Los diez mejores consejos de seguridad para usuarios no técnicos

10

Daré una presentación a fines de esta semana al personal de la empresa donde trabajo. El objetivo de la presentación es servir como un recordatorio / recordatorio de buenas prácticas que pueden ayudar a mantener nuestra red segura. La audiencia está compuesta por programadores y personal no técnico, por lo que la presentación está dirigida a usuarios no técnicos.

Quiero que parte de esta presentación sea una lista principal de "consejos". La lista debe ser corta (para fomentar la memoria) y ser específica y relevante para el usuario.

Tengo los siguientes cinco elementos hasta ahora:

  • Nunca abra un archivo adjunto que no esperaba
  • Solo descargue software de una fuente confiable, como download.com
  • No distribuya contraseñas cuando se solicite por teléfono o correo electrónico
  • Ten cuidado con la ingeniería social
  • No almacene datos confidenciales en un servidor FTP

Algunas aclaraciones:

  • Esto es para nuestra red de trabajo.
  • Estos deben ser consejos de "mejores prácticas" para el usuario final, no políticas de TI
  • Tenemos copias de seguridad, parches del sistema operativo, firewall, AV, etc., todo gestionado de forma centralizada
  • Esto es para una pequeña empresa (menos de 25 personas)

Tengo dos preguntas:

  1. ¿Sugieres algún artículo adicional?
  2. ¿Sugiere algún cambio en los elementos existentes?
networking security desktop-management Justin
fuente
1
Esta pregunta pertenece a superuser.com, y al menos debería ser Wiki de la comunidad
Mark Henderson,
Asumiendo que esto es parte de la política de seguridad del departamento de TI, no estoy de acuerdo. Mi departamento de TI escribió parte del material y educó a la persona de capacitación para la capacitación anual en seguridad del usuario final.
Warner
3
Por lo menos, es solo otra versión de "Your Favourite (x)", que realmente debería ser una wiki comunitaria
Mark Henderson el
@Farseeker: estoy de acuerdo.
@Farseeker: esta no es una pregunta de superuser.com. Esto es para una red de trabajo.
Justin

Respuestas:

7

Parece que puede ser una persona ajena a TI que intenta educar a sus compañeros. Si bien esto es algo bueno y algo que recomendaría, su departamento de TI debería estar impulsando los estándares y políticas de seguridad.

Esta capacitación debe servir como un medio para reforzar y educar sobre las razones detrás de las políticas de seguridad ya vigentes. Si no hay un documento escrito de política de seguridad, debería haberlo.

Muchas de las cosas que enumera no deberían estar bajo el control de los usuarios finales. Por ejemplo, el usuario final menos técnico no debería poder instalar software en su estación de trabajo. Sospecho que existen numerosos problemas de soporte, configuración y malware dentro de la empresa que la política podría evitar fácilmente si pueden.

Si los fundamentos aún no están escritos y aplicados por la política de TI, estos son problemas que deben abordarse antes de intentar educar a los usuarios. Algunas de las políticas centradas en el usuario final incluyen:

  • Menos privilegios necesarios para realizar la función laboral
  • Actualizaciones de software realizadas automáticamente con atención al riesgo de seguridad
  • Estándares de seguridad impuestos por la política (IE. Configuración del navegador web)
  • Caducidad de la contraseña (90 días)
  • Aplicación de la seguridad de la contraseña (alfanumérica, mayúsculas y minúsculas, más de 9 caracteres, etc.)
  • No se pueden usar las últimas 5 contraseñas
  • Cifrado de almacenamiento de dispositivo portátil (laptop)
  • Política de clasificación de datos.
  • Política que dicta el manejo de datos restringidos y confidenciales según lo definido en la política de clasificación.
  • Política de eliminación de datos
  • Política de acceso a datos
  • Política de dispositivos portátiles

Hay una miríada de políticas y procedimientos adicionales que se aplican tanto al desarrollo adecuado como al mantenimiento técnico dentro de los grupos de infraestructura. (Control de cambios, revisión de código, estándares del sistema y mucho más).

Después de que toda la base esté en su lugar, los empleados deben recibir copias de la política de seguridad escrita y la capacitación en torno a esa política también sería apropiada. Esto cubriría las mejores prácticas para el usuario final, tanto técnicamente como no. Algunos de estos incluyen:

  • Manejo de información restringida y confidencial como parte del negocio.
    • No envíe correos electrónicos ni transmita sin cifrar, deseche de manera adecuada, etc.
  • Manejo de contraseñas.
    • No deje escrito bajo el teclado, en notas de post, compartir, etc.
  • No comparta cuentas ni datos de autenticación. (Otra vez)
  • No deje estaciones de trabajo desbloqueadas o propiedad de la empresa (datos) sin garantía (computadoras portátiles)
  • No ejecutes software sin tener en cuenta
    • Tales como archivos adjuntos de correo electrónico.
  • Riesgos y escenarios relacionados con la ingeniería social.
  • Tendencias actuales de malware aplicables al negocio o la industria.
  • Políticas y riesgos específicos del negocio o industria.
  • Educación general sobre cómo (si) son monitoreados
  • Cómo TI hace cumplir las políticas de seguridad técnica y administrativamente.

