Témák

Biztonsági kultúra építése
Biztonság
Erős alapok:
Fiókok és eszközök
védelme
Kommunikáció és
az adatok biztonságos tárolása
Biztonságban maradni
az interneten
Fizikai javak
védelme
Mit kell tenni, amikor
valami rosszul sül el

A fizikai biztonság védelme

Fizikai javak védelme

Az információbiztonság lényeges eleme az eszközök fizikai biztonsága. Amellett, hogy a zárolási képernyők és jelszavak használatával, a teljes lemeztitkosítás megvalósításával és a távoli törlési funkciók bekapcsolásával mérsékelheti az ellopott eszközök hatását, azt is meg kell fontolnia, hogyan lehet megakadályozni, hogy ezeket az eszközöket ellopják. A lopás megnehezítése érdekében ügyeljen arra, hogy erős zárakat szereljen fel (és cserélgesse azokat, amikor a személyzet változik) az irodában és/vagy otthon. Fontolja meg laptopszéf vagy zárható szekrény vásárlását is, hogy az eszközöket éjszaka jobban védje. A biztonsági kamerák sokkal olcsóbbak lettek, az otthoni használatra tervezett egyszerű változatok szélesebb körben kaphatók. Az ilyen kamera- vagy mozgásérzékelő rendszerek az épület körül képesek észlelni és remélhetőleg megakadályozni a fizikai betöréseket és lopásokat. Keressen az Ön országában elérhető, amagánélet tiszteletben tartására irányuló lehetőségeket, és mindenképpen olyan megbízható vállalatok által biztosított kamerákat válasszon, melyeknek nem érdeke adatokat és információkat átadni egy potenciális ellenfélnek.

Ha nagy a betörés vagy az irodai razzia kockázata, tartsa távol a szervezet legérzékenyebb adatait az irodától – akár úgy, hogy biztonságosan tárolja őket a felhőben (ahogyan korábban tárgyaltuk), akár úgy, hogy fizikailag kevésbé célzott helyre helyezi át őket. Ha a régi eszközökön még vannak tárolva adatok, de már nem használja őket, fontolja meg azok törlését – ez az útmutató a WireCuttertől nagyszerű forrást nyújt a legtöbb modern eszközhöz. Ha az eszközök törlése nem lehetséges, akkor azokat fizikailag is megsemmisítheti. Ennek legegyszerűbb, ha nem a leginkább környezetkímélő módja, ha kalapáccsal széttöri az eszközöket és merevlemezeket. Néha a legrégebbi megoldások működnek a legjobban!

Még e technikai lépések előtt szánjon egy pillanatot arra, hogy leltárt készít a vállalat összes berendezéséről. Ha nincs listája az összes eszközéről, nehezebb nyomon követni, hogy mi hiányozhat, ha valamit ellopnak.

Saját irodai biztonsági rendszer beállítása

Ha a vállalat költségvetéséből nem telik ki egy teljes irodai biztonsági rendszer, és Ön különösen aggódik az adatvédelem miatt, próbálkozzon egy kreatív lehetőséggel, mint például a Guardian Project Haven App, amely értesítheti Önt az esetleges irodai behatolásról. A Haven egy okostelefonos alkalmazás, amely bármely Android telefont mozgás-, hang-, rezgés- és fényérzékelővé alakíthat. Android-eszközök az iroda különböző pontjain, hogy értesítsék és rögzítsék a váratlan vendégeket és a nem kívánt behatolókat. A Haven App hasznos lehet egy szállodai szobában vagy lakásban is, ha ön fokozott kockázatnak van kitéve. A teljes biztonsági rendszer a legjobb, de ha ez nem elérhető, és szeretne többet megtudni a Haven alkalmazás használatáról, látogasson el a projekt weboldalára

Mit tegyünk ezzel a sok papírral?

