύπτει επίσης οποιεσδήποτε τεχνικές διεργασίες απομακρυσμένης πρόσβασης που χρησιμοποιούνται για τη σύνδεση με δίκτυα της εταιρείας.
ΠολιτικήΟι υπάλληλοι, οι συνεργάτες και οι προμηθευτές της εταιρείας με δικαιώματα απομακρυσμένης πρόσβασης στο εταιρικό δίκτυο του είναι υπεύθυνοι για να διασφαλίσουν ότι η σύνδεση απομακρυσμένης πρόσβασης τους λαμβάνει την ίδια προσοχή με την επιτόπου σύνδεση του χρήστη.
Η γενική πρόσβαση στο διαδίκτυο μέσω του δικτύου της εταιρείας περιορίζεται αυστηρά στους υπαλλήλους, τους συνεργάτες και τους προμηθευτές της εταιρείας (εφεξής "εξουσιοδοτημένοι χρήστες"). Κατά την πρόσβαση στο δίκτυο της εταιρείας από έναν υπολογιστή, οι εξουσιοδοτημένοι χρήστες είναι υπεύθυνοι για την αποτροπή πρόσβασης σε πόρους ή δεδομένα υπολογιστών της εταιρείας από μη εξουσιοδοτημένους χρήστες. Η εκτέλεση παράνομων δραστηριοτήτων μέσω του δικτύου της εταιρείας από οποιονδήποτε χρήστη (εξουσιοδοτημένο ή μη) απαγορεύεται.
Ο εξουσιοδοτημένος χρήστης φέρει την ευθύνη και τις συνέπειες της κατάχρησης της πρόσβασης του.
Οι εξουσιοδοτημένοι χρήστες δεν θα χρησιμοποιούν το δίκτυο της εταιρείας για πρόσβαση στο διαδίκτυο για εξωτερικά επιχειρηματικά ενδιαφέροντα.
Απαιτήσειςi. Η ασφαλής απομακρυσμένη πρόσβαση πρέπει να ελέγχεται αυστηρά. Ο έλεγχος θα επιβληθεί μέσω ενός ελέγχου ταυτότητας κωδικού πρόσβασης ή δημόσιων/ιδιωτικών κλειδιών με ισχυρές φράσεις (λέξης κλειδιά). Για πληροφορίες σχετικά με τη δημιουργία ισχυρής φράσης πρόσβασης, ανατρέξτε στην Πολιτική κωδικού πρόσβασης.
ii. Σε καμία περίπτωση δεν πρέπει ο υπάλληλος της εταιρείας να παράσχει τον κωδικό πρόσβασής του ή τον κωδικό του ηλεκτρονικού ταχυδρομείου σε οποιονδήποτε, ούτε καν σε μέλη της οικογένειας του.
iii. Οι υπάλληλοι και οι συνεργάτες με δικαιώματα απομακρυσμένης πρόσβασης πρέπει να διασφαλίζουν ότι ο υπολογιστής που είναι συνδεδεμένος εξ αποστάσεως με το εταιρικό δίκτυο της εταιρείας δεν είναι συνδεδεμένος με κανένα άλλο δίκτυο ή δίκτυα την ίδια στιγμή, με εξαίρεση τα δίκτυα που τελούν υπό τον πλήρη έλεγχο του χρήστη.
iv. Οι υπάλληλοι και οι συνεργάτες με δικαιώματα απομακρυσμένης πρόσβασης στο εταιρικό δίκτυο της εταιρείας δεν πρέπει να χρησιμοποιούν μη εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου ή άλλους εξωτερικούς πόρους για τη διεξαγωγή εργασιών.
v. Οι δρομολογητές που έχουν ρυθμιστεί για πρόσβαση στο δίκτυο της εταιρείας πρέπει να πληρούν τις ελάχιστες απαιτήσεις πιστοποίησης.
Όλοι οι υπολογιστές που είναι συνδεδεμένοι με το εσωτερικό δίκτυο της εταιρείας μέσω τεχνολογιών απομακρυσμένης πρόσβασης πρέπει να χρησιμοποιούν το πιο ενημερωμένο λογισμικό προστασίας από ιούς.
