Témák

Biztonsági kultúra építése
Biztonság
Erős alapok:
Fiókok és eszközök
védelme
Kommunikáció és
az adatok biztonságos tárolása
Biztonságban maradni
az interneten
Fizikai javak
védelme
Mit kell tenni, amikor
valami rosszul sül el

A fizikai biztonság védelme

Fizikai javak védelme

Az információbiztonság lényeges eleme az eszközeinek fizikai biztonsága. Amellett, hogy a képernyőzárak és jelszavak használatával, a teljes lemeztitkosítás megvalósításával és a távoli törlési funkciók bekapcsolásával mérsékelheti az ellopott eszközökkel járó hatást, azt is meg kell fontolnia, hogyan lehet megakadályozni, hogy azokat ellopják. A lopás megnehezítése érdekében ügyeljen arra, hogy erős zárakat szereljen fel (és forgassa el azokat, amikor a személyzet változik) az irodában és/vagy otthon. Fontolja meg laptopszéf vagy zárható szekrény vásárlását is, hogy az eszközöket éjszaka jobban védje. A biztonsági kamerák sokkal olcsóbbak lettek, az otthoni használatra tervezett egyszerű változatok szélesebb körben kaphatók. Az ilyen kamera- vagy mozgásérzékelő rendszerek az épület körül képesek észlelni és remélhetőleg megakadályozni a fizikai betöréseket és lopásokat. Keressen az Ön országában elérhető, magánélet tiszteletben tartására irányuló lehetőségeket, és mindenképpen olyan megbízható vállalatok által biztosított kamerákat válasszon, amelyeknek nem érdeke adatokat és információkat átadni egy potenciális ellenfélnek.

Ha nagy a betörés vagy az irodai razzia kockázata, tartsa távol a szervezet legérzékenyebb adatait az irodától – akár úgy, hogy biztonságosan tárolja őket a felhőben (ahogyan korábban tárgyaltuk), akár úgy, hogy fizikailag kevésbé célzott helyre helyezi át őket. Ha a régi eszközökön még vannak tárolva adatok, de már nem használja őket, fontolja meg azok törlését – ez az útmutató a WireCuttertől nagyszerű forrást nyújt a legtöbb modern eszközhöz. Ha eszközének adatai nem törölhetők, azokat fizikailag is megsemmisítheti. Ennek legegyszerűbb, ha nem a leginkább környezetkímélő módja, ha kalapáccsal széttöri az eszközöket és merevlemezeket. Néha a legrégebbi megoldások működnek a legjobban!

Még e technikai lépések előtt szánjon egy pillanatot arra, hogy leltárt készít a vállalat összes berendezéséről. Ha nincs listája az összes eszközéről, lopás esetén nehezebb nyomon követni, hogy mi hiányozhat.

Saját irodai biztonsági rendszer beállítása

Ha a vállalat költségvetéséből nem telik ki egy teljes irodai biztonsági rendszer, és Ön különösen aggódik az adatvédelem miatt, próbálkozzon egy kreatív lehetőséggel, mint például a Guardian Project Haven App, amely értesítheti Önt az esetleges irodai behatolásról. A Haven egy okostelefonos alkalmazás, amely bármely Android telefont mozgás-, hang-, rezgés- és fényérzékelővé alakíthat. Az alkalmazást beállíthatja néhány olcsó Android eszközön az iroda különböző pontjain, így értesítik önt, és rögzítik a váratlan vendégeket és a nem kívánt behatolókat. A Haven App hasznos lehet egy szállodai szobában vagy lakásban is, ha fokozott kockázatnak van kitéve. A teljes biztonsági rendszer a legjobb, de ha ez nem elérhető, és szeretne többet megtudni a Haven alkalmazás használatáról, látogasson el a projekt weboldalára.

Mit tegyünk ezzel a sok papírral?