El PCI DSS ejemplifica muchas de las mejores prácticas relacionadas con las políticas de seguridad. Además, el libro Práctica de administración de sistemas y redes cubre las mejores prácticas fundamentales con respecto a la seguridad de TI.

Warner
fuente
¿Por qué se votó esto?
Warner
Gracias por la atenta respuesta. Tenemos buenas políticas, etc., que están firmadas. Para ser claros, estoy buscando una buena lista de los mejores consejos para ayudar a fomentar un comportamiento que aumente la seguridad en los usuarios finales. (No tenemos problemas de malware / virus, etc. No entiendo todo el alboroto sobre ser un administrador local. Según un artículo que leí hace unos años, esta es la configuración predeterminada como MSFT corp.)
Justin
El voto negativo fue mi error, pero parece que no puedo cambiarlo. Creo que si edita su respuesta (agregue un espacio o algo), puedo solucionarlo.
Justin
Ah genial, gracias. Fue un poco desalentador! Pasé algún tiempo en mi respuesta. En lo que respecta al administrador local, estoy un poco de acuerdo contigo. Depende de la empresa y el entorno tecnológico. A veces se ha demostrado que los usuarios finales están de acuerdo con el administrador en empresas técnicas o grupos altamente técnicos. He visto trabajar a ambos lados del espectro. Un colega mío es responsable de una intranet que está compuesta por empleados sin habilidades técnicas y el negocio requiere que tengan un administrador, donde regularmente tiene que lidiar con problemas de malware en escalas variables.
Warner
No se preocupe, lo arreglé :)
l0c0b0x
2

Mi consejo principal (que poco a poco estoy logrando enseñar a la gente) es una variación de tu # 1:

Sepa cómo verificar de dónde proviene realmente un correo electrónico y verifique cualquier mensaje que sea un poco extraño.

Para Outlook, eso significa saber cómo mostrar los encabezados de Internet y lo que significan las líneas Recibido de.

Para el personal no técnico, descargar e instalar software no es (y diría que no debería ser) una opción, no deberían tener acceso de administrador para instalar el software. Incluso para los programadores a los que les damos acceso de administrador, les recomendamos encarecidamente que consulten con TI antes de descargar e instalar.

Para las contraseñas, siempre repito el consejo de Bruce Schneier: las contraseñas deben ser lo suficientemente fuertes como para hacer algo bueno, y para lidiar con la dificultad de recordarlas, puede escribirlas en un papel y guardarlas en su billetera: trate su tarjeta de contraseña como una tarjeta de crédito y saber cómo cancelarla (cambiarla) si pierde su billetera.

Dependiendo de cuántas computadoras portátiles tenga y cómo las respalde, incluiría un consejo sobre cómo mantener seguros los datos en las computadoras portátiles. Si no tiene un sistema para hacer copias de seguridad / replicar datos en computadoras portátiles en su red, debería hacerlo, y si tiene un sistema, debe asegurarse de que los usuarios de computadoras portátiles sepan cómo funciona. Una computadora portátil perdida o robada llena de datos es, como mínimo, un dolor de cabeza.

Ward - Restablece a Monica
fuente
Gracias. Tenemos buenas copias de seguridad en su lugar. Vamos a implementar recursos compartidos TrueCrypt para proteger los datos en las computadoras portátiles. Las contraseñas fuertes + ejemplos definitivamente merecen una mención. Gracias.
Justin
Si desea convencerme de que un correo electrónico es genuino, incluya algún texto en el cuerpo, de modo que pueda conectarlo con usted.
David Thornley
2

Defina qué son las contraseñas débiles y seguras y bríndeles algunas buenas maneras de encontrar y recordar contraseñas seguras.

Su segundo punto parece indicar que los usuarios pueden instalar software en sus computadoras. Yo diría que es un problema en la mayoría de los casos. Pero si se les permite instalar software, entonces es un buen punto para cubrir.

Asegúrese de tener ejemplos de ingeniería social. Esto les ayuda a saber qué buscar y los asusta un poco para ser más paranoicos. Me gusta pedirles a las personas que piensen qué harían si encontraran una memoria USB en la acera a las afueras de la oficina. La mayoría de las personas honestas lo recogerían y lo conectarían a su computadora para ver si algo en el disco identificaría quién es el propietario. La mayoría de las personas deshonestas harán lo mismo ... pero probablemente solo para ver si hay algo bueno antes de borrarlo para usarlo. Cualquiera de los casos a través de la ejecución automática, archivos PDF maliciosos, etc., es una forma bastante fácil de tener una computadora dentro de la empresa que elija, instalar un registrador de pulsaciones de teclas, etc.