Αποδεκτή Χρήση
Γενική Χρήση και Ιδιοκτησίαi. Οι υπάλληλοι θα πρέπει να γνωρίζουν ότι τα δεδομένα που δημιουργούν στα εταιρικά συστήματα παραμένουν ιδιοκτησία της εταιρείας.
ii. Οποιεσδήποτε πληροφορίες οι χρήστες θεωρούν ευαίσθητες ή ευάλωτες κρυπτογραφούνται.
iii. Για λόγους ασφάλειας και συντήρησης του δικτύου, εξουσιοδοτημένα άτομα μπορούν να παρακολουθούν τον εξοπλισμό, τα συστήματα και την κυκλοφορία δικτύου ανά πάσα στιγμή.
Ασφάλεια και ιδιόκτητες πληροφορίεςi. Η διεπαφή χρήστη για πληροφορίες που περιέχονται στα συστήματα <________> θα πρέπει να ταξινομείται είτε ως εμπιστευτική είτε ως μη εμπιστευτική, όπως καθορίζεται από τις κατευθυντήριες γραμμές εταιρικού απορρήτου. Οι εργαζόμενοι πρέπει να λάβουν όλα τα απαραίτητα μέτρα για να αποτρέψουν την άνευ αδείας πρόσβαση σε αυτές τις πληροφορίες.
ii. Κρατήστε τους κωδικούς πρόσβασης ασφαλή και μην μοιράζεστε λογαριασμούς. Οι εξουσιοδοτημένοι χρήστες είναι υπεύθυνοι για την ασφάλεια των κωδικών πρόσβασης και των λογαριασμών τους
iii. Όλοι οι υπολογιστές θα πρέπει να ασφαλίζονται με κωδικό προφύλαξης οθόνης με αυτόματη λειτουργία ενεργοποίησης του να έχει οριστεί σε 15 λεπτά ή λιγότερο.
iv. Όλοι οι υπολογιστές που χρησιμοποιούνται από τους υπαλλήλους που είναι συνδεδεμένοι στο δίκτυο της εταιρείας, είτε ανήκουν στους υπαλλήλους είτε στην εταιρεία, πρέπει να εκτελούν εγκεκριμένο λογισμικό σάρωσης για ιούς με ενημερωμένη βάση δεδομένων για ιούς.
v. Οι υπάλληλοι πρέπει να δίνουν μεγάλη προσοχή κατά το άνοιγμα συνημμένων ηλεκτρονικού ταχυδρομείου που έχουν ληφθεί από άγνωστους αποστολείς, τα οποία ενδέχεται να περιέχουν ιούς.
Μη αποδεκτή χρήσηΟι ακόλουθες δραστηριότητες απαγορεύονται γενικά. Οι παρακάτω κατάλογοι δεν είναι δεσμευτικοί, αλλά προσπαθούν να παράσχουν ένα πλαίσιο για δραστηριότητες που εμπίπτουν στην κατηγορία μη αποδεκτής χρήσης.
i. Σε καμία περίπτωση δεν είναι εξουσιοδοτημένος ο/η υπάλληλος της εταιρείας να ασκεί οποιαδήποτε δραστηριότητα που είναι παράνομη βάσει κρατικού ή διεθνούς δικαίου, ενώ χρησιμοποιεί τους πόρους που ανήκουν στην εταιρεία.
ii. Παραβίαση των δικαιωμάτων οποιουδήποτε προσώπου ή επιχείρησης που προστατεύεται από δικαιώματα πνευματικής ιδιοκτησίας, εμπορικό μυστικό, δίπλωμα ευρεσιτεχνίας ή άλλη πνευματική ιδιοκτησία ή παρόμοιους νόμους ή κανονισμούς, συμπεριλαμβανομένης, ενδεικτικά, της εγκατάστασης ή διανομής «πειρατικών» ή άλλων προϊόντων λογισμικού που δεν έχουν λάβει κατάλληλη άδεια χρήσης.
iii. Μη εξουσιοδοτημένη αντιγραφή υλικού που προστατεύεται από πνευματικά δικαιώματα, συμπεριλαμβανομένης, ενδεικτικά, της ψηφιοποίησης και της διανομής φωτογραφιών από περιοδικά, βιβλία ή άλλες πηγές που προστατεύονται από πνευματικά δικαιώματα, μουσική που προστατεύεται από πνευματικά δικαιώματα και οποιουδήποτε λογισμικού που προστατεύεται από πνευματικά δικαιώματα και για το οποίο υπάρχει ενεργή άδεια απαγορεύεται αυστηρά.
iv. Εισαγωγή κακόβουλων προγραμμάτων στο δίκτυο ή στον διακομιστή.