Vállalata valószínűleg sok olyan információval rendelkezik, amelyet papírra nyomtatnak, jegyzetfüzetekbe írnak, vagy ragadós cetlikre firkáltak. Ezek egy része nagyon bizalmas lehet: a költségvetések kinyomtatása, a résztvevők listája, az adományozók levelei és a privát megbeszélésekről készült feljegyzések. Elengedhetetlen ezen információk biztonságára is gondolni. Ha feltétlenül meg kell őriznie a bizalmas adatok nyomtatott példányát, gondoskodjon arról, hogy azokat biztonságosan, zárt szekrényben vagy más biztonságos helyen tárolja. Ne tartson magánjellegű vagy bizalmas információkat (beleértve a jelszavakat is) az asztalon heverve, vagy a táblára felírva. Ha úgy gondolja, hogy vállalatánál nagy a betörés vagy a razzia kockázata, tartsa a rendkívül bizalmas információkat kevésbé kitett helyen.

Amennyire lehetséges, törekedjen a már feleslegessé vált nyomtatott információk ártalmatlanítására. Ne feledje: ha valami nincs, azt nem lehet ellopni. Állítson be szervezeti szabályzatot a nyomtatott jegyzetek tulajdonjogára vonatkozóan, és ügyeljen arra, hogy minden papíralapú jegyzetet begyűjtsön az alkalmazottaktól, ha úgy döntenek, hogy felmondanak, vagy elbocsátják őket a vállalattól (mint ahogy egy céges telefont vagy számítógépet is visszavenne). A bizalmas papíroktól való megszabaduláshoz vásároljon minőségi iratmegsemmisítőt. Hétvégi szórakoztató tevékenység lehet egy 15 perces szünet a személyzettel, hogy feldarabolják az előző hétről maradt, bizalmas dokumentumokat vagy feljegyzéseket.

Az iroda irányelve

Bár sokak számára az „iroda” valósága jelentősen megváltozott a COVID-19 világjárvány kezdete óta, továbbra is fontos, hogy vállalata világos szabályzatot határozzon meg az irodai hozzáféréssel kapcsolatban. Ennek az irányelvnek a kulcsfontosságú kérdésekkel kell foglalkoznia, beleértve azt, hogy ki léphet be az irodába (és mikor), ki milyen irodai erőforrásokhoz férhet hozzá (például a WiFi hálózathoz), és mit kell tennie a látogatókkal kapcsolatban.

Egy egyszerű, de fontos megválaszolandó kérdés, hogy ki kapja meg az irodai kulcsot. Csak megbízható személyzet rendelkezhet kulcsokkal, és a zárakat a személyzet távozásakor és/vagy rendszeres időközönként le kell cserélni. A nap folyamán minden nyitva hagyott ajtót folyamatosan szem előtt kell tartania egy megbízható alkalmazottnak. Gondolja át azt is, hogy a vállalat megbízható kapcsolatban van-e a bérbeadóval vagy a takarító személyzettel. Gondolja át, milyen információkhoz vagy eszközökhöz férhetnek hozzá ezek az emberek, és gondoskodjon ezek védelméről, különösen akkor, ha Ön nem rendelkezik ilyen megbízható kapcsolattal. Bárki is fér hozzá, mindig ki kell jelölni egy megbízható személyt, aki bezárja az irodát, és gondoskodik az eszközök megfelelő biztonságáról, mielőtt a nap végén távozna.

Beengedik a vendégeket az irodába? Ha igen, győződjön meg arról, hogy nincs hozzáférésük (vagy legalább felügyelet nélküli hozzáférésük) eszközökhöz vagy érzékeny nyomtatott adatokhoz. Ha követelmény vagy elvárás, hogy a vendégek internet-hozzáféréssel rendelkezzenek látogatás során, hozzon létre egy „vendég” hálózatot, hogy az ilyen vendégek ne figyelhessék a szokásos forgalmát. Általában csak megbízható személyzetnek lehet hozzáférése a hálózathoz és a hálózati eszközökhöz, például nyomtatókhoz. Általában célszerű előírni a vendég regisztrációját is, hogy legyen naplója arról, hogy kik jártak Önöknél.

