Subiecte

Construirea unei culturi
a securității
O fundație solidă:
Securizarea conturilor și
dispozitivelor
Comunicarea și
stocarea securizată a datelor
Siguranța pe
internet
Protejarea securității
fizice
Ce trebuie să facem când
lucrurile merg prost

Protejarea securității fizice

Protejarea activelor fizice

Ultima actualizare: iulie 2022

O componentă esențială a securității informațiilor este securitatea fizică a dispozitivelor dvs. Pe lângă diminuarea impactului unui dispozitiv furat prin blocarea ecranului și parole, implementarea criptării complete a discului și activarea funcțiilor de ștergere de la distanță, trebuie să acordați atenție și felului în care ați putea împiedica în primul rând furtul dispozitivelor. Pentru a îngreuna furtul, asigurați-vă că instalați încuietori robuste (și schimbați-le dacă există schimbări de personal) la birou și/sau acasă. În plus, vă recomandăm să cumpărați un seif de laptop sau un dulap care poate fi încuiat, pentru protejarea dispozitivelor peste noapte. Camerele de supraveghere sunt tot mai ieftine și aveți la dispoziție tot mai multe versiuni simple destinate utilizării la domiciliu. Camerele sau sistemele cu senzor de mișcare instalate în incinte pot detecta și, sperăm noi, împiedica spargerile și furtul. Căutați o opțiune care respectă confidențialitatea disponibilă în țara dvs., și asigurați-vă că optați pentru camere furnizate de companii de încredere care nu sunt stimulate să predea date și informații unui potențial adversar.

Dacă biroul prezintă un risc ridicat de intrare cu forța sau de razie, nu păstrați datele sensibile ale organizației în birou - fie salvați-le într-un cloud (așa cum am discutat mai sus), fie mutându-le fizic într-o locație mai puțin vizată. Dacă dispozitivele vechi încă au informații stocate pe ele, însă nu mai sunt în uz, vă recomandăm să le ștergeți - acest ghid oferit de Wirecutter este o resursă excelentă cu instrucțiuni pentru majoritatea dispozitivelor moderne. Dacă ștergerea dispozitivelor nu este posibilă, le puteți distruge fizic. Cea mai ușoară, poate chiar și cea mai ecologică, metodă este să spargeți dispozitivele și unitățile de hard disk cu un ciocan. Uneori, cele mai vechi soluții sunt încă cele mai eficiente!

Chiar înainte de acești pași tehnici, creați un inventar al tuturor echipamentelor organizației. Dacă nu aveți o listă a tuturor dispozitivelor, este mai greu să țineți evidența a ceea ce ar putea lipsi în cazul în care se fură.

Instalarea propriului sistem de securitate în birou

Dacă bugetul organizației dvs. nu vă permite un sistem de supraveghere complet pentru birou și vă preocupă confidențialitatea, puteți încerca o opțiune creativă precum aplicația Haven dezvoltată de Guardian Project, care să vă notifice în cazul în care un intrus pătrunde în birou. Haven este o aplicație pentru smartphone care poate transforma orice telefon Android într-un detector de mișcare, sunet, vibrație și lumină. Puteți configura aplicația pe câteva dispozitive Android ieftine, în diferite puncte ale biroului, pentru a vă notifica dacă detectează oaspeți nepoftiți și intruși nedoriți. Aplicația Haven poate fi utilă și într-o cameră de hotel sau într-un apartament, dacă prezentați un risc ridicat. Cea mai bună alegere este un sistem de supraveghere complet, însă, dacă nu vă permiteți și doriți să aflați mai multe despre utilizarea aplicației Haven, vizitați the site-ul proiectului.

Ce să facem cu atâtea hârtii?

Este posibil ca organizația dvs. să aibă multe informații imprimate pe hârtie, notate în agende sau mâzgălite pe notițe adezive. Unele dintre acestea pot fi foarte sensibile: imprimări de bugete, liste de participanți, scrisori sensibile de la donatori și notițe de la întâlniri private. Este esențial să vă gândiți și la securitatea acestor informații. Dacă trebuie neapărat să păstrați copii pe hârtie a unor informații sensibile, asigurați-le că acestea sunt păstrate în siguranță într-un dulap încuiat sau în alt loc sigur. Nu păstrați informații confidențiale sau sensibile (inclusiv parole) pe birou sau notate pe o tablă. Dacă credeți că organizația dvs. prezintă un risc ridicat de intrare cu forța sau de razie, păstrați informațiile extrem de sensibile într-o locație mai puțin vizată.