3dinfluence
fuente
Su ejemplo de llave USB es bueno, una advertencia sobre el uso y mal uso de las llaves USB probablemente debería ser uno de sus consejos.
Ward - Restablece a Monica
Gracias. Re: ejemplos de ingeniería social, sí, generalmente me gusta hablar sobre el portapapeles + invisibilidad del mono de trabajo. El USB es un gran ejemplo.
Justin
2

Qué pasa

  • Mantenga su sistema operativo y sus aplicaciones totalmente actualizados. Esto también incluye versiones principales, al menos una vez que una versión principal ha tenido algunos meses para madurar. Un XP SP3 completamente parcheado con un IE6 completamente parcheado es aún mucho menos seguro que Windows 7 con IE8 (o mejor aún, Chrome).
  • Evite los sistemas operativos y aplicaciones populares: es mucho más probable que sean explotados. Si puede evitar productos clave de Microsoft (Windows, IE, Outlook, Office, WMP), Apple (iTunes, Quicktime) y Adobe (Flash, lector de PDF), será mucho menos probable que se vea comprometido por la gran mayoría de hazañas activas por ahí.
  • Mantenga su antivirus (conjunto antimalware) actualizado y escaneado regularmente.
  • Mantenga su firewall personal actualizado y en funcionamiento.
  • Utilice protocolos de correo electrónico seguros (es decir, asegúrese de que su POP / IMAP / SMTP tenga seguridad SSL).
  • No habilite el uso compartido de archivos de Windows (SMB) o sshd (esos son los dos puertos más atacados).
  • Habilite el cifrado WPA2 en su red Wi-Fi doméstica.
  • Ni siquiera visite sitios web no confiables.
Spiff
fuente
Supongo que la pregunta es sobre una red corporativa, por lo que las actualizaciones, las configuraciones de AV, inalámbricas y firewall deberían ser un problema de TI en lugar del usuario.
Bueno, parece ser una red corporativa donde permiten a los usuarios descargar / instalar su propio software, dada la sugerencia "Descargar solo software de una fuente confiable, como download.com" en la Pregunta original. Por lo tanto, creo que mi consejo para mantener su software actualizado es importante. Además, muchos cuerpos permiten que las computadoras portátiles propiedad de los cuerpos vayan a casa (y viajen) con los usuarios, por lo que la seguridad de la red doméstica también es válida.
Spiff
Esta es nuestra red de trabajo, sí. Los parches, el firewall, las copias de seguridad, etc. están a cargo del @ equipo de GPO / TI. Sin embargo, las actualizaciones para su propio software son importantes. Mencionaré eso.
Justin
+ El sitio web no confiable es bueno.
Justin
1

Tiene un buen comienzo, pero como otros han mencionado, está comenzando en una desventaja si los usuarios pueden instalar el software. No sugeriría usar download.com; en cambio, los usuarios deberían pedirle a TI un programa que resuelva su problema en lugar de tratar de encontrar uno por sí mismos (a menos que la mayoría sean desarrolladores o sean bastante conocedores). Eliminar los derechos de administrador resuelve este problema.

Adiciones:

  1. Use diferentes contraseñas para la mayoría de los sitios y use una contraseña segura de algún tipo para realizar un seguimiento de ellas (KeePass, PWSafe, etc.). Vea cómo se hackeó el correo electrónico de MediaDefender y pregunte a los usuarios qué medidas habrían evitado la intrusión. Nunca use su contraseña de dominio de trabajo en ningún otro lugar, y no reenvíe el correo / tráfico de la empresa a través de sistemas que no sean de confianza.
  2. Elija contraseñas decentemente complejas. Haga un crack en vivo usando John the Ripper en un hash de contraseña de muestra (asegúrese de obtener permiso para usar herramientas de craqueo POR ESCRITO de la compañía primero, en caso de que las personas reaccionen de forma exagerada). Mostrar a los usuarios que 'PRISCILLA1' está descifrado en <2 segundos es una revelación. Usamos Anixis 'Password Policy Enforcer aquí para asegurarnos de que las pésimas contraseñas no entren.
  3. No conecte nada que no le haya proporcionado TI. Ilustra el punto conectando una memoria USB Keylogger o una ejecución automática de un troyano (la ejecución automática debe estar desactivada, pero esa es otra historia).
  4. Suponga que todo el tráfico en todas las redes es rastreado y registrado en ambos extremos, incluso si está encriptado para evitar ataques MitM. WikiScanner es un buen ejemplo del uso de direcciones IP para identificar quién realizó ediciones "anónimas".
Hurfdurf
fuente
Somos una pequeña empresa, por lo que no tenemos un departamento de TI a tiempo completo. Buenos consejos, sin embargo. Gracias.
Justin