v. Γνωστοποίηση του κωδικού πρόσβασης του εταιρικού λογαριασμού σε άλλους ή την παροχή χρήσης του εταιρικού λογαριασμού από άλλους. Αυτό περιλαμβάνει και μέλη της οικογενείας όταν εργάζονται στο σπίτι.
vi. Πραγματοποίηση δόλιας προσφοράς προϊόντων, αντικειμένων ή υπηρεσιών προερχόμενων από οποιοδήποτε λογαριασμό της εταιρείας.
vii. Εφαρμογή παραβιάσεων της ασφάλειας ή διακοπή της επικοινωνίας μέσω δικτύου. Οι παραβιάσεις ασφαλείας περιλαμβάνουν, αλλά δεν περιορίζονται σε αυτά, πρόσβαση σε δεδομένα για τα οποία ο εργαζόμενος δεν είναι αποδέκτης ή σύνδεση σε διακομιστή ή λογαριασμό στον οποίο ο εργαζόμενος δεν έχει ρητά εξουσιοδοτηθεί για την πρόσβαση, εκτός εάν τα καθήκοντα αυτά εμπίπτουν στο πεδίο των τακτικών καθηκόντων.
viii. Εκτέλεση οποιασδήποτε μορφής παρακολούθησης δικτύου, η οποία θα παρεμποδίσει τα δεδομένα που δεν προορίζονται για τον υπάλληλο εκτός εάν η δραστηριότητα αυτή αποτελεί μέρος των καθηκόντων του.
ix. Η παράκαμψη ελέγχου ταυτότητας χρήστη ή την ασφάλεια οποιουδήποτε κεντρικού υπολογιστή, δικτύου ή λογαριασμού.
x. Χρησιμοποιώντας οποιοδήποτε πρόγραμμα / script / εντολή ή στέλνοντας μηνύματα οποιουδήποτε είδους, με πρόθεση να παρέμβει ή να απενεργοποιήσει τη συνεδρία τερματικού χρήστη, με οποιοδήποτε μέσο, τοπικά ή μέσω του Διαδικτύου.
xi. Παροχή πληροφοριών σχετικά με καταλόγους, υπαλλήλων, πελατών και συνεργατών της εταιρείας σε τρίτα μέρη για την οποία δεν έχει λάβει σχετική έγκριση από τον υπεύθυνο της εταιρείας.Πολιτική Ασύρματης πρόσβασης
Πολιτική καθαρού γραφείου
Ο σκοπός αυτής της πολιτικής είναι να δημιουργήσει μια κουλτούρα ασφάλειας και εμπιστοσύνης για όλους τους υπαλλήλους της εταιρείας. Μια αποτελεσματική προσπάθεια καθαρού γραφείου που περιλαμβάνει τη συμμετοχή και την υποστήριξη όλων των υπαλλήλων μπορεί να προστατεύσει σημαντικά έγγραφα που περιέχουν ευαίσθητες πληροφορίες για τους πελάτες της εταιρείας. Όλοι οι υπάλληλοι πρέπει να εξοικειωθούν με τις κατευθυντήριες γραμμές αυτής της πολιτικής.
ΣκοπόςΟι κύριοι λόγοι για μια πολιτική καθαρού γραφείου είναι οι εξής:
i. Ένα καθαρό γραφείο μπορεί να παράγει μια θετική εικόνα στους πελάτες της εταιρείας.
ii. Μειώνει την απειλή ενός συμβάντος ασφαλείας, καθώς οι εμπιστευτικές πληροφορίες θα κλειδώνονται όταν δεν παρακολουθούνται.
iii. Τα ευαίσθητα έγγραφα που παραμένουν ανοιχτά μπορούν να κλαπούν από μια κακόβουλη οντότητα.
ΕυθύνηΌλοι οι υπάλληλοι, της εταιρείας υπόκεινται σε αυτήν την πολιτική
Πεδίο εφαρμογήςi. Σε εκτεταμένες περιόδους μακριά από το γραφείο σας, όπως ένα μεσημεριανό διάλειμμα, ευαίσθητα έγγραφα εργασίας αναμένεται να τοποθετηθούν σε κλειδωμένα συρτάρια.
ii. Στο τέλος της εργάσιμης ημέρας ο υπάλληλος αναμένεται να τακτοποιήσει το γραφείο του και να απομακρύνει όλα τα έγγραφα από το γραφείο. Το Κέντρο Δια Βίου Μάθησης παρέχει συρτάρια και ντουλάπια αρχειοθέτησης για το σκοπό αυτό.