Az irodai szabályzat kidolgozásakor az legyen a cél, hogy csak megbízható személyek férhessenek hozzá az érzékeny eszközökhöz, dokumentumokhoz, terekhez és rendszerekhez.

Támogató személyzet és önkéntesek

A vállalatát érintő fizikai biztonsági fenyegetések az alkalmazottakra is hatással lehetnek. A közösségi médiában történő zaklatáshoz hasonlóan ezek a fizikai biztonsági fenyegetések gyakran aránytalanul nagy hatással vannak a nőkre és a marginalizált közösségekre. Nem csak a betört ablakokról és az ellopott laptopokról van szó. A megfélemlítés, a fenyegetések, illetve a testi vagy szexuális erőszak, a családon belüli bántalmazás és a támadástól való félelem súlyos negatív hatással lehet a személyzet életére. Azon szervezetek számára, amelyek különösen politikailag aktív nőkkel dolgoznak vagy támogatnak, az NDI #Think10 Biztonsági Tervezési Eszköze hasznos forrás azoknak, akik tevékenységük következtében fokozott személyes kockázatnak vannak kitéve.

A munkatársak jóléte egyénenként nyilvánvalóan fontos érték számukra, de egyben az egészséges és jól működő szervezet alapvető eleme is. Ennek érdekében fontolja meg, hogy milyen további erőforrásokat biztosíthat a személyzetnek a védelem megőrzése érdekében, és fizikai vagy digitális támadások esetén segítse a helyreállítást. Amint azt a Kézikönyvben korábban említettük, ez minimum egy olyan erőforráslista kifejlesztését jelenti, amellyel szükség esetén jogi, orvosi, mentális egészségügyi és műszaki segítségnyújtás céljából kapcsolatba léphet a személyzet. A PEN America Online Field Harassment Manual ötleteket tartalmaz arra vonatkozóan, hogy a szervezetek hogyan támogathatják a személyzetet válságok alatt és után, a Tactical Tech Holistic Security Manual pedig releváns tartalmat nyújt arról, gyakran hogyan reagálnak a szervezetek az intenzív fenyegetés idején.

Foglaljon biztonságos utazást szervezete számára

Az utazási irányelv összeállításakor azt is tartsa szem előtt, hogy milyen információk jelenhetnek meg az utazás megszervezése vagy lefoglalása során. Ez különösen fontos lehet, ha olyan nagy eseményeket, képzéseket vagy konferenciákat szervez, amelyekhez különféle alkalmazottaktól, partnerektől vagy résztvevőktől származó érzékeny információkat kezel. Alaposan gondolja át, hogy szükség esetén hogyan osztja meg és tárolja biztonságosan a személyes adatokat, például útlevéladatokat, utazási útvonalakat és egészségügyi feljegyzéseket.

Biztonság utazás közben

Az utazás – akár egy másik országba, akár a szomszéd városba – gyakran fokozza a fizikai információbiztonsági kockázatokat. Általában biztonsággal feltételezhető, hogy Önnek és eszközeinek nincs adatvédelmi joga a határok átlépésekor. Ezért célszerű olyan szervezeti utazási szabályzatot beépíteni a biztonsági tervébe, amely emlékeztetőket tartalmaz a legfontosabb biztonsági bevált gyakorlatokról.

Vállalata utazási szabályzatának tartalmaznia kell sok, a Kézikönyv más részeiben tárgyalt információt, ideértve az internet biztonságos használatát, valamint az eszközök és egyéb információforrások fizikai biztonságban tartását, és magánál tartását utazás közben. Ha lehetséges, hagyja hátra bizalmas adatait, és csak egy frissen törölt számítógépet használjon, a feltétlenül szükséges fájlokat a felhőből érje el, majd törölje azokat ismét, amikor hazaér.

