Рекомендации по ИБ из книги Remote

Рекомендации по ИБ из книги Remote
В недавно прочитанной книге “ Remote. Офис не обязателен ” с удивлением обнаружил довольно толковые рекомендации по информационной безопасности, рассчитанные на обыкновенных пользователей. Они просты и понятны, приведу главу из книги практически целиком:

Безопасность - серьезная проблема, но уже решенная. Именно поэтому среднестатистический человек не боится пользоваться интернет-банкингом и вводить номер своей банковской карты на сайте Amazon. В 37signals есть список простых требований, единых для всех сотрудников:
1) На всех компьютерах должно применяться шифрование данных на жестких дисках. Тогда потеря ноутбука означает лишь некоторое неудобство и необходимость обратиться за страховкой, а не ЧП в масштабах компании, лихорадочную смену паролей и беспокойство о том, что конфиденциальные документы могут стать достоянием гласности. 
2) Автоматический вход в систему должен быть отключен, выход из "спящего" режима - по паролю, компьютер блокируется через десять минут бездействия. 
3) Включите безопасный режим на всех сайтах, которые вы посещаете, особенно в случае критически важных сервисов вроде Gmail. В наши дни всегда есть возможность работать через зашифрованный протокол HTTPS или SSL. Это видно по наличию небольшой иконки "замочек" перед адресом сайта.
4) Во всех смартфонах и планшетах используйте код блокировки, кроме того, у вас должна быть возможность удалить все их данные дистанционно. На iPhone, например, это можно сделать при помощи приложения "Найти iPhone". Об этом правиле легко забыть, ведь такие устройства мы считаем скорее личными, чем рабочими, но вы неминуемо станете проверять на них корпоративную почту или заходить в другие корпоративные приложения с планшета. И к смартфонам, и к планшетам нужно относиться так же серьезно, как и к ноутбуку. 
5) Для всех посещаемых вами сайтов используйте уникальные, достаточно длинные пароли и храните их в специальной программе, например, 1Password . Не хочется вас огорчать, но пароль "12345" ничего не защищает. И даже если вы умудритесь запомнить "f!jhFjie7)83kriUEN", при взломе одного сайта (а это происходит постоянно) незащищенным окажутся все остальные. 
6) В случае Gmail включите двухфакторную авторизацию, чтобы нельзя было войти без ввода специального кода, отправленного на ваш мобильный телефон (это означает, что, если кто-то узнает ваш логин и пароль, он не сможет попасть в вашу почту, не завладев также и вашим мобильным). И помните: если падет ваша почта, ни о какой безопасности всех остальных сервисов также не может быть и речи, поскольку на любом сайте злоумышленник сможет задействовать функцию "сброс пароля" и получить новый пароль на адрес почты, доступ к которой у него уже есть.  
И напоследок. "В наши дни безопасность электронных устройств - это дело здравого смысла, вроде пристегивания ремней в автомобиле." Помните об этом...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Andrey Prozorov

Информационная безопасность в России и мире