Valószínűleg vállalata sok olyan információval rendelkezik, amelyet papírra nyomtatnak, jegyzetfüzetekbe írnak, vagy ragadós cetlikre firkáltak. Ezek egy része nagyon kényes lehet: a költségvetések kinyomtatása, a résztvevők listája, az adományozók kényes levelei és a magántalálkozókról készült feljegyzések. Elengedhetetlen ezen információk biztonságára is gondolni. Ha feltétlenül meg kell őriznie az érzékeny információk nyomtatott példányát, gondoskodjon arról, hogy azokat biztonságosan, zárt szekrényben vagy más biztonságos helyen tárolja. Ne tartson magánjellegű vagy bizalmas információkat (beleértve a jelszavakat is) az asztalon heverve vagy fehér táblára felírva. Ha úgy gondolja, hogy szervezeténél nagy a betörés vagy razzia kockázata, tartsa a rendkívül érzékeny információkat kevésbé kitett helyen.

Amennyire lehetséges, törekedjen a szükségtelen nyomtatott információk megsemmisítésére. Ne feledje: ha valami nincs, azt nem lehet ellopni. Állítson be szervezeti szabályzatot a nyomtatott jegyzetek tulajdonjogára vonatkozóan, és ügyeljen arra, hogy minden papíralapú jegyzetet gyűjtsön be az alkalmazottaktól, ha úgy döntenek, hogy elhagyják a szervezetet, vagy elbocsátják őket a vállalattól (akárcsak egy céges számítógépet vagy telefont). A bizalmas papíroktól való megszabaduláshoz vásároljon minőségi iratmegsemmisítőt. Hétvégi szórakoztató tevékenység lehet egy 15 perces szünet a személyzettel, hogy feldarabolják az előző hétről maradt, bizalmas dokumentumokat vagy feljegyzéseket.

Az irodai irányelv

Bár sokak számára az „iroda” valósága jelentősen megváltozott a COVID-19 világjárvány kezdete óta, továbbra is fontos, hogy szervezete világos szabályzatot határozzon meg az irodai hozzáféréssel kapcsolatban. Ennek az irányelvnek a kulcsfontosságú kérdésekkel kell foglalkoznia, beleértve azt, hogy ki léphet be az irodába (és mikor), ki milyen irodai erőforrásokhoz férhet hozzá (például a WiFi hálózathoz), és mit kell tennie a vendégekkel.

Egy egyszerű, de fontos megválaszolandó kérdés, hogy ki kapja meg az irodai kulcsot. Csak megbízható személyzet rendelkezhet kulcsokkal, és a zárakat a személyzet távozásakor és/vagy rendszeres időközönként kell cserélni. A nap folyamán minden záratlanul hagyott ajtónak folyamatosan szem előtt kell lennie valakinek, akiben megbíznak a szervezetben. Gondolja át azt is, hogy a szervezetnek van-e megbízható kapcsolata a bérbeadóval vagy a takarító személyzettel. Gondolja át, milyen információkhoz vagy eszközökhöz férhetnek hozzá ezek az emberek, és gondoskodjon ezek védelméről, különösen akkor, ha Ön nem rendelkezik ezzel a megbízható kapcsolattal. Bárki is fér hozzá, mindig ki kell jelölni egy megbízható személyt, aki bezárja az irodát, és gondoskodik az eszközök megfelelő biztonságáról, mielőtt a nap végén távozna.

Beengedik a vendégeket az irodába? Ha igen, győződjön meg arról, hogy nincs hozzáférésük (vagy legalább felügyelet nélküli hozzáférésük) eszközökhöz vagy érzékeny nyomtatott adatokhoz. Ha követelmény vagy elvárás, hogy a vendégek internet-hozzáféréssel rendelkezzenek látogatás során, hozzon létre egy „vendég” hálózatot, hogy az ilyen vendégek ne figyelhessék a szokásos forgalmát. Általában csak megbízható személyzet férhet hozzá a hálózathoz és a hálózati eszközökhöz, például nyomtatókhoz. Általában célszerű előírni a vendég regisztrációját is, hogy legyen naplója arról, hogy kik jártak Önöknél.