Az utazásra való felkészülés és az utazás során megosztott adatok minimalizálása mellett van néhány alapvető üzemeltetési tipp, amelyeket érdemes átgondolni, és belefoglalni a szervezeti utazási szabályzatba.

Fontolja meg olyan utazási célú laptopok vagy telefonok használatát, amelyeken kevés, vagy egyáltalán nincs érzékeny adat. Ha szervezete munkájának nagy részét a felhőben végzi, egy viszonylag olcsó Chromebook jó választás lehet egy ilyen eszközhöz. Mielőtt csatlakoztatná ezeket az eszközöket a szokásos WiFi hálózatokhoz az irodában vagy otthon, állítsa gyári alaphelyzetbe, vagy törölje a tartalmat.

Készítse fel a személyzetet arra, hogy mit kell tenniük, ha a hatóságok kihallgatják, vagy megállítják őket egy határátkelőn. Fontolja meg, hogyan korlátozhatja az utazó információk mennyiségét, ha ez aggodalomra ad okot, és hozzon létre bejelentkezési protokollokat az érzékeny területekre utazó személyzet számára. Adja meg a személyzetnek elérhetőségi adatait és cselekvési tervet arra vonatkozóan, hogy mit kell tenniük, ha valami baj történik az utazás során. Ez magában foglalja a helyi kórházakkal, klinikákkal vagy gyógyszertárakkal kapcsolatos információkat, amennyiben utazásuk során orvosi segítségre van szükségük.

A személyzetnek utazás közben is minden eszközt magánál kell tartania. Például, amikor buszon, vonaton vagy repülőn utazik, tartsa a laptopját a lábánál (ne a felső rekeszben vagy a feladott poggyászban). Ne gondolja, hogy a szállodai szoba – vagy akár a szállodai széf – „biztonságos hely” az érzékeny eszközök és tárgyak tárolására. És ne bízzon a nyilvános USB-töltőportokban. A repülőtereken, állomásokon és járműveken található USB-töltőportok egyre gyakoribb látványt nyújtanak, és nagyon kényelmes módja az eszközök feltöltésének. De könnyen használható vektorok lehetnek a rosszindulatú programok tekintetében. Ezért mindenképpen hagyományos módon töltse fel az eszközöket fali csatlakozón keresztül, vagy vásároljon USB-adatblokkolókat, hogy az úton lévő munkatársak USB-n keresztül biztonságosan tölthessék eszközeiket.

Fizikai biztonságának védelme

  • Emlékeztesse a személyzetet, hogy az eszközöket mindig védjék fizikailag.
  • Ellenőrizze és biztosítsa az összes utat, ahogyan az emberek bejuthatnak a területére – ajtókat és ablakokat.
  • Dolgozzon ki egy irodai vendég- és hozzáférési szabályzatot.
  • Használjon erős zárakat, és szükség esetén cserélje le azokat.
  • Fontolja meg kamera vagy más irodai biztonsági rendszer felállítását.
  • Vásároljon iratmegsemmisítőt és használja.
    • Határozzon meg egy időpontot a személyzet részére az érzékeny információkat tartalmazó nyomtatott dokumentumok megsemmisítésére.
  • Készítsen listát azokról a helyi szakemberekről, szervezetekről és bűnüldöző szervekről, akiknél kapcsolatba léphet a személyzettel jogi, orvosi és mentális egészségügyi segítségnyújtás céljából fizikai támadásokra vagy fenyegetésekre adott válaszként.
  • Dolgozzon ki szervezeti utazási szabályzatot.
  • Győződjön meg arról, hogy a személyzet tudja, mit kell tennie vészhelyzet esetén az utazás során, beleértve a személyzet felkészítését arra, hogy mit kell tennie, ha megállítják a határon vagy az ellenőrző ponton.
  • Minden helyi, országos vagy nemzetközi utazás előtt emlékeztesse a személyzetet, hogy korlátozza az eszközökön tárolt információkat.
  • Utazások vagy események szervezésekor ügyeljen a létrehozott és megosztott további adatokra.