În măsura în care acest lucru este posibil, străduiți-vă să eliminați informațiile pe hârtie de care nu aveți nevoie. Nu uitați, nu vi se poate fura ceva ce nu aveți. Creați, la nivel de organizație, o politică privind proprietatea notițelor pe hârtie și colectați toate notițele de la personalul care decide să părăsească organizația sau care este concediat, la fel cum ați colecta un computer sau un telefon de serviciu. Pentru a elimina documentele sensibile, achiziționați un distrugător de documente de calitate. O activitate distractivă la sfârșit de săptămână este să luați o pauză de 15 minute împreună cu personalul și să distrugeți hârtiile sensibile sau notițele luate pe hârtie în săptămâna respectivă.

Politica biroului

Cu toate că multe aspecte ale „biroului” s-au schimbat semnificat de la începutul pandemiei COVID-19, este încă important ca organizația dvs. să implementeze o politică clară privind accesul în birouri. O asemenea politică trebuie să aducă în discuție întrebări cheie, inclusiv cui îi este permis să intre în birou (și când), cine poate accesa resursele biroului (precum rețeaua Wi Fi) și ce să facem cu oaspeții.

O întrebare simplă, doar importantă, la care trebuie să răspundem este cine primește o cheie a biroului. Doar personalul de încredere ar trebuie să aibă chei, iar încuietorile trebuie schimbate dacă cineva părăsește organizația și/sau în mod semi-regulat. Pe timpul zilei, ușile care sunt lăsate descuiate trebuie supravegheate constant de o persoană de încredere din cadrul organizației. Gândiți-vă, de asemenea, dacă organizația dvs. are o relație bazată pe încredere cu proprietarul clădirii sau cu personalul de curățenie. Gândiți-vă la ce informații sau dispozitive ar putea avea acces aceștia și asigurați-vă că sunt protejate, în special dacă nu aveți o relație bazată pe încredere. Indiferent de cine are acces, trebuie să desemnați pe cineva de încredere să încuie biroul și să se asigure că dispozitivele sunt bine securizate înainte de a părăsi biroul la finalul zilei de lucru.

Primiți vizitatori în birou? Dacă da, asigurați-vă că aceștia nu au acces (sau, cel puțin, acces nesupravegheat) la dispozitive sau date sensibile scrise pe hârtie. Dacă vi se solicită sau se așteaptă de la dvs. să le oferiți vizitatorilor acces la internet, vă recomandăm să configurați o rețea pentru „oaspeți”, pentru ca aceștia să nu vă poată monitoriza traficul obișnuit. În general, doar personalul de încredere ar trebui să poată accesa rețeaua și dispozitivele din rețea precum imprimantele. O altă idee bună este să solicitați înregistrarea vizitatorilor, pentru a ține o evidență a acestora. 

Atunci când creați o politică a biroului, obiectul ar fi să permiteți doar persoanelor de încredere acces la dispozitive, documente, spații și sisteme sensibile.

Sprijinirea personalului și voluntarilor

Amenințările asupra securității fizice a organizației dvs. pot afecta și personalul. Ca și în cazul hărțuirii pe rețelele sociale, aceste amenințări asupra securității fizice afectează adesea disproporționat femeile și comunitățile marginalizate. Nu vorbim doar de ferestre sparte și laptopuri furate. Intimidarea, amenințările sau episoadele de violență fizică sau sexuală, abuzul domestic și frica de atac pot avea un impact negativ semnificativ asupra vieților personalului. Pentru organizațiile care lucrează cu și sprijină în special femeile active în politică, instrumentul de planificare a siguranței #Gândește10 oferit de NDI este o resursă utilă pentru persoanele care prezintă un risc crescut din cauza activității lor.

Bunăstarea personalului este, evident, un activ important pentru ei, ca persoană, însă reprezintă și un element crucial pentru o organizație sănătoasă și funcțională. În acest scop, gândiți-vă de ce resurse suplimentare aveți nevoie pentru a vă proteja personalul și, în cazul unui atac fizic sau digital, să îi ajutați să își revină. Așa cum s-a menționat anterior în Îndrumar, acest lucru înseamnă cel puțin dezvoltarea unei liste de resurse prin care să conectați personalul la asistență juridică, medicală, de sănătate mintală și tehnică. Încă o dată, Manual de apărare contra hârțuirii online creat de PEN America conține idei care să ajute organizațiile să își sprijine personalul în timpul și în urma crizelor, iar Manualul securității holistice al Tactical Tech include conținut relevant despre cum reacționează adesea organizațiile în timpul atacurilor intense.

Rezervarea în siguranță a călătoriilor pentru organizația dvs.

Atunci când creați o politică de călătorie, rețineți că informațiile ar putea fi expuse atunci când organizați sau rezervați călătorii. Acest lucru poate fi deosebit de important dacă organizați evenimente importante, instruiri sau conferințe pentru care manevrați informații sensibile ale unei varietăți de personal, parteneri sau participanți. Gândiți-vă atent la cum veți partaja și stoca (dacă este cazul) în siguranță date cu caracter personal precum detaliile din pașaport, itinerarele de călătorie și fișele medicale. Manualul activității unui organizator, dezvoltat de Tactical Tech, cuprinde o foaie de lucru excelentă care să vă ajute organizația să reconsidere întrebări cheie privind securitatea călătoriilor, pe care o puteți accesa aici.