Az irodai szabályzat kidolgozásakor az legyen a cél, hogy csak megbízható személyek férhessenek hozzá az érzékeny eszközökhöz, dokumentumokhoz, terekhez és rendszerekhez.

Támogató személyzet és önkéntesek

A vállalatát fenyegető fizikai biztonsági fenyegetések az alkalmazottakra is hatással lehetnek. A közösségi médiában történő zaklatáshoz hasonlóan ezek a fizikai biztonsági fenyegetések gyakran aránytalanul nagy hatással vannak a nőkre és a marginalizált közösségekre. Nem csak a betört ablakokról és az ellopott laptopokról van szó. A megfélemlítés, a fenyegetés vagy a fizikai vagy szexuális erőszak, a családon belüli bántalmazás és a támadástól való félelem súlyos negatív hatással lehet a személyzet életére. Azon szervezetek számára, amelyek különösen politikailag aktív nőkkel dolgoznak vagy támogatnak, az NDI #Think10 Biztonsági Tervezési Eszköze hasznos forrás azoknak, akik tevékenységük következtében fokozott személyes kockázatnak vannak kitéve.

A munkatársak jóléte nyilvánvalóan fontos érték számukra, mint egyéneknek, de egyben az egészséges és jól működő szervezet alapvető eleme is. Ennek érdekében fontolja meg, hogy milyen további erőforrásokat biztosíthat a személyzetnek a védelem megőrzése érdekében, és fizikai vagy digitális támadások esetén segítse a helyreállítást. Amint azt a Kézikönyvben korábban említettük, ez minimálisan azt jelenti, hogy össze kell állítani egy olyan erőforráslistát, amellyel jogi, orvosi, mentális egészségügyi és technikai segítségnyújtás céljából kapcsolatba léphet a személyzet, ha szükséges. Ismét, a PEN America Az Online Field Harassment Manual ötleteket tartalmaz arra vonatkozóan, hogy a szervezetek hogyan támogathatják a személyzetet a válságok alatt és után, a Tactical Tech holisztikus biztonsági kézikönyve pedig releváns tartalmat tartalmaz arról, hogyan reagálnak a szervezetek gyakran intenzív fenyegetés idején.

Foglaljon biztonságos utazást szervezete számára

Az utazási irányelv összeállításakor azt is tartsa szem előtt, hogy milyen információk jelenhetnek meg az utazás megszervezése vagy lefoglalása során. Ez különösen fontos lehet, ha nagy eseményeket, képzéseket vagy konferenciákat szervez, amelyekhez különféle alkalmazottaktól, partnerektől vagy résztvevőktől származó érzékeny információkat kezel. Gondosan gondolja át, hogyan osztja meg és tárolja (ha szükséges) biztonságosan a személyes adatokat, például útlevéladatokat, utazási útvonalakat és egészségügyi feljegyzéseket. A Tactical Tech szervezői tevékenysége könyvében található egy nagyszerű munkalap, amely segít a szervezetnek átgondolni az utazási biztonsággal kapcsolatos kulcsfontosságú kérdéseket, ide kattintva.

Biztonság utazás közben

Az utazás – akár egy másik országba, akár az úton lévő városba – gyakran fokozza a fizikai információbiztonsági kockázatokat. Általában nyugodtan feltételezhető, hogy Önnek és eszközeinek nincs adatvédelmi joga a határok átlépésekor. Ezért célszerű olyan szervezeti utazási szabályzatot beépíteni a biztonsági tervébe, amely emlékeztetőket tartalmaz a legfontosabb biztonsági bevált gyakorlatokról. 

Szervezete utazási szabályzatának tartalmaznia kell sok, a Kézikönyv más részeiben tárgyalt információt, ideértve az internet biztonságos használatát, valamint az eszközök és egyéb információforrások fizikai biztonságban tartását, és utazás közben mindenkor magával tartását. Ha lehetséges, hagyja hátra bizalmas adatait, és csak egy friss, tisztán törölt számítógépet használjon, érje el a feltétlenül szükséges fájlokat a felhőből, majd törölje azokat, amikor újra hazaér.

Az utazásra való felkészülés és az utazás során megosztott adatok minimalizálása mellett van néhány alapvető üzemeltetési tipp, amelyeket érdemes átgondolni, és belefoglalni a szervezeti utazási szabályzatba.

Fontolja meg olyan utazási célú laptopok vagy telefonok használatát, amelyeken kevés, vagy egyáltalán nincs érzékeny adat. Ha szervezete munkájának nagy részét a felhőben végzi, egy viszonylag olcsó Chromebook jó választás lehet egy ilyen eszközhöz. Állítsa vissza a gyári beállításokat, vagy „törölje le” ezeket az eszközöket visszatérésükkor, mielőtt csatlakozna az otthoni vagy irodai általános WiFi hálózatokhoz.

Készítse fel a személyzetet arra, hogy mit kell tennie, ha a hatóságok kihallgatják, vagy megállítják őket egy határátkelőn. Fontolja meg, hogyan korlátozhatja az utazó információk mennyiségét, ha ez aggodalomra ad okot, és hozzon létre bejelentkezési protokollokat az érzékeny területekre utazó személyzet számára. Adja meg a személyzetnek elérhetőségi adatait és cselekvési tervet arra vonatkozóan, hogy mit kell tenniük, ha valami baj történik az utazás során. Ez magában foglalja a helyi kórházakkal, klinikákkal vagy gyógyszertárakkal kapcsolatos információkat, amennyiben utazásuk során orvosi segítségre van szükségük.

A személyzetnek utazás közben is minden eszközt magánál kell tartania. Például, amikor buszon, vonaton vagy repülőn utazik, tartsa a laptopját a lábánál (ne a felső rekeszben vagy a feladott poggyászban). Ne gondolja, hogy a szállodai szoba – vagy akár a szállodai széf – „biztonságos hely” az érzékeny eszközök és tárgyak tárolására. És ne bízzon a nyilvános USB-töltőportokban. A repülőtereken, állomásokon és járműveken található USB-töltőportok egyre gyakoribb látványt nyújtanak, és nagyon kényelmes módja az eszközök bekapcsolásának. De könnyen használható vektorok lehetnek a rosszindulatú programok felszedésére. Ezért feltétlenül töltse fel az eszközöket a hagyományos módon a fali csatlakozón keresztül, vagy vásároljon USB adatblokkolók, amelyek lehetővé teszik az utazó személyzet számára, hogy biztonságosan tölthessék fel eszközeiket USB-n keresztül.

Fizikai biztonságának védelme

  • Emlékeztesd a személyzetet, hogy az eszközöket mindig fizikailag védjék.
  • Ellenőrizze és biztosítsa az összes módot, ahogyan az emberek bejuthatnak a terébe – ajtókat és ablakokat.
  • Irodai vendég- és hozzáférési szabályzat kidolgozása.
  • Használjon erős zárakat, és szükség esetén forgassa/cserélje ki őket.
  • Fontolja meg egy kamera vagy más irodai biztonsági rendszer beállítását.
  • Legyen és használjon papíraprítót.
    • Határozzon meg időt a személyzetnek az érzékeny információkat tartalmazó nyomtatott dokumentumok megsemmisítésére.
  • Készítsen listát azokról a helyi szakemberekről, szervezetekről és bűnüldöző szervekről, akikkel kapcsolatba léphetnek a munkatársai jogi, mentális egészségügyi és technikai segítségnyújtás céljából az online zaklatás esetén.
  • Szervezeti utazási szabályzat kidolgozása.
  • Gondoskodjon arról, hogy a személyzet tudja, mit kell tennie vészhelyzet esetén az utazás során, beleértve a személyzet felkészítését arra, hogy mit kell tennie, ha megállítják a határon vagy az ellenőrző ponton.
  • Minden helyi, országos vagy nemzetközi utazás előtt emlékeztesse a személyzetet, hogy korlátozza az eszközökön tárolt információkat.
  • Ügyeljen az utazások vagy események szervezése során létrehozott és megosztott további adatokra.