Δράσηi. Κατανομή χρόνου για να ξεκαθαρίσετε με έγγραφα σας.
ii. Οι εργαζόμενοι υποχρεούνται να διασφαλίζουν ότι όλες οι ευαίσθητες/εμπιστευτικές πληροφορίες σε έντυπη ή ηλεκτρονική μορφή είναι ασφαλείς στον χώρο εργασίας τους στο τέλος της ημέρας και όταν αναμένεται να φύγουν για μεγάλο χρονικό διάστημα.
iii. Προβείτε σε σάρωση των εγγράφων και την ηλεκτρονική καταχώρισή τους στο σταθμό εργασίας.
iv. Χρησιμοποιήστε καταστροφέα εγγράφων για ευαίσθητα έγγραφα όταν δεν χρειάζονται πλέον.
v. Όλα τα έγγραφα που έχουν εκτυπωθεί σε εκτυπωτές ή συσκευές φαξ θα πρέπει να αφαιρούνται άμεσα. Αυτό βοηθά να διασφαλιστεί ότι τα ευαίσθητα έγγραφα δεν παραμένουν στους εκτυπωτές και αποκλείεται η περίπτωση για να τα πάρει μη εξουσιοδοτημένο άτομο.
vi. Οι ντουλάπες αρχειοθέτησης που περιέχουν έγγραφα με ευαίσθητες πληροφορίες πρέπει να παραμένουν κλειστές και κλειδωμένες όταν δεν χρησιμοποιούνται ή όταν δεν παρακολουθούνται.
vii. Οι κωδικοί πρόσβασης δεν επιτρέπεται να παραμένουν σε αυτοκόλλητες σημειώσεις που αναρτώνται πάνω ή κάτω από έναν υπολογιστή, ούτε μπορούν να αφεθούν γραμμένες σε προσιτή θέση.
viii. Κλειδώστε τα συρτάρια και τα ντουλάπια αρχειοθέτησης στο τέλος της ημέρας.
ix. Τα κλειδιά που χρησιμοποιούνται για τα συρτάρια και τα ντουλάπια αρχειοθέτησης δεν πρέπει να παραμένουν σε απροστάτευτο γραφείο.
x. Οι υπολογιστές πρέπει να κλείνουν τελείως στο τέλος της ημέρας.
xi. Οι φορητοί υπολογιστές πρέπει είτε να κλειδώνονται με ένα καλώδιο ασφάλισης είτε να κλειδώνονται σε ένα συρτάρι ή ντουλάπα.
xii. Αντιμετωπίστε τις συσκευές μαζικής αποθήκευσης, όπως συσκευές CDROM, DVD ή USB, ως ευαίσθητες και ασφαλίστε τα σε ένα κλειδωμένο συρτάρι
Το Κέντρο Δια Βίου Μάθησης δεν αναμένει ότι η πολιτική θα εφαρμοστεί αυστηρά, αλλά αναμένει ότι οι υπάλληλοι της θα εναρμονιστούν με το πνεύμα της πολιτικής.
ΜεταδεδομέναΟρισμός Όταν δημιουργείτε και επεξεργάζεστε τα έγγραφά σας, οι πληροφορίες σχετικά με εσάς και οι επεξεργασίες που δημιουργείτε αποθηκεύονται αυτόματα και αποκρύπτονται μέσα στο αρχείο εγγράφων. Τα μεταδεδομένα μπορούν συχνά να είναι ευαίσθητα ή εμπιστευτικά στοιχεία και μπορεί να είναι δυνητικά καταστροφικά ή ενοχλητικά. Στον ιστότοπο της, η Microsoft δηλώνει ότι τα ακόλουθα μεταδεδομένα μπορεί να αποθηκευτούν σε έγγραφα που έχουν δημιουργηθεί σε όλες τις εκδόσεις του Word, Excel και PowerPoint:
i. το όνομά σας και τα αρχικά σας (ή αυτά του ατόμου που δημιούργησε το αρχείο)
ii. το όνομα του υπολογιστή σας
iii. το όνομα της εταιρείας
iv. το όνομα και τον τύπο του εκτυπωτή στον οποίο εκτυπώσατε το έγγραφο
v. Αναθεωρήσεις εγγράφων, συμπεριλαμβανομένου του διαγραμμένου κειμένου που δεν είναι πλέον ορατό στην οθόνη
vi. εκδόσεις εγγράφων
vii. πληροφορίες σχετικά με οποιοδήποτε πρότυπο που χρησιμοποιήθηκε για τη δημιουργία του αρχείου
viii. κρυφό κείμενο ix. σχόλια