Securitatea în timpul călătoriilor

Călătoriile - fie ele spre altă țară, fie spre un oraș apropiat - intensifică adesea riscurile de securitate a informațiilor. În general, este sigur să presupuneți că dvs. și dispozitivele dvs. nu aveți drepturi de confidențialitate atunci când traversați granița. Prin urmare, este o idee bună să includeți o politică privind călătoriile în planul de securitate al organizației dvs., care să conțină mementouri privind cele mai bune practici de securitate. 

Politica de călătorie a organizației dvs. trebuie să includă multe dintre informațiile dezbătute în alte secțiuni ale Îndrumarului, inclusiv utilizarea în siguranță a internetului și securizarea fizică a dispozitivelor și a altor surse de informații, pe care să le aveți la dvs. în permanență în timp ce călătoriți. Dacă este posibil, nu luați cu dvs. informații sensibile, folosiți un computer care nu conține date, accesați fișierele de care chiar aveți nevoie din cloud, iar apoi ștergeți-le când ajungeți acasă.

Pe lângă pregătirea pentru călătorie și reducerea la minimum a datelor partajate în timpul călătoriei, există câteva sfaturi operaționale esențiale pe care să le luați în considerare și să le includeți în politica de călătorie a organizației dvs.

Vă recomandăm să folosiți laptopuri și telefoane destinate special călătoriilor, care să conțină o cantitate minimă de date sensibile. Dacă majoritatea activității organizației dvs. se desfășoară în cloud, un dispozitiv Chromebook, care este relativ necostisitor, poate fi o opțiune bună. Realizați o resetare la setările din fabrică sau „ștergeți complet” aceste dispozitive la întoarcere, înainte de a vă conecta la rețelele Wi Fi comune de acasă sau de la birou.

Instruiți personalul ce să facă dacă sunt interogați de autorități sau opriți la un punct de trecere a frontierei. Căutați modalități de a limita cantitatea de informații cu care călătorește cineva, dacă acest lucru creează îngrijorări, și creați protocoale de check-in pentru personalul care călătorește în regiuni sensibile. Furnizați personalului informații de contact și un plan de acțiune pentru situațiile în care ceva nu merge bine în călătorie. Acestea includ informații despre spitale, clinici sau farmacii locale, în cazul în care au nevoie de asistență medicală în timp ce călătoresc.

De asemenea, personalul trebuie să țină toate dispozitivele asupra lor în timpul călătoriilor. De exemplu, țineți-vă laptopul la picioare (nu în compartimentul de deasupra capului sau în bagajul de cală) atunci când călătoriți cu autobuzul, trenul sau avionul. Nu presupuneți că o cameră de hotel – sau chiar seiful din hotel – este un „loc sigur” pentru păstrarea dispozitivelor și articolelor sensibile. Nu vă încredeți în porturile de încărcare publice prin USB. Porturile de încărcare prin USB din aeroporturi, stații și vehicule sunt din ce în ce mai răspândite și o modalitate convenabilă de a vă alimenta dispozitivele. Cu toate acestea, ar putea fi un vector simplu de infectare cu software-uri rău intenționate. Încărcați-vă dispozitivele fie prin metoda tradițională, folosind o priză, fie achiziționați dispozitive care blochează transferul de date prin USB, pentru a permite personalului care călătorește să-și încarce dispozitivele prin USB.

Protejarea securității fizice

  • Reamintiți personalului că își protejeze fizic în permanență dispozitivele.
  • Reamintiți personalului că își protejeze fizic în permanență dispozitivele.
  • Creați o politică privind vizitatorii și accesul în birouri.
  • Folosiți încuietori robuste și schimbați-le prin rotație/înlocuiți-le când este nevoie.
  • Luați în considerare să instalați camere de supraveghere sau alte sisteme de supraveghere în birouri.
  • Achiziționați un distrugător de documente.
    • Programați un interval în care personalul să elimine documentele pe hârtie care conțin informații sensibile.
  • Creați o listă a profesioniștilor, organizațiilor și agențiilor locale de aplicare a legii la care personalul poate apela pentru asistență juridică, medicală, de sănătate mintală și tehnică, ca răspuns la atacuri fizice sau amenințări.
  • Dezvoltați o politică privind călătoriile pentru organizație.
  • Asigurați-vă că personalul știe ce să facă în cazul unei urgențe în timpul călătoriilor, inclusiv instruiți personalul ce să facă dacă sunt opriți la un punct de trecere a frontierei.
  • Înainte de orice călătorie locală, națională sau internațională, reamintiți personalului să limiteze informațiile stocate pe dispozitive.
  • Fiți atenți la datele suplimentare care sunt create și partajate atunci când organizați călătorii sau